欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法

日本語版は2003年6月25日リリース。FBIの『最重要指名手配』を最初に受けた史上最強のハッカー、ケビン・ミトニックが自らの手口を全て明かしたことで有名な著作だ。彼がハッキングした会社は1995年だけでも富士通、モトローラ、ノキア、サン・マイクロシステムズなどがあり、彼を逮捕するまでの攻防を描いたNSA(国家安全保障局)の下村努が書いた『若き天才日本人学者VS超大物ハッカー テイクダウン』は、『ザ・ハッカー』として映画化までされている。ミトニックは保護観察違反と、不正アクセスで1995年に服役し、1999年3月司法取引に応じ、同年8月、5年の刑と4,125ドルの罰金の判決が出たが、政府は何と1,500万ドルの請求を行っている。

まず驚きなのが序文をあのアップルの創始者の一人、スティーヴ・ウォズニアックが書いている。しかもケビン・ミトニックを絶賛している。この段階で既に騙されているのかもしれない。読めば読むほど引き込まれ、彼は単にコンピュータ・ネットワークに強いだけでなく、抜群の役者で、凄腕の心理学者であることが分かる。

もっと驚きなのが第16章の『企業の情報セキュリティポリシー』の内容である。この内容はまさに今年4月から日本でも始まったSOX法のIT統制の文章そのものであることだ。保護すべき企業情報にはじまり、具体的な脅威への対応まで一言一句同じではないかと感じるほどだ。つまりSOX法のIT統制はケビン・ミトニックの本書そのものの丸写しである、と言えると思う。これを上梓した学者連中はCOBITなどと偉そうなことを言っているがケビン・ミトニックのコピーをしただけだったのだ。

この本を読まずしてセキュリティを語るのは不可能と断言できる必携の書だ。

情報時代の高度な詐欺のノウハウについて書いた本書は、世界的なハッカーとして知られたケビン、ミトニックの体験に基づいた手口の解説であるだけに、大いに啓発されるハッキングの手法と防止法についてまとめてある。それを使いこなす能力をソーシャル・エンジニアリングと米国では言うらしいが、日本でオレオレ詐欺とかホリエモンのすぐ尻の割れる手口とか、小泉や安倍の幼稚な詐欺や二枚舌に馴らされたわれわれには、自分で考え出したのではなくアメリカさんから入れ知恵され操られた日本の詐欺師に比べ、流石は情報先進国のアメリカらしいという感じがする。この本は自分の頭で考えることが如何に大切かを教えており、日本のレベルが政治や詐欺でもアメリカに２０年遅れだと痛感させられた。

ソーシャルエンジニアリングというとカッコいいけれど端的にいってそれは「詐欺」のことである。社会は相互信頼で成り立っているのに、その信頼を逆手にとって情報を盗んだ。日本で続発している「振り込め詐欺」と本質的には同じである。また、著者の傾向として言葉のすり替えが多い。英米人には鮮やかな詐欺師を賞賛する風土があるように思う。ミトニック自身は家族でシャバットを祝えなかったことをお詫びしたい、と巻末にあるのでどのような背景の人間であるのか推測できよう。FBIでも尻尾を捉えられなかった人物を日本人物理学者が捕まえたことを私たちはもっと誇りに思ってよいだろう。読み方によっては犯罪指南書となってしまうのであえて低い評価にした。第16章の内容はセキュリティ担当者必読！

クラッキングの話ではない。
いかに人間自身がシステムの穴になっているかが書かれている
もし誰かがこの本通りに行えばシステムをのっとられる企業は１つや２つではないだろう
一番すべきことは人間の意識改革
当たり前だがそれが理解できない御仁にこそ薦めたい

ソーシャル・エンジニアリングの様々な手法、ケースが
コンパクトに読みやすく列挙されています。
拾い読み、流し読み等、気軽な読み方が出来ます。
セキュリティに関心のある方はもちろん、
対人における心理的なハッキング（≒工夫）のコツを得たい方にも面白く読める本だと思います。