Social Engineer

ケビン・ミトニックを知っているだろうか。

わたしたちの世代では伝説的なハッカーだ。FBIに追われ、逮捕後はコンピュータの所持すら禁じられた。技術的に高度なことをやったのかと思いきや、彼の真骨頂はソーシャルエンジニアリングだった。電話一本で社員になりすまし、パスワードを聞き出し、IDCに入り込む。技術で突破するのではなく、人間を突破する。

いまの感覚で言えば、それはハッキングなのかという疑問が湧く。

彼の手法を分解すると、やっていることはシンプルだ。権威を装い、緊急性を演出し、相手に考える時間を与えない。「本社のシステム部ですが、緊急メンテナンスでアカウント情報が必要です」。いまなら誰でも怪しいと思う。でも当時はそれで通った。セキュリティ意識という概念自体が薄かった時代だ。

ソーシャルエンジニアリングという言葉には技術の香りがするが、やっていることの構造はオレオレ詐欺と変わらない。権威の偽装、緊急性の演出、判断力の剥奪。ミトニックが企業のシステム管理者に電話をかけていたのと、詐欺師が高齢者に「息子さんが事故を起こしまして」と電話をかけるのと、ソーシャルハックとしての骨格は同じだ。

ミトニックは出所後、セキュリティコンサルタントに転身した。攻撃者の視点でセキュリティを語れる人間は貴重だ。彼の著書には、最も脆弱なのは常に人間だと繰り返し書かれている。ファイアウォールもWAFもゼロトラストも、電話に出た人間がパスワードを読み上げたら無意味だ。

エンジニアリングとしては果てしなくしょぼい。しかしそれがいまだに最も有効な攻撃手法だという事実が、いちばんしょぼい。