史上最強のハッカーが明かす禁断の技法
●この本への問い
ソーシャルエンジニアリングの具体的な手法を知りたい。
人は、どんな時にだまされてしまうのか、その心理の盲点について知りたい。
●気付き
とくに驚いたことといえば、この本でも、ロバートチャイルディーニの「影響力の武器」が引用されていこと。詐欺師やソーシャルエンジニアは、意識しているかどうかは別としても、この影響力の武器に書かれている6つのパターンを応用しているのだそうだ。
あと関係ないけれど、もしかしたら自分はソーシャルエンジニアの素質があるのではないか?と思ってしまった。いや、もちろん犯罪はしたことはないけれど、情報を「ききだす」「自然に話させる」というあたりについては、なんというか、得意な方だと思うから。
●その他メモなど
http://www.phenoelit-us.org/dpl/dpl.html : Default Password List とか
http://www.ntsecurity.nu/toolbox/ : ClearLog とか
http://www.outpost9.com/files/WordLists.html : WordLists とか
FBIが調査し、AP通信社が2002年4月に報道した報告書によれば、大企業や政府機関の10のうち9つはコンピュータシステムに進入された経験がある。しかしおもしろいことに、同じ報告書によれば、侵入経験を認めているのは、わずかに3社に1社である。
セキュリティ計画の立案ステップ(p409より)
・保護すべき企業情報は何と何か?
・それらの情報資産に対する具体的な脅威は何か?
・それらの脅威が現実化したらどれだけの被害を被るか?
確かに頭が混乱してきたら、このシンプルな三つの原則に戻るとよいかも知れない。
ユーザアカウントのrevoke期限を設定する狙いは、幽霊アカウント・休眠アカウントを削除することにある。…なるほど。そういう理由ならよくわかる。