「欺術」

「欺術（ぎじゅつ）―史上最強のハッカーが明かす禁断の技法」

「ソーシャルエンジニアリング」や「ハッキング」の本質を知るには、最高最適にして唯一の書籍でしょう。情報セキュリティ専門家を目指すの方なども、技術解説書やCISSP試験対策本だけでなく、ぜひ読んで欲しい一冊です。
情報セキュリティは、技術だけでなく、人的、物理的対策も重要であることを実際のエピソードを通じて、実感できます。

Amazon.co.jp
   本書のタイトル、『The Art of Deception』は、つまり他人にうそをついて信用を勝ち取り、あとからその信用を裏切ることで、喜びや利益を得るということだ。ハッカーは婉曲的に「社会工学」という言葉を使う。そして、そのハッカーから崇拝されるケビン・ミトニックが、実際に起こりうるシナリオを描いてみせている
   ミトニックが挙げる例を10件ほども見れば、なんらかの組織のセキュリティを担当している者ならば、生きる気力をなくしてしまうだろう。昔からいわれていることだが、セキュリティと人間とは本来相いれないものなのだ。組織とは、モノやサービスを提供することを目的に存在するのであり、有能で親切な従業員がそのモノやサービスを広めようとすることを期待する。人間は他人から好かれることを好む社会的動物なのだ。セキュリティの人的要素をコントロールするということは、だれかを、あるいはなにかを否定することになる。これは不可能なことだ。

   ハッカーの崇拝を受けるミトニックの名声を考えると、ハッカーが社会工学を使って攻撃する最後の標的がコンピュータであるというのは皮肉だ。『The Art of Deception』に描かれているほとんどのシナリオは、コンピュータを使わない組織にもあてはまるし、フェニキア人でさえ理解したであろう原則だ。ただテクノロジーの進歩によってより容易に実行できるようになったにすぎない。電話は手紙より早いし、つまるところ、大きな組織を持つということは、大勢の他人とかかわるということなのだ。

   ミトニックのセキュリティを守るためのアドバイスは、ほとんどが実用的に聞こえるが、いざ実行に移すとなるとそうでないことに気づく。より効果的なセキュリティを実現するということは、すなわち組織の効率を下げることになるからだ。競争の厳しいビジネスの世界では、効率をなにかの引き換えにするなど、まず不可能な話である。そもそも、「だれも信じてはならない」というルールがあるような職場で働きたいと思う人がいるだろうか。ミトニックは、セキュリティがいかに信頼によって簡単に破られるかを示して見せるが、信頼を抜きにして人は生きられないし、一緒に働くことなどできない。現実の世界では、組織が効果的に機能するためには、完全なセキュリティなど妄想にすぎないことを認めて、保険料を増やすしかないのだ。（Steve Patient, Amazon.co.uk）

出版社/著者からの内容紹介
史上最強のハッカーが明かす禁断の技法。
セキュリティはどのように破られ、情報はいかにして盗まれるのか。史上最強と謳われた伝説のハッカー、ケビン・ミトニックがはじめて明かす、ソーシャルエンジニアリング（欺術）の手口。推理小説よりも面白い事例とエピソードが満載。この技法を使ったら、もうだれも秘密は守れない！?

なお、ケビン・ミトニックについては、こちら