映画「The Hacker」のモデルとなった伝説のハッカー、ケビン・ミトニック氏の情報セキュリティーセミナーに行ってきた。よくビザが下りたものだと思っていたが、やはりそれは大変だったようだ。

内容はソーシャルエンジニアリングのテクニックについての実例の紹介が多かったが、いかに何億ドルもの予算をセキュリティにあてていたとしても、電話一本で簡単に重要な情報にアクセスできてしまうかの実例がいくつも紹介されていた。

例えば、あるプロジェクトの責任者が休暇中だったとして、その代行で業務をしている人に「○○さんが休暇前にはあのデータを送ってくれるって約束していたんですが」というだけで簡単にデータを送ってくれたりしたそうだ。
またITサポート部門に電話して「パスワードをリセットして欲しい」と言って簡単な初期パスワードに変えてもらった後に、本人にIT部門を装って電話して「問題があったのでパスワードを****にしました。でもまだ解決していないので2,3日はいじらないでください」と、言うだけで簡単に侵入できるのだ！確かに金融系みたいにIT部門の立場が弱いところだと、トレーダーから電話掛かってきて「すぐにパスワードをリセットしろ！何百万もの損失を会社に与える気か！」と恫喝されたら、ほとんどの人はやっちゃうだろうなぁ。

あと、ゴミ箱は宝の山だとか。要注意！