欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法

コンピュータのセキュリティの専門書はものすごい量が刊行されていますが、人間をだます専門書でこれほど具体的なものはこれまでなかったのではないでしょうか。

最初に読んだ、被害者の社員番号を知るだましの電話は衝撃的でした。おなじような電話があったら、自分は何の疑問もなく自分の社員番号を教えていたことでしょう。それによって、犯人は被害者になりすます情報を一つ手に入れることができるのです。

本を読みすすめるうちに犯行はどんどん具体的になり、最終的には産業スパイが新製品のソースコードを盗んで競合他社に提供する手口までが極めて具体的に描かれています。

コンピュータのセキュリティをどれほど高めたとしても、ソーシャルエンジニアリングはそれを回避するためにさらに巧みなものになっていくでしょう。その手口に対処するために、この本はすべての経営者、セキュリティ担当者が必読の本です。

日本語版は2003年6月25日リリース。FBIの『最重要指名手配』を最初に受けた史上最強のハッカー、ケビン・ミトニックが自らの手口を全て明かしたことで有名な著作だ。彼がハッキングした会社は1995年だけでも富士通、モトローラ、ノキア、サン・マイクロシステムズなどがあり、彼を逮捕するまでの攻防を描いたNSA(国家安全保障局)の下村努が書いた『若き天才日本人学者VS超大物ハッカー テイクダウン』は、『ザ・ハッカー』として映画化までされている。ミトニックは保護観察違反と、不正アクセスで1995年に服役し、1999年3月司法取引に応じ、同年8月、5年の刑と4,125ドルの罰金の判決が出たが、政府は何と1,500万ドルの請求を行っている。

まず驚きなのが序文をあのアップルの創始者の一人、スティーヴ・ウォズニアックが書いている。しかもケビン・ミトニックを絶賛している。この段階で既に騙されているのかもしれない。読めば読むほど引き込まれ、彼は単にコンピュータ・ネットワークに強いだけでなく、抜群の役者で、凄腕の心理学者であることが分かる。

もっと驚きなのが第16章の『企業の情報セキュリティポリシー』の内容である。この内容はまさに今年4月から日本でも始まったSOX法のIT統制の文章そのものであることだ。保護すべき企業情報にはじまり、具体的な脅威への対応まで一言一句同じではないかと感じるほどだ。つまりSOX法のIT統制はケビン・ミトニックの本書そのものの丸写しである、と言えると思う。これを上梓した学者連中はCOBITなどと偉そうなことを言っているがケビン・ミトニックのコピーをしただけだったのだ。

この本を読まずしてセキュリティを語るのは不可能と断言できる必携の書だ。

情報時代の高度な詐欺のノウハウについて書いた本書は、世界的なハッカーとして知られたケビン、ミトニックの体験に基づいた手口の解説であるだけに、大いに啓発されるハッキングの手法と防止法についてまとめてある。それを使いこなす能力をソーシャル・エンジニアリングと米国では言うらしいが、日本でオレオレ詐欺とかホリエモンのすぐ尻の割れる手口とか、小泉や安倍の幼稚な詐欺や二枚舌に馴らされたわれわれには、自分で考え出したのではなくアメリカさんから入れ知恵され操られた日本の詐欺師に比べ、流石は情報先進国のアメリカらしいという感じがする。この本は自分の頭で考えることが如何に大切かを教えており、日本のレベルが政治や詐欺でもアメリカに２０年遅れだと痛感させられた。

ソーシャルエンジニアリングというとカッコいいけれど端的にいってそれは「詐欺」のことである。社会は相互信頼で成り立っているのに、その信頼を逆手にとって情報を盗んだ。日本で続発している「振り込め詐欺」と本質的には同じである。また、著者の傾向として言葉のすり替えが多い。英米人には鮮やかな詐欺師を賞賛する風土があるように思う。ミトニック自身は家族でシャバットを祝えなかったことをお詫びしたい、と巻末にあるのでどのような背景の人間であるのか推測できよう。FBIでも尻尾を捉えられなかった人物を日本人物理学者が捕まえたことを私たちはもっと誇りに思ってよいだろう。読み方によっては犯罪指南書となってしまうのであえて低い評価にした。第16章の内容はセキュリティ担当者必読！

クラッキングの話ではない。
いかに人間自身がシステムの穴になっているかが書かれている
もし誰かがこの本通りに行えばシステムをのっとられる企業は１つや２つではないだろう
一番すべきことは人間の意識改革
当たり前だがそれが理解できない御仁にこそ薦めたい