「セキュリティにおける真の問題は人間」ケビン・ミトニック氏は語る 41
ストーリー by hylom
本当に恐ろしいのは人間 部門より
本当に恐ろしいのは人間 部門より
あるAnonymous Coward 曰く、
90年代、ソーシャルエンジニアリングと呼ばれる手法を使ってネットワークやコンピューターへの不正侵入を行いFBIによって逮捕された著名ハッカー、ケビン・ミトニック氏が、国内で開催されたセミナーで講演を行ったそうだ。INTERNET Watchでレポートが掲載されているが、氏は「セキュリティにおける真の問題は人間」と述べたという。
詳しくは件の記事を参照してほしいが、SNSなどは攻撃に有用なツールであり、また企業の公開している文章ファイルなどからもシステムの情報をうかがい知ることができるという。また、古典的な手法である「ゴミ箱あさり」は今でも有効だとし、企業には「人間ファイアウォール」が必要だとも述べている。
えっ? (スコア:1)
ずっと昔から言われてたことだよね?
今更ドヤ顔で言われても…
Re:えっ? (スコア:3, すばらしい洞察)
その「ずっと昔から言」ってた人の一人、というか代表みたいな人物だと思うんだけど。
Re:えっ? (スコア:1)
こういう人が定期的に啓蒙し続けているからこそ、知らないと恥レベルの常識になる。
おつむ空っぽの偉い人達を説得するためにも、これからも頑張って欲しい。
Re: (スコア:0)
FBIはこういう「元サイバー犯罪者」を抱えているから現在の犯罪に対応できてるというか、対応できる能力があると思われる。
日本の警察は「サイバー犯罪者」を『断罪』したあと、社会的にドロップアウトさせて目もむけない印象がある。
フィクションなんかだと再雇用してるけど、ありえないよねー
#ところで「サイバーにフィクションぽくて嫌悪覚える」って、
Re:えっ? (スコア:1)
# 別に嫌悪感を覚えたりはしないですが……。
いわゆる "cyberspace" って単語は、ルーツが『ニューロマンサー [wikipedia.org]』(原書は1984年)というSF小説の造語なんですよ。
"cybernetics(人工頭脳)" と "space(空間)" をくっつけた単語です。
当該小説の内容はWikipediaをご覧いただくとして、サイバースペースという語は、仮想現実のように五感で体感できるものの現実世界ではない、コンピュータ/ネットワークの内部をメタファー的に表現した疑似空間です。
この中で登場人物が武器を持って戦ったりすると、それがクラッキングとなったり(^^;)
こういうSF小説のジャンルをサイバーパンクと呼びます。
で、現実の犯罪対策組織にサイバーパンク由来(ですよね?)の名前を付けると、「ちょっとカッコつけすぎじゃね?」と思う方が出てくることも無理からぬところかと。
(私は「カッコよくていいじゃない」と思う派(笑))
Re: (スコア:0)
"cybernetics”が人工頭脳ってのはちょっと違わないだろうか。
そこで使われているCyber-って接頭辞が、ギブスンによって
有名になったのは確かだけど、意味が変わったとも思えないのだけど
Re: (スコア:0)
日本だと単にネット(インターネット)をかっこよく言った言葉だと思います。
ネットもカタカナですが、何でもカタカナにする/することへの批判に近い感覚かなと思いました。
#その中でもサステナビリティとかコンプライアンスは固めだけどサイバーは柔らかめな印象
##というかgoogleの画像検索が物語ってる感じ http://www.google.co.jp/search?q=%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC&... [google.co.jp]
Re: (スコア:0)
そして、実際に人の欠陥をついてクラッキングしまくった人だな。
Re:えっ? (スコア:1)
「世界で初めて逮捕されたハッカー」という権威の口から出てきた言葉じゃないと、
頭に入ってこない人は大勢いるって事です。
Re: (スコア:0)
いや、何度も言われてると思うよ。色んな権威から。
Re: (スコア:0)
有名人は当たり前のことを言うだけで金がもらえる反面、
プライバシーはあきらめなきゃいけない。
ACのほうが幸せだと思うよ。
Re: (スコア:0)
ソーシャルエンジニアリングは人がセキュリティの問題ってことに着目したクラック方法じゃないの?
昔っからその手法でやってた人に対して今更ドヤ顔はないでしょ。
Re: (スコア:0)
この人の場合、机上理論じゃないから説得力があるよ。
その人間のファイヤーウォールとやら (スコア:0)
簡潔な基本的考え方を記した対応マニュアルで事足りるんかいな?
催眠術やら色仕掛けやらあの手この手でやってくるソーシャルエンジニアリングに耐える方法なんてあるんだろうか...
Re:その人間のファイヤーウォールとやら (スコア:1)
催眠術は知らんけど賄賂と色仕掛けは昔からあるソーシャルハッキングだし、その有効性は歴史が証明してる
危険性を吹聴するのはいいけど有効な対策ってあんのかね?
Re:その人間のファイヤーウォールとやら (スコア:1)
Re:その人間のファイヤーウォールとやら (スコア:1)
解脱をして色欲フリーになってる技術者を雇えば無問題ですね。
Re: (スコア:0)
涅槃に最適な枕を贈呈!
解脱されたあなた!涅槃に入る前にはやっぱりいい枕が必要です!
今ならキャンペーン中に付き無料で最高級涅槃用枕を贈呈!
今すぐ⇒をクリック!
Re: (スコア:0)
本当に解脱してりゃ無問題ですが、普段そういうのに接触が無くて耐性が無いと
簡単に落ちるとか、日本のエンジニアはとても落とし易い分類に入るそうな。
Re:その人間のファイヤーウォールとやら (スコア:1)
地方に工場を立てた時に現地で確保していた従業員がラインに入るんですが。
検査工程だと女性が多くて、細かい話になると職長を飛び越えて技術者と話をする機会も多くて。
とある検査関連の技術部署の「耐性の無い」人たちが片っ端から咥え込まれてほぼ全員御兄弟になってたことがありました。
その中で選ばれた勇者が娶られ(?)て無事御成婚と相成ったという昔話を思い出しました。
#二次会はさながら同窓会
Re: (スコア:0)
これが日本史におけて初めて宦官が登用された例であった。
Re:その人間のファイヤーウォールとやら (スコア:1)
What's "におけて" ?
日本には宦官っていなかったんすかね、こっそり真似してやってそうな気がする。
#歴史には疎い。
Re: (スコア:0)
どういった穴なのかもっと詳しくお願いします。
Re: (スコア:0)
教えてあげるからちょっとそこの男子トイレに行こうか。
Re: (スコア:0)
それこそ対象の人を生活圏ごと防火壁で囲えばOK。
セキュリティ対策なんてな利便性とのトレードオフでしかないのです。
Re:その人間のファイヤーウォールとやら (スコア:1)
ソーシャルエンジニアリング攻撃の演習を行って“人間の脆弱性”をあらかじめ調査すること、は有効だろうなぁ。
実際のファイヤーウォールだって運用しながら穴を埋めてきたものなんだし、まずは経験値を積むところから。
Re: (スコア:0)
催眠術・色仕掛けはともかく、ある程度の時間をかけて「仲良く」なろうとしてくるのは手ごわいですね。
もっともこのパターンは、パスワードを自身や家族の誕生日・郵便番号・結婚記念日じゃなくするだけでも効果はあるかも。
とはいえ人格・能力に信頼を得て、「体調が悪いなら休みなよ。やっておくからパス聞いてもいいかい」とかだとアウトですが。
Re:その人間のファイヤーウォールとやら (スコア:2, 興味深い)
そのパターン2ちゃんの既女スレか何かで見たことがあるな。
奥様方のサークルだか井戸端だかで、「暗証番号ってどういうのにするのがいいですかねー」とリサーチしておいて、
別の機会に誕生日やら記念日やら聴きだして、
さらに別の日のお茶会かなんかで、バッグからカード抜いてATMへ。
Re: (スコア:0)
そこまで想定すると、対策なんて
「何をするにも複数人が必要な状態にする(管理者でも別の管理者と共同でないと作業できなくするとか)」
「末端に重要な情報を教えない。作業を任せるときも、細切れにして意味が分からなくする。」
とか、一人一人を攻略しても意味がないようにするしかないんじゃないですかね?
でもどう考えても凄いコストアップで、軍隊や政府機関でもなければ現実的ではないと思われる。
となると、不確かでも個々人を啓蒙するしかないのかなぁ。
Re: (スコア:0)
常に賢者モードの職場すればいいのだよ
休憩や宿泊時には
2次元/3次元またはソロ/マルチを問わず
奨励してあげましょう
# ゴムが必要な場合に限り穴にご注意ください
今後もしばらくはそうでしょ? (スコア:0)
人工知能オートマトンが1台作成されるまでは
日本の場合 (スコア:0)
真の問題は人間ではなく人間もどきなのだった
Re:日本の場合 (スコア:1)
具体的に
現実にはファイアウォールを破る人間でしょ? (スコア:0)
親が管理しているルーターですが、○○のためにポートフォワードしたいんですがどうすれば××………って何度も見たぞ。
Re: (スコア:0)
ルーターのパスワードがわからなくなってしまって って言う手口もあるな・・・
----
少年はそうやって大人になるんです
Re: (スコア:0)
みたいなカキコミを、
よくある風景 (スコア:0)
「あ、これのパスワード教えてー」
「xxyxyxxxyー!(大きな声で)」
意味ねぇ
Re: (スコア:0)
付箋紙にIDとパスワードを書いてモニタの枠あたりに貼ってある風景もありがち。
Re: (スコア:0)
電車の中とかマクドナルド店内とかで電話番号やメールアドレスや住所を大きな声で電話の相手に喋ってる人いますね。
そのメールあてに「うるせー」って送ってやりたいと思うことあるわ。
Re: (スコア:0)
「すんませんね、メアドはxxxxx@xxxxxxどっとシーオーどっとジェーピーです。
ああ、それからZIPとかEXEは弾いちゃうので拡張子変えて送って下さい。」
ってな感じで電話で喋ってる。POPパスワードとIDをIT担当に電話で聞き
出そうとしてた時はさすがに冷や汗掻いた。
Re: (スコア:0)
掻くなよ