« 今週の記録 | トップページ | 『日本人はなぜ黒ブチ丸メガネなのか』 »

『ハッカーズ その侵入の手口』

ハッカーズ その侵入の手口 奴らは常識の斜め上を行く
『ハッカーズ その侵入の手口 奴らは常識の斜め上を行く』
ケビン・ミトニック、ウィリアム・サイモン・著
峯村利哉・訳
インプレスジャパン

1995年に逮捕された元・超有名ハッカー、ケビン・ミトニック。
裁判の経過やコンピューター禁止令、Free Kevin運動など、
当時はウェブニュース(主にWired)で彼の名前を見ない日はなかったが、
今では「なつかしー」という感じだ。
ケビン・ミトニックはその後2000年に釈放、
インターネット接続も2003年に解禁、
(彼が最初に見たのは彼女のブログだそうだ)
現在はセキュリティ・コンサルタントとして働いている。

そんなケビン・ミトニックがハッカーたちから
ハッキングの手口を取材してまとめた本。

カジノの機械を逆アセンブルし、RNG(乱数生成器)コードを分析、
ロイヤルフラッシュが発生するタイミングを計算して儲けた話、
刑務所内からこっそりインターネット接続を楽しんでいた囚人の話
など、ハッカーたちが自ら語った“手柄”話だが、
多くの事例に共通するのが、強固なセキュリティーシステムから
たったひとつの抜け穴を探し出し、そこから内部に入り込むという手口。
抜け穴は、システムに接続されたまま使われていない古いパソコンだったり、
外部から従業員がVPNでアクセスするためのポートだったり、
デフォルトのままのルーターのパスワードだったり、
社内の人間のフリをして入り込める会議室だったりするのだが、
いったん、ファイヤーウォール内部に入り込んでしまうと、
あとはなんでも簡単に手に入った、ということだ。

なかでもミトニックが警鐘を鳴らすのは、
ソーシャル・エンジニアリングの手口。
従業員の後ろをついていったり、警備員と知り合いのフリをすれば、
身分証なしでも社内に入り込めるし、
担当のフリをして「セキュリティーを確認したいんだ」と言えば、
簡単にIDとパスワードを教えてくれる例があげられている。
(訳者は「オレオレ詐欺」もソーシャル・エンジニアリング
そのものだと言っている。)

電子メールの本文から「パスワード」を検索して、
「あなたのパスワードは○○○です」
と書かれたメールを見つけ出す方法とか
ほとんどの人がパスワードをデフォルトのままにしているとか、
ペットや趣味、子供の誕生日などからパスワードを類推できる
って話には私もちょっとドキッ。
私のパソコンがハッキングされても盗まれるものはたかがしれているが、
そこから、社内ネットワークにも入り込めると考えると怖いかも。

「もしも、地球上のコンピュータ・ユーザーが全員、
今夜のうちに一斉にパスワードを改善すれば、
そして、パスワードのメモを目立つ場所に放置したりしなければ、
明日の朝、我々が住むこの世界のセキュリティは、
飛躍的に向上を遂げているはずだ。」

◆読書メモ

「若い連中が聞く耳を持っているとは思わないが、
効果的な言葉があるとしたら、自分自身を磨け、
そのときに近道をするな、ってところだろう。
どんな場合でも、最後に報われるのは、長い道を歩んできた奴だ。」
ウィリアムは刑務所内でコンピューターを学び、
釈放後、コンピューター関連の仕事に就いた。

最近、ハッカーのあいだで取りざたされているのが、
潜在的な攻撃対象を丸裸にして、有益な情報を得たいと思ったとき、
驚くほどグーグルが役立つという点。
いくつかのキーワードを組み合わせて入力すれば、かなりの確率で、
攻撃対象のウェブサイトの設定ミスが明らかになる。

セキュリティ・システムは常勝を義務づけられ、
攻撃者は一度勝つだけでいい、という格言は的を射てる。
ダスティン・ダイクス

« 今週の記録 | トップページ | 『日本人はなぜ黒ブチ丸メガネなのか』 »

「書籍・雑誌」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/27590/3738705

この記事へのトラックバック一覧です: 『ハッカーズ その侵入の手口』:

« 今週の記録 | トップページ | 『日本人はなぜ黒ブチ丸メガネなのか』 »