○　ハッカーズ その侵入の手口 奴らは常識の斜め上を行く


ケビン・ミトニックの二作目の著作。
と言っても、2005年の出版で、今更読んだ。


2003年の前作 欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法 が
ソーシャルエンジニアリング中心の事例、対策だったの対し、
こちらはテクニカルなハッキング事件ばかり。
最後にソーシャルエンジニアリングへの解説がある。


ただし、現在のネット上だけでのハッキング事件などと比べると、
もっと人間的な感じで、ソーシャルエンジニアリングとの組み合わせでのハッキングが多い。


入口のガードマンをだましてオフィースに入り込み、
内部監査官だと偽って社員をだまして社員証も入手し、
機密情報を収集したりと
推理小説のような手口の数々が面白い。
テクニカルスキルは必須だが、ソーシャルエンジニアリングの塊のような事例だ。


面白いだけでなく、
企業にとってのセキュリティ対策が
技術だけではダメだと言うことが良くわかる。


そして最後に、ソーシャルエンジニアリンスを含めた
企業でのセキュリティ対策の提案。


企業では、この本で述べているようなセキュリティ対策を取るべきだが、
何故か情報システム部門に任せて、
技術対策だけになっている企業が多い。


こういう教科書のような本があるのに、
技術対策に片寄るのが不思議。


先日のセキュリティセミナーでも
情報漏えい事件で、漏えいを発見したのは
外部からの通報などがほとんどで、
セキュリティ対策機器・ソフトでは殆ど発見さていないと報告されていた。


これは機器・ソフトを導入しただけで満足し、
設定を怠ったり、記録を監視していないためだった。


この辺も、この本では言及している。


1章のカジノへのハッキングは、
章タイトルを見て、ネットからのハッキングかと思ったが、
中古で売られているスロットルマシンからロジックを解析し、当りの確率を割り出す。
無線でデータを教えて、コンピューターでデータを分析して、当りを出す話だった。


しかし、これは犯罪ではないと思うのだが？
まあカジノ側としては問題と言うことで、見つかって追い出される。


セキュリティは、面白い。