ケビン・ミトニックのセミナーに行ってきた - セキュリティは楽しいかね？ Part 1

というわけで、ケビン・ミトニック氏のセミナーに参加してきた。

講演タイトルは、"The Art of Deception"でソーシャルエンジニアリングがテーマ。同名タイトルの著書（「欺術」）を読んだことのある人だったら、大体想像のつく内容ではあった。それでも、スタンリー・マーク・リフキンの銀行詐欺事件（本にも出てくる）や自身がモトローラ相手にやったソーシャルエンジニアリングの手法など、実際の事例紹介を中心にユーモアあふれる語り口で90分間飽きさせることがなかった。

また興味深いデモも2つ見せてくれた。SPYBRIDGEという電話のMITM攻撃ツールのデモでは、Phishing攻撃にあったと仮定して、偽のテレフォンバンキングの番号に電話をした被害者の入力（口座番号や暗証番号）が盗聴される様子を見せていた。被害者からの電話は、このツールを経由して実際の銀行のテレフォンバンキングシステムに中継されるため、自分が盗聴されていることに気付きにくい。

もう一つのデモでは、USBメモリ（マルウェアが仕込んである）をWindowsXPマシンに接続しただけで、外部のマシンからリモートデスクトップで簡単にコントロールされてしまう様子を見せてくれた。いずれのデモも一般の利用者が見るとかなりインパクトのあるものだと思う。

最後にこの分野で参考になる本として、自身の2つの著作以外に、"INFLUENCE"（「影響力の武器」）もすすめていた。この本は「なぜ人は動かされるのか（だまされるのか）」をテーマに、人間の行動を導く基本的な6つの心理学の原理（返報性、一貫性、社会的証明、好意、権威、希少性）について説明したものである。ソーシャルエンジニアリングを語る上では是非読んでおきたい一冊といえる。（全くの余談だが、Google Hackingで有名な Johnny Long氏が書いた "No Tech Hacking"もソーシャルエンジニアリングを正面から取り上げたとてもユニークな本である。Kevin Mitnick氏も冒頭の文章を書いている。それとさらに余談だが、Johnny Long氏がこのテーマで話をした DefCon15での講演はとてもおもしろいので一見の価値あり。）

初来日セミナーということでかなり反響があったようだが、参加して損はなかったと思う。