これから数日間は、ソーシャルエンジニアリングについてIT素人の私が、素人なりに解説してみますね。
ちょっと用語解説。
※ソーシャルエンジニアリングとは
総務省の定義では「ネットワークに侵入するために必要となるパスワードなどの重要な情報を、通信技術や使用せずに盗み出す方法です。その多くは、人間の心理的な隙や行動のミスにつけ込むことです」
この太枠で少し字を大きくしたところが本とです。「騙して聞き出す」「脅して聞き出す」「買収して聞き出す」「心理学的に聞き出す」などなども入ってくるからです。
人間の心理の隙をつくため、高度なコミュニケーション能力と高度なコミュニケーション「脳力」が必要となります。
最近流行りの「コンプライアンス」。これは「法令遵守」では、ありません。法令遵守は、官僚が民に自分たちのいうことを聞かせたいために、アホな政府とアホな政治家騙す手段」です。だから本来の意味は
愚民化政策
です。古代、ローマ帝国で国民の目をそらすためにグラない娯楽をやりました。それ自身が愚民化政策なのです。
「なんとか詐欺」とかが花盛りです。メールにもフィッシングメールが送られてきます。「相手の立場を想像する能力」が一番大切なのが、ソーシャルエンジニアリング能力です。なので、
サイバー攻撃などには経営陣だけが机上で講じていても他の関係者の信じる状態を作りやすいのです。
ソーシ「限りなく黒に近いグレーな心理術」という本があります。この本はまだ、「白詐欺」と「赤詐欺」のレベルなのですが、素人にはそれで十分です。規則正しく生きてきた真面目な鬱陶しい人間がそれに引っかかってしまいがちです。
弊社蔵相書より
真面目に生きちゃいけないんか?
と、よく聞かれます。でも、自分が真面目に生きることと、だからといって相手に黙れない生き方をすることは別物です。自分の選択したものに対しては、自分しか責任が取れないからです。「そんな人とは思わなかった」「親切に説明してくれたのよ」は、真面目に切ることと何も関係がありません。自分しか責任が取れないからです。
「黒詐欺」という言葉があります。白詐欺(真面目な人を騙す)と赤詐欺(女を使って人を騙す)を騙す、超高度な詐欺師です。私たちが黒詐欺に出逢うとしたら(もちろん白詐欺赤詐欺もありますが)、心理学をフル活用した
広義のITの世界なのです
それが企業を取り巻くサイバーセキュリティの世界です。
だって、どんなに情報技術が発展しても、どんなにセキュリティ対策が強固になっても、一番弱いものはなんですか?
真面目な人間
なんです。そこに対策を講じるのが
サイバーセキュリティ
なんです。
では、どんなに情報技術が発展しても、どんなにセキュリティ対策が強固になっても、一番強いものはなんですか? つづく
コメントする