ケビン・ミトニックのセミナーに行ってきた
というわけで、ケビン・ミトニック氏のセミナーに参加してきた。
講演タイトルは、"The Art of Deception"でソーシャルエンジニアリングがテーマ。同名タイトルの著書(「欺術」)を読んだことのある人だったら、大体想像のつく内容ではあった。それでも、スタンリー・マーク・リフキンの銀行詐欺事件(本にも出てくる)や自身がモトローラ相手にやったソーシャルエンジニアリングの手法など、実際の事例紹介を中心にユーモアあふれる語り口で90分間飽きさせることがなかった。
また興味深いデモも2つ見せてくれた。SPYBRIDGEという電話のMITM攻撃ツールのデモでは、Phishing攻撃にあったと仮定して、偽のテレフォンバンキングの番号に電話をした被害者の入力(口座番号や暗証番号)が盗聴される様子を見せていた。被害者からの電話は、このツールを経由して実際の銀行のテレフォンバンキングシステムに中継されるため、自分が盗聴されていることに気付きにくい。
もう一つのデモでは、USBメモリ(マルウェアが仕込んである)をWindowsXPマシンに接続しただけで、外部のマシンからリモートデスクトップで簡単にコントロールされてしまう様子を見せてくれた。いずれのデモも一般の利用者が見るとかなりインパクトのあるものだと思う。
最後にこの分野で参考になる本として、自身の2つの著作以外に、"INFLUENCE"(「影響力の武器」)もすすめていた。この本は「なぜ人は動かされるのか(だまされるのか)」をテーマに、人間の行動を導く基本的な6つの心理学の原理(返報性、一貫性、社会的証明、好意、権威、希少性)について説明したものである。ソーシャルエンジニアリングを語る上では是非読んでおきたい一冊といえる。(全くの余談だが、Google Hackingで有名な Johnny Long氏が書いた "No Tech Hacking"もソーシャルエンジニアリングを正面から取り上げたとてもユニークな本である。Kevin Mitnick氏も冒頭の文章を書いている。それとさらに余談だが、Johnny Long氏がこのテーマで話をした DefCon15での講演はとてもおもしろいので一見の価値あり。)
初来日セミナーということでかなり反響があったようだが、参加して損はなかったと思う。
- 作者: ケビン・ミトニック,ウィリアム・サイモン,岩谷宏
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2003/06/21
- メディア: 単行本
- 購入: 9人 クリック: 98回
- この商品を含むブログ (100件) を見る
- 作者: ケビン・ミトニック,ウィリアム・サイモン,峯村利哉
- 出版社/メーカー: インプレス
- 発売日: 2006/09/21
- メディア: 単行本(ソフトカバー)
- 購入: 4人 クリック: 37回
- この商品を含むブログ (64件) を見る
- 作者: ロバート・B・チャルディーニ,社会行動研究会
- 出版社/メーカー: 誠信書房
- 発売日: 2007/09/14
- メディア: 単行本
- 購入: 111人 クリック: 1,196回
- この商品を含むブログ (217件) を見る
No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing
- 作者: Johnny Long,Kevin D. Mitnick
- 出版社/メーカー: Syngress
- 発売日: 2008/03/07
- メディア: ペーパーバック
- クリック: 8回
- この商品を含むブログ (2件) を見る
DefCon15での Johnny Long氏の講演ビデオ
http://video.google.com/videoplay?docid=-2160824376898701015