2000.2.20号 10:30配信


Home

t2t2とTownFieldの厨房TALK
【その2・俺もお前もソーシャルエンジニア】

t2

であ、第2回は最近流行しているソーシャルエンジニアリング(社会工学、SE)ってことでいきましょうか。SEってなにさ?

TF

いきなりかよ。しゃあねえなぁ。
えー、SEってのは、望んでる社会を作り上げるための手法とか方法論を指すものだと思われます。
詳しくは広辞苑を(笑)

t2

最近、厨房業界(そんなのあるのか?)でもよく使われるよね。なんで?

TF

自分の望んでいることをやるための手段って意味でしょ。ネット上ではなく、現実世界に働きかけてさ。
t2が思うSEって、どんなん?

t2

詐欺、パクリ…えー、パルコ札幌店にあったココ山岡(笑)

TF

ココ山岡(^^;)俺もはまった

t2

パルコの入り口で? 「ちょっとスイマセン」とか(笑) あれは大迷惑だけど美人が多い

TF

そうそう、「あ、わたしと年一緒なんですかー」なんていってだまされて(苦笑)
いかにも人が良さそうな顔してね

t2

しかし、被害者があんなにいるとは思わなかった。ホントにアホばっか

TF

SEってのは、そうした人の「疑わないアホさ」を逆手にとるわけです

t2

なるほど。やはり詐欺師ですな(笑)

TF

t2の知ってるSEの例って?

t2

詐欺師と言えば、光クラブ事件が最高。『白昼の死角』って小説になって映画化もされた。
大使館を使った手形パクリだよ、確か。あとはM資金かな

TF

結婚サギの被害者もいっぱいいるしね。t2に引っかかった女の子とか・・・。あ、これは極秘か

t2

そんな被害者いません(--; 
ともかく、嘘はでかい方が真実っぽい。結婚詐欺師の設定もカメハメハ大王の血筋で米軍パイロットとか。
なんでそんなに騙されるかって感じだけど、一流の詐欺師は一流のホテルを使うし

TF

t2の手練手管は別の機会に紹介するとして・・・さて、いわゆるUG用語のSEについてですが、事例は?

t2

管理者装って、「システムダウンのためIDとPASSをお知らせ下さい」とか? 初心者向けだね、これ

TF

SO−NETだったっけ?どんな手口で、何人がだまされたのかな? それに管理者はどう対処したんだっけ?

t2

この手法は、変種も含めてどこにでもあるよ。特に、SO-NETはポスペユーザー(女子供)が多いからねぇ・・・
って、俺もポスペユーザーだ^^; 対処方法? そんなもん知らない(爆)

TF

でもさ、周りの連中を見渡しても、そうしたニセメールにだまされそうな奴って多くないか?

t2

多い(笑) 一回やってみようかな、って君は人のメール見ることばかりだな<TALK1参照

TF

俺がいいたいのは、メールを郵便と勘違いしてたら痛い目を見るってことさ。
まぁ、郵便だってどこで読まれてるかわからないけどね。メールよりは秘密保持になるんじゃない?

t2

なるほど。説教泥棒みたいな奴だな、君は(笑)

TF

あのな・・・

t2

はい・・・。ところで、SEから話が遠くなっているような気がするのですが

TF

まぁ、ええわい。ほんでSEだが、システム管理者に電話をかけて、自分は会員だとだまくらかすテクがあるだろ

t2

クラッカーの初歩だね、それ。テレビでやってた。ほとんどの人が騙されるってさ。
普通はね、そういう電話受けたら、かけ直すのが基本だけど

TF

「そんなことできるの?」と思うところだけど、小さなプロバなら、割と簡単にだませるんじゃない?
特に電話の相手がアルバイトだったりすれば、なおさらね。
そしてだましのポイントは、所々にほんまもんの情報を入れること。

t2

なるほど。ま、早い話、SE=騙しやすい環境をつくる、ってことか?

TF

本当のことを一つでも入れると、電話でもコロっとだまされるらしいですね。
例えば「住所は△△になってると思いますが、最近××に引っ越しました」とか。もちろん△△は調べておく

t2

なんで詳しいんだ? やったな、実際に・・・

TF

いや、雑誌の受け売り。でもさ、現実世界でも聞きにくい情報を聞き出すときの常套手段なんだよね。
借金取りとか、SE駆使してんじゃないの

t2

ま、それはそうだね。「これなんですか?」より「これは○○らしいですが、こちらは?」って方が情報は出る。
借金取りは実践的なSEだ。肝臓売れとか(笑) これは違うか

TF

コンピューターに関する知識が少ないと、あっさりだまされる。
先のメールなんていい例で、「あ、そうなんだ。システムダウンなんだ」ってね。

t2

カタカナ語も煙に巻くポイントかもね。要は女、カタカナ語、そしてちょっとした真実(笑)

TF

おまえこそ、経験者だな(冷汗)

t2

なんでやねん(--;

TF

ちょっと脇道にそれるけどさ、オヤジ連中に、パソコンが苦手だってことを得意げにしゃべる奴いない?
「いやー俺、こんなんさっぱりわかんなくってさー」なんて大声で触れ回って。

t2

いるね、うんうん

TF

コンピューターでもなんでも、わからんことがあったら、少しずつ理解しようとするもんだろ?
そういう努力も向学心も好奇心もない奴が、SEのエジキになるような気がするな

t2

グハハハ。それは言えてる。想像力の問題と思うけど、その範囲超えると判断付かないね、実際問題

TF

ま、善人の理解を超える行為なわけだ。SEは。
こんなのもあるな。ある職場に、集金や誰かをたずねに来たふりをして入り込む。
そこで誰かがパソコン上にIDやパスワードを記した付箋やメモをはっつけてたら、それを記憶してしまう。あとは情報とりほうだい

t2

しかし、それはSEでなくて単なるオイタ

TF

いや、立派なSEさ。危機管理意識の盲点をつくという意味で

t2

なるほど。不正侵入の9割は、PASS盗まれてるんだよね。
そういや転送メールとか代行秘書サービスってSEに打ってつけの小道具だ

TF

別人の名前をかたって資料請求する場合は必須。相手に自分の本当の住所なんかを教えるわけにいかないもんね

t2

起業家は最初、代行秘書使うこと多いし、真面目な人にはお気の毒・・・。
気の利く企業は元SEE・ソーシャルエンジニアリングエンジニア(笑)をセキュリティ担当者で雇っている

TF

SEを防ぐには、自分が不正進入してみようとあれこれ考えるしかないな。穴はいくらでもあるんだよね。「攻撃は最大の防御」か?

t2

やっぱ説教泥棒だよ、君(--;

TF

車でコンビニへ買い物に行き、鍵をかけないで降りちゃう奴はSEのエジキ(笑)。その油断がSEを招く

t2

基本的な危機管理(と言うほどのものでもないか)の問題? 騙される人は何回も騙されるし。
でさ、TFは騙されたこと無いの?

TF

あるよ。でも学習してる。

t2

なにに騙された?

TF

騙す行為じゃなくて、思想にね

t2

はぁ?

TF

「騙す思想」ってのは要するに、「あ、自分のこういう考えの無さを突かれたのか」ってこと。

t2

そういや俺、裏流出芸能人ビデオに3万出したぞ。なにも来なかった。
設定がすごくてさ、プロダクションがどうの、借金がどうのって・・・ね。
でも、恥ずかしくて被害届なんて出せない。ホスト募集詐欺と同じだ、グハハハ。ニフの掲示板で見つけて速攻入金したんだよなぁ。あぁ、腹立ってきた。ログ公開してやる

TF

あ、俺もとある会員制アダルトサイトに入金したら、まったくの詐欺だった。
会費は3000円。ちょうど出しやすそうな値段がミソ

t2

安いか高いか、がポイントかも。安いと騙されても良いと思うし、高ければホントっぽい(笑)
しかし、男はつくづく下ネタに振り回される。カルマだな、こりゃ

TF

振り回されないヤツも、ごくまれにいるようだけどね・・・。
中間まとめ。不正侵入の結果自体を求めるならSE。侵入するまでの過程を追求するならハッキングだな

t2

まだ、中間かい(--; そろそろ締めるぞ。
厨房殺すにゃ刃物は要らぬ、オッパイ二つあれば良い、ってとこだね<なんだよそれ(ー。ー;)

TF

「都都逸」で締めですか。格調高い(?)ね

 講談社日本語大辞典によると社会工学は「社会問題を工学と同じような技術的方法で分析し解決しようとする学問分野。自然科学の分野で発達した予測法を社会科学に取り入れ、産業公害・交通事などの防止法を研究する」ものだそうです。
 またその手の資料によると「ソフトよりもウェットウェアの弱点を利用するクラッキングテクニック」で「騙してパスを手にれたり、セキュリティ情報を収集」する。また「電話など古典的手口では、フィールドサービスを装って情報を要求、緊急事態のふりをする」そうです。
 悪意を持った人間が、騙す相手を陥れるための環境を整え、相手をハメ、パスやセキュリティーホールを入手するとか。
 多くのユーザー・企業が、こんな手口に振り回されているのが現実ですね。
 有名な言葉には「There's a sucker born every minute=1分ごとに間抜けが出てくる」なんて言われてます。
 SEについて知りたい人は社会工学研究所とか、アングラ用語の基礎知識とか、AOLクラッカー天国?とか、CNET.comのHow I got hacked on AOLなどへどうぞ



indexBackNext



Home
(C) 1999 Webnews
ご意見・ご感想・お問い合わせはwebmaster@webnews.gr.jpまで