Entries

ソーシャルエンジニアリングは他人事じゃない

昨日の「iCloudハック事件の手口がガード不能すぎてヤバイ」を読み直して、自分なりに色々シミュレートしてみた。結論として、わりと他人事じゃないかもしれない。

例えばドラクエXとかマリオの新作発売日にさ、電話がくるんすよ。

「すいません、佐川急便ですけども・・・ Amazonさんからお荷物なんですが、ちょっと宛先の欄が濡れてて住所が読めないんですよ・・・

みたいな電話がかかってきたら、たぶん俺は住所教えちゃう。

こういう電話をTwitterで「ドラクエの到着を全裸で待機なう」とか呟いちゃってる人に絨毯爆撃したら、3人に1人ぐらいは引っ掛かるんじゃないかと。電話番号とTwitterアカウントの結びつけは、勉強会とかカンファレンスで名刺集めてやがるの。

で住所教えちゃうじゃない? そうすると偽配達員がいうわけよ「あー、その地域はもう通り過ぎちゃいましたねぇ。あとでまたお届けしますが15:00ぐらいって大丈夫ですか?」とか。で、俺が「あ、そのころ出てるんで18:00ぐらいだと助かるんですけど」とか答えるじゃん?

すると15:00ぐらいに物理ハッキングとかされちゃうんよきっと。特に、なにかの間違いで、標的が自宅の電話番号&親とかが相手だったらもう確実にヤバイ。

っていうか、住居特定されてトラッシング(ゴミあさり)されると、ガードしきれる人ってかなり少ない気がするん。セキュリティ予算の増大にともない、システム最大の脆弱性は運用者になりつつある。結果ハッキングのターゲットも人間が主軸になってきてる今日この頃、自分のセキュリティにまったく自信がありません。

ちなみに、前エントリでおすすめしてた「欺術」というソーシャルエンジリアリング本ですが、絶版な上にAmazonの在庫が全部はけちゃいました。Kindle持ってたり、洋書がOKな人はかわりに「Social Engineering: The Art of Human Hacking
」がおすすめ。2010年の本なので、2003年に書かれた「欺術」よりもアタック内容などが最新な感じです。