ハッキング事件事例で説明するセキュリティ問題と対策 ハッカーズ
○ ハッカーズ その侵入の手口 奴らは常識の斜め上を行く
ケビン・ミトニックの二作目の著作。
と言っても、2005年の出版で、今更読んだ。
2003年の前作 欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法 が
ソーシャルエンジニアリング中心の事例、対策だったの対し、
こちらはテクニカルなハッキング事件ばかり。
最後にソーシャルエンジニアリングへの解説がある。
ただし、現在のネット上だけでのハッキング事件などと比べると、
もっと人間的な感じで、ソーシャルエンジニアリングとの組み合わせでのハッキングが多い。
入口のガードマンをだましてオフィースに入り込み、
内部監査官だと偽って社員をだまして社員証も入手し、
機密情報を収集したりと
推理小説のような手口の数々が面白い。
テクニカルスキルは必須だが、ソーシャルエンジニアリングの塊のような事例だ。
面白いだけでなく、
企業にとってのセキュリティ対策が
技術だけではダメだと言うことが良くわかる。
そして最後に、ソーシャルエンジニアリンスを含めた
企業でのセキュリティ対策の提案。
企業では、この本で述べているようなセキュリティ対策を取るべきだが、
何故か情報システム部門に任せて、
技術対策だけになっている企業が多い。
こういう教科書のような本があるのに、
技術対策に片寄るのが不思議。
先日のセキュリティセミナーでも
情報漏えい事件で、漏えいを発見したのは
外部からの通報などがほとんどで、
セキュリティ対策機器・ソフトでは殆ど発見さていないと報告されていた。
これは機器・ソフトを導入しただけで満足し、
設定を怠ったり、記録を監視していないためだった。
この辺も、この本では言及している。
1章のカジノへのハッキングは、
章タイトルを見て、ネットからのハッキングかと思ったが、
中古で売られているスロットルマシンからロジックを解析し、当りの確率を割り出す。
無線でデータを教えて、コンピューターでデータを分析して、当りを出す話だった。
しかし、これは犯罪ではないと思うのだが?
まあカジノ側としては問題と言うことで、見つかって追い出される。
セキュリティは、面白い。