伝説のハッカーが紹介するセキュリティ対処策

メディア王ルパート・マードックの傘下の新聞、News of the World誌の記者が起こした携帯電話ボイスメールの盗聴事件や、ソニーのPlaystation Networkから大量の個人情報が引き出された事件など、昨今情報漏えい事件が世間を騒がせている中、シリコンバレーの中心地サンノゼで発行している新聞、Mercury Newsがハッカーが人々をだまして情報を取得する方法についての解説記事を7月に掲載した。

オンライン攻撃の手法はミステリアスなベールに包まれていて、高度なプログラミング技術を用いて攻撃をしている事例も確かにある。しかし、このような情報が漏れる事件のほとんどは、情報を盗み出す過程において、誰かをだまして普段ならばしないことをさせるという単純な手を使っている。

この手法は、ソーシャル・エンジニアリングとして技術者の中では知られていて、現在では非合法にアクセス手段を得るための最も有力な手法である。

まだ詳細が公式に明らかになっていないが、News of the World誌の盗聴事件では、ターゲットの身元をなりすまして、ボイスメールのPIN番号を携帯電話会社に変更させるソーシャルの手法の一つ、プレテキスティングを用いたのではないのかという意見が主流だ。

ハッカーからセキュリティ専門家に転じた伝説の人、Kevin Mitnickは、8月発行予定の自叙伝　"Ghost in the Wires" で、彼が80年代に起こした事件の多くはソーシャル・エンジニアリングの技法を用いたと明かした。グーグルやホワイトハウスも標的になった、"spear phishing"攻撃も、同じソーシャル・エンジニアリング手法を用いた攻撃手法であると述べている。

最後にMercury News誌は、Mitnick氏が提案する対応策を紹介している。



Hackers often fool people, not technology, to get data
http://www.mercurynews.com/business/ci_18571729