Bruce Schneier Counterpane Internet Security
「CRYPTO-GRAM May 15, 2007」より

 2007年のスーパーボウルで大掛かりないたずらが成功したという,奇想天外な話が出てきた。同試合のテレビ放映で秘密のメッセージを伝えるべく立ち上がった5人が,会場のドルフィン・スタジアムに0.25トンを超える荷物を無断で持ち込んだのだ。

 厳重なセキュリティにもかかわらず,すべてあり合わせの彼らが,やすやすと周辺警備スタッフになりすませたことは驚きだ。しかし,このような警備体制を受け入れる我々にとっては,なりすましはそう簡単であるべきではない。今回いたずらを仕掛けた人物は,警備について次のような点を見出した。

  1. スーツを着用すること
  2. Bluetoothヘッドセットを着用すること
  3. 大きな声で,回線の相手先に話しかけているよう装うこと
  4. クリップボードを携帯すること
  5. 白人であること

 繰り返すが,上記の項目で驚くべき点はない。ただ,肝心なセキュリティが抜け落ちているのに,一般人は(身体検査などの)セキュリティ対策でイヤな思いをしなければならないのはなぜかと考え込んでしまう。

 昨年,アカデミー賞授与式に潜入した人物は,「シェフの身なりで生きたロブスターを持って会場に現れ,いかにも関係者であるという素振りをする」と,同じようなアドバイスをしている。

 これらよりもはるかに小規模なケースとして,ある銀行の支店でソーシャル・エンジニアリングを試した人の話をしよう。

最初の支店に入店したのは午前9時くらい。ディッキーズのつなぎ,野球帽,作業靴,サングラスのいでたちで,受付の若い女性に近づいた。『こんにちは』と私は話しかけた。『XYZ害虫駆除会社から来たジョン・ドウ(仮名)です。害虫検査のため伺いました』と,笑顔で資格証をちらりと見せた。彼女は私をしばらくみた後,『ああ,そうですか。支店長に確認させてください』と告げて受話器を手にした。私は立って親指をいじりながら,電話が支店長につながって確認が取れるのを待った。手はずどおりいけば,先週私が支店長あてに送付した偽のメールによって検査は許可されるはずだった。実際にその通りとなった。

 ソーシャル・エンジニアリングは驚くほど簡単だ。拙著「Beyond Fear(邦題:セキュリティはなぜやぶられたのか)」の144ページ(訳注:邦訳本では208ページ)では,次のように書いた。「ソーシャル・エンジニアリングは,基本的に成功するはずだ。他人の手助けをしてあげようと思う人が多く,会社で働く人もほがらかで親切な人が多いのだから。攻撃はめったになく,情報や助けを求める人の大半は,本当に情報や助けを求めているのだから。この状況を利用すれば,だまして欲しい物を手にできるというわけだ」

 いずれにせよ,今回の話はカバー・ストーリー(特集記事)のネタとなるだけだろう。

Zugが仕掛けた今回のいたずらについて:http://www.zug.com/pranks/super/http://www.zug.com/pranks/super/press_release.html
http://cockeyed.com/pranks/hargrave/superbowl01.shtml

今回のいたずらを捏造とする意見:http://www.engadget.com/2007/03/17/...
捏造ではないとする意見:http://blog.wired.com/tableofmalcontents/2007/03/...http://cockeyed.com/pranks/hargrave/...

ドルフィン・スタジアムでの身体検査について:http://www.aclu.org/crimjustice/searchseizure/...

ドルフィン・スタジアムのセキュリティに関するデーブ・バリー氏の意見:http://www.schneier.com/blog/archives/2007/02/...

アカデミー賞授与式への潜入:http://www.schneier.com/blog/archives/2006/03/...

ある銀行支店でのソーシャル・エンジニアリング:http://www.protokulture.net/?p=79


Copyright (c) 2007 by Bruce Schneier.

◆オリジナル記事 「Social Engineering Notes」
「CRYPTO-GRAM May 15, 2007」
「CRYPTO-GRAM May 15, 2007」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。

◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,2006年10月に英BTの傘下に入りました。国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています