セキュリティ対策の教科書だな 欺術
◎ 
欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法
数ヶ月前に読んで、そのうちに修正とメモを書いておいたが、
面倒なので、そのまま、書き出し。
この本のことは知っていたが、今まで読んだことがない。
絶版なので、図書館に予約して、可也待たされて、読み終えた。
素晴らしい内容なので、Amazonで古本で注文もしてしまった。
セキュリティを単に技術(テクノロジー)の問題として捉えると、そこに大きな落とし穴が待ち構えている。ケビンのような人物は、その落とし穴を封じる手助けをしてくれる。本書を読めば、セキュリティの人間的側面に関する、かけがえのないガイド役として、ミトニックの存在価値を誰もが認めるだろう。
というウォズニアックの序文で始まっていく。
内容は
沢山のソーシャルエンジニアリングでのダマしの事例とテクニックの解説、
それぞれへの対策と
最後の2つの章でセキュリティ意識の向上策、規定類の詳細に触れている。
最後の2つの章は、現状でも通じる多くのセキュリティ対策が述べられている。
セキュリティというと
世の中では、直ぐにIT機器、ソフトの話だけに終始してしまう。
これはIT業界の問題だと思うが、
機器、ソフトだけでなく、
全体的なセキュリティ対策の計画からポリシー、規定類、機器、ソフトなどの対策・実施が必要だ。
こういう本が絶版になり、古本でも数少なく、結構割高になり、
図書館での予約でも、何十人もの待ち行列になる。
そろそろ文庫本として出でも、再発すべきではないか。
前半から大量な事例も面白いが、
企業経営者、マネージメント、セキュリティ担当としては
最後の2章が一番重要な部分だと思う。
特に私の意見と合致しているのは・・・・・・・・・・・・・・・・
気になる部分の列挙
XVページ
私は自分の才能を、
ソーシャルエンジニアリング
(人が、ふつうなら、知らない人のためには絶対やらないことを、すいすいとやらせてしまう、説得と誘導の技術)
と呼ばれるパフォーマンスへと磨き上げ、収入を得ようと志した。
これがミトニックのソーシャルエンジニアリングの定義。
4ページ
なぜか?それは、セキュリティのウィーケストリンク(Weakest Link、最も弱い部分)はハードウェアやソフトウェアではなく、「人間」だからだ。
5ページ
有名なセキュリティコンサルタント、ブルース・シュナイアーは、こう言っている。「セキュリティは製品ではない。それはプロセスである」。さらに私から付け加えるならば、セキュリティは技術の問題ではない。それは、人間とマネージメントの問題である。
14ページ
企業や組織が「自力で」、かつ「人間に対して」実施するセキュリティ対策が、唯一の本物のセキュリティだ。そのためには、組織の人間的要素を利用して攻撃してくるソーシャルエンジニアたちの、手口を知らなければならない。彼らは、秘密情報をどうやって盗み出すのか?重要な情報を、どうやって改竄するのか?企業のシステムやネットワークを、どうやって混乱させるのか?自動車の運転に関しては、ディフェンシブドライビング(防御的運転)の原則を誰もが理解している。そしてコンピューターに関しても、ディフェンシブコンピューティングが重要なのだ。
45ページ
・相手が社内の特殊な用語を知っているだけで、ついついその人物を信用してしまうことが、よくある。それは、ソーシャルエンジニアたちの常套テクニックのひとつだ。
71ページ
信頼を構築するテクニックは、いわゆる”信用詐欺”のテクニックの一部だ。そのテクニックは、ソーシャルエンジニアリングの手練手管の中でも、最も効果的な手口のひとつだ。だからつねに、私は今、本当は誰と話しているのか?という疑いを最初に持つことが重要だ。
75ページ
相手を怪しいと疑う理由がない限り、人間というものは、相手から騙される可能性を考えないのである。私たちはほとんどの場合に、相手に対して”実証なきは無罪”の原則(近代司法の原則のひとつ)を適用してしまう。それは、文明社会に住む人間の本性だ。とくに、それまで一度も詐欺の被害に遭ったことのない人は、人間を単純に信じてしまうことが圧倒的に多い。
76ページ
ふつうの人間は、有利な取引を探す。しかしソーシャルエンジニアたちは、有利な取引を探さない。彼らは、取引を有利にする方法を探すのだ。
122ページ
しかし、例えば人の命がかかっているときなどには、パスワードのような秘密情報を見知らぬ人に教えなければならない場合がある。だから、ルールとして”絶対に教えてはいけない”という言葉は、適切ではないだろう。ただし、そういった特別の状況でパスワードなどを教えてもよい相手の職種などを、具体的に規則として書く必要はない。具体的に書いて、それらを社員にしっかり教育したら、ソーシャルエンジニアたちはそれに目をつける。
129ページ
ネットワーク上の認証や証明、ファイアウォール、といったセキュリティによって情報を完全に保護することはできない。ほとんどの場合、セキュリティの穴は装置やシステムではなく、人間にある。
146ページ
この話は、時間によって変わる暗証や、それに類似した認証方法では悪賢いソーシャルエンジニアたちを防げない、と言うことも示している。唯一の防御策は、善良な社員が会社のセキュリティポリシーを遵守し、悪者たちの騙しのテクニックを事前に承知していることだ。
147ページ
・何かを求めてきた人物の本人性を確認するための、ひとつの良い方法は、社員名簿に載っているその人物の電話番号に電話をしてみることだ。電話の主が犯人なら、この確認電話には本物の本人が出るだろう。
148ページ
・本書で何度も述べているように、社員がソーシャルエンジニアたちの手口をよっく知ることが重要だ。誰かから何かを頼まれたとき、ピーンと来ることが必要なのだ。セキュリティの教育訓練では、誰かを犯人に仕立ててロールプレイングをやるとよいだろう。
192ページ
ソーシャルエンジニアたちは、頼み方、話の持っていき方を上手く工夫することによって、簡単に人を彼らの言いなりにしてしまう。彼らの基本テクニックは、心理学の単純な応用だ。また、人間は、一般的な他人ではなく、同じ職場の同僚に対して気を許す、という習性もうまく利用する。
193ページ
ピーターは、ソーシャルエンジニアリングの基本テクニックを三つ使っている。ひとるは、コンピューターの問題云々と言って、メアリーに不安を抱かせ、サポートを名乗る男に協力する気持ちにさせたこと、次に彼は、彼女に二つのアプリケーションをオープンさせ、その正常動作を確認させたこと・・・・これによって両者の間にはある種の仲間意識(ひとつのことを一緒になってやった、という意識)が生まれる。そして最後に、自分のコンピューターの健康をチェックしてくれた彼への、彼女からの感謝の気持ちを利用して、今回の仕事のかんじんの部分をやってのけたこと。
199ページ
ソーシャルエンジニアたちは、警察、検事局、電話局、特定の企業などの業務の詳細を、どうやって知るのだろう?彼らがコンピューターやネットワークを攻撃できるのも、そういう知識が完璧だからだ。細かい具体的な知識を獲得することが、ソーシャルエンジニアの仕事だ、という言い方しかない。知識こそが、彼らの詐術を支える最も強力な武器なのだ。
205ページ
現在のコンピューターユーザの99%は、「構造」や「法規」の勉強を省略して車を運転しているドライバーと同じだ。とくにソーシャルエンジニアたちは、コンピューターの知識がないだけでなく、情報の重要性を日ごろからあまり理解していない社員を狙う。そういう社員は、知らない人からのリクエストにも、簡単に応じてしまうのだ。
206ページ
たとえ社内宛であっても、個人的に会ったこともない人に貴重なデータを送るときには、本人確認をすべきである。会社のセキュリティポリシーとして、そのことを明記し、全社員に徹底しておかなければならない。本人確認とデータ送付の具体的な手順を、決めておくのである。
209ページ
企業の立場として、良好な教育訓練は絶対に必要だ。しかし、もうひとつ重要なものがある。それは、教育訓練したことを覚えてもらい、必要な時に確実に思い出してもらうための方法の数々だ。
たとえば、社員が毎朝自分のコンピューターを立ち上げたときに、必ず最初に、セキュリティに関するメッセージが画面に出るようにする。
232ページ
口頭のセキュリティコードを使っている会社は、それを使う状況と使い方を、具体的に厳密に定めて、その規則を社員に徹底しておかなければならない。
296ページ
頭の良い人たちが敵を過小評価する、という例が、もしかしてあなたの会社にもあるのでは?あなたは、ご自分の会社のセキュリティに自信がありますか?あなたは個人的に、300ドルを掛けても良いですか?侵入の手口はしかし、”技術的な方法”だけとはかぎらないのだ。
312ページ
詐欺師たちは、欲の深い人を狙う。なぜなら、欲深な人はペテンに引っかかりやすいからだ。しかしソーシャルエンジニアたちが掃除夫やガードマンのような人々を狙うときには、性格の良い善人を探す。つまり、人を助けることの好きな人を探すのだ。
390ページ
御社の製品計画を守る唯一の方法は、訓練の行き届いた、意識的で自覚的な社員を持つことである。そのためには、ポリシーと手順を教育することはもちろん重要であるが、それ以上に重要なのが、定常的にさまざまな方法で、つねに、警戒心を喚起しておくことである。セキュリティの専門家たちは、セキュリティの総予算の40%を定常的な警戒心喚起・維持活動に当てるべきだ、と言っている。
391ページ
操作(操り、人が人を操ること)については、多くの社会学者や心理学者たりが過去50年間、さまざまな研究を行っている。たとえばロバート・B・シアルディーニは、『サイエンティフィック・アメリカ』誌の2001年2月号で彼独自の研究成果として、6つの”人間性の基本的な傾向”というものを挙げている。私から見ると、ソーシャルエンジニアたちはまさに、その6つの傾向を利用して、自分が頼んだことを、被害者にやらせてしまうのだ。
398ページ
セキュリティは、全社員に対する教育が必要でありながら、重要であると同時に相当退屈なテーマだ。企業という環境の中で、こんな奇妙な性質を持っているテーマは、セキュリティ以外にはあまりない。だから、セキュリティの教育訓練事業は、ただ単に情報を与えるだけでなく、学習者が積極的に興味を抱く、”おもしろい”であることが非常に必要だ。
399ページ
新入社員も、新人教育の一環としてセキュリティ教育を受けるべきである。私の考えでは、社員のコンピューターへのアクセスは、基本訓練を経たのちに許すべきだろう。
基礎課程の重点は、セキュリティをいい加減にした場合に会社や社会個人がどんな被害を受ける可能性があるのかを、具体的に理解することだ。セキュリティのための具体的な実践内容を学ぶことよりも重要なのは、社員がセキュリティに関して個人的な責任を自覚するための、「動機づけ」である。情報のセキュリティを、社内の他人事、どこかの部や課の仕事、とみなす意識を一転して、一人ひとりが、自分のこととして自覚するように、もっていかなければならない。被害者の実話は、社員は聞いていて身につまされるような、ナマナマしいもののほうがよい。
400ページ
犯行の手口はどんどん高度化していくから、教程および教材の内容は毎年更新しなければならない。また、人間の警戒心や注意力は時間と共に衰えるので、教育訓練を適当な間隔で繰り返すと同時に、社内報やイントラネットのトップページ、廊下、ロビー、社員食堂、社員休憩室のポスターなど、日常的なメディアを利用することも必要だ。
401ページ
このような犯行のほとんどは、狙われた社員が次の2つのステップを実行すれば防げる。
・その人物の本人性を確認する。・・・・・・・・・・・・・・・・・・
・その人物が承認されているのか確認する。
404ページ
セキュリティを各社員の意識の最前面に保持する方法のひとつは、セキュリティを全社員の職務の一環として制度化することである。これによって各社員は、会社全体のセキュリティにおいて自分自身の役割の重要性を自覚できる。そういう、制度化や文書化の努力を欠くと、セキュリティはえてして”自分とは関係ない”ものになってしまいがちだ。社内の具体的な省エネ・省資源・省時間慣行を全社員に義務化している会社は、さらにそこに、具体的なセキュリティ慣行を加えるとよい。
409ページ
セキュリティ計画も、企業のそのほかの計画と同じく、管理職たちが単純に稟議書にハンコを押しただけでは絶対に成功しない。重役・上級管理職の一人ひとりが、企業経営におけるセキュリティの重要性を認識し、その全社的普及推進に対して積極的な支持と介入の姿勢を見せることが、きわめて重要である。うちの重役たちや上司たちはやる気だな!セキュリティに真剣に取り組んでいるな!と感じたら、社員たちもその様子を見て煽られて、燃える。それが成功への鍵だ。重役・上級管理職たちは、”率先して範を示す者”でなければならない。
410ページ
セキュリティポリシーの草案を作る者は、技術用語を避け、非技術系の社員にでも理解できる文書を心がける必要がある。また、各項目に対して、それがなぜ重要かという理由書が必要である。それがないと社員たちは、自分にピンと来ない項目を無視したり、こんなの無駄だ無意味だ、と思ったいするだろう。
411ページ
なお、ソーシャルエンジニアリングの手口を使った侵入試験や弱点評価を定期的に行うことによって、それまでの教育訓練の成果や、社員のセキュリティポリシーとセキュリティ手順の遵守の様子を、点検すべきである。試験は抜き打ちで行うべきだが、そういう試験を時々やるよ、ということは事前に社員に知らせておかなければならない。
443ページ
4-18 コンピューターアクセスに関するセキュリティ教育訓練
[ポリシー]社員は、会社のコンピューターシステムへのアクセスを許される前に、セキュリティ教育訓練の受講を完了しなければならない。
446ページ
6-3 アクセス権の変更
[ポリシー]ユーザのアクセス権を拡大する要求は、そのユーザの上司が署名した文書による許可を要する。変更後はその上司に、確認のための社内メールを必ず送る。
453ページ
7-7 ユーザアカウントの期限
[ポリシー]全てのユーザアカウントは、1年後に自動的に消滅するように設定すべきである。
454ページ
7-10 セキュリティのインストールとオペレーティングシステムの更新
[ポリシー]オペレーティングシステムやアプリケーションソフトウェアのセキュリティパッチは、発表されたらただちにインストールしなければならない。
462ページ
[説明/注記]自分のパスワードを知っているのは自分だけ、という状態を確立するために、このポリシーを適用する。
7-26 システム立ち上げパスワード
[ポリシー]全てのコンピューターシステムの立ち上げには、パスワードを要するようにしなければならない。
469ページ
9-4 IDバッチ
[ポリシー]・・・・・
[説明/注記]重役を含む全社員が、適切な教育訓練を通じて、バッチの着用の意味を深く理解していなければならない。バッチ着用の義務化によって、社内に入り込んだ不審者がはっきりと目立つようになる。
9-5 バッチ非着用者の人物確認
471ページ
9-8 個人識別情報
[ポリシー]社員番号、社会保障番号、運転免許証番号、生年月日、母親の旧姓などの社員識別情報を、本人性を確認するための方法として使ってはならない。これらの情報は秘密ではないから、誰もがいろいろな方法で入手できる。
487ページ
15-5 パスワードの再利用
[ポリシー]社員は、同じパスワードを18ヶ月以上使い続けてはならない。
[説明/注記]犯人が社員のパスワードを入手したとしても、パスワードを頻繁に変えていれば、被害の可能性は少なくなる。
492ページ
17-1 退職する社員
[ポリシー]社員が中途退職または定年退職するときには、人事部が直ちに次のことをしなければならない。
・オンラインの社員名簿や社内電話帳から本人の名前を消し・・・・
・会社の建物の入り口やロビーを担当する社員(守衛、警備員、受付嬢など)に通知する。
・その社員の名前を退職者リストに追加し、新しい退職者リストを全社員にメールする。
・・・・・・・・・・・・・・
[説明/注記]元社員が社員のふりをして社内に入ることを防ぐために・・・・
495ページ
18-2 訪問者の識別
[ポリシー]訪問者は、会社の建物に入るために、本人の運転免許証など、本人性を確認できるものを提示しなければならない。
502ページ
●よく使われるソーシャルエンジニアリングの手口
・同僚社員のふりをする。
・ベンダー、パートナー企業、警察、などの社員〜職員のふりをする。
・権威や権力のある者のふりをする。
・新入社員のふりをして助けを求める。
・・・・・・・
503ページ
●犯行の兆候
・こちらから電話を掛けなおす、と言ったら、番号を教えない。
・会社の普通の慣行から外れている要求。
・重役など、権威ある者のふりをする。
・緊急性を強調する。
・要求に従わなかった場合の被害等を強調して脅す。
・質問をすると不機嫌になる。
・他人の名前や地位を利用する。・・・・・
・お世辞や追従を言う。
・おどける。
504ページ
カモのベスト4
・情報の価値を知らない者:受付嬢、電話交換手、秘書、警備員
・特権ユーザ:ヘルプデスク、技術サポート、システム管理者、コンピューターのオペレーター、電話管理者
・メーカやベンダ:コンピューターのハードウェアやソフトウェアのメーカー、ボイスメールシステムのベンダ
・特定の部課:経理部、人事部
505ページ
●やられる会社のタイプ
・社員数が多い
・事業所が複数ある
・社員の所在がボイスメールのメッセージで分かる
・内線電話番号が公開されている
・セキュリティの教育訓練をやっていない
・データ分類基準がない
・事故報告/対応のための組織と計画がない
506ページ
●本人性確認の手順
・発信者番号表示:・・・・・・・・・・・・・・・・・
・かけなおし:社員名簿を調べて、その人物の番号にこちらから掛けなおす
・保証:信任人物に要求者の本人性を保証させる。
・共有秘密:・・・・・・・・・・・・・・・
・上司や管理者:・・・・・・・・・・
・安全なメール:デジタル署名入りのメールを求める
・声による識別:・・・・・・・・・・・・・・・・
・動的パスワード:・・・・・・・・・・・・・・・・・
・直接対面:本人が本物の社員章バッチや身分証を持ってくるように、求める
