【はじめに】
最近起こった問題をきっかけにホワイトハッカー入門 第2版を読みました。
読み終わった感想としては、一番の脆弱性は人間ではないかと思いました。
【理由】
いくつか本の内容を引用させて頂きつつ理由を記載します。
>自分たちの情報資産にまったく影響の出ない「脆弱性」や「脅威」にやみくもに対応しても、コストがかさむだけです。
- さまざまな脆弱性があり、OSやMWを最新にアップデートして対応していたりしますが、実施判断するのは人間で、実施するのも人間です。判断や操作を誤る可能性があります。
- 脆弱性をリスクと判断したり、脆弱性を突かれても問題無いと判断したり、正しい判断がどこまでできるかはその人によります。またその人もコンディションによってパフォーマンスが上下します。
本当に問題無いと言える根拠や複数人の意見を持って判断や実施をしたいと思います。
>セキュリティの強度というのは、構成する要素の中で最も弱いところです。ほとんどの場合、その最も弱い部分は人間です。
- ソーシャルエンジニアリングに関する章で記載されているものですが、人間の心理をつく攻撃手段で攻撃対象内部の人間から重要情報を聞き出したり、マルウェアをインストールさせる手法です。怪しいメールのリンクやファイルは開かないと思っていても、絶対誰も引っかからないなんて言えません。可能性としてはあり得ます。
- リバースソーシャルエンジニアリングというものにも触れられており、例えば相手から聞き出すという行為は警戒させるので、あらかじめサポート窓口が変わりましたと連絡しておいて、相手から連絡させるという方法です。よく聞く詐欺の手口に似ています。
メールアドレスドメインの偽装や正常性バイアスを働かせることによって見抜けにくくなる手法が載っていますが私もそこまでやられたら危ないと思いました。
>新しい技術や概念は、過去の技術が持っていた問題を克服したものとは限らない
- モバイル、IoT、生成AIと新しい技術が生まれていますが、インターネットを使うことがベースになっています。そのため過去の攻撃方法が通用する可能性もあり、問題が解決されているのではなく、攻撃の機会が増えていってます。
- 最近はローカルだけで動作するAIなども出てきており、セキュリティが向上するというのがイマイチわかっていない所もありましたが、この本を読んだおかげで腑に落ちました。
最後に
- 短いですが以上です。
- この本では上記以外にも実際どのように攻撃を仕掛けていくか、その手法をかなりのページ数を使って説明しています。実際どのようにして外から攻撃するのかがわかりやすく説明してあってよかったです。ただやはり人間の脆弱な部分が本を読んでいて怖いと思った部分だったので投稿しました。
あとは代表的なセキュリティ資格も紹介されており国際資格のCEH、IPAが実施している情報処理安全確保支援士などがありましたが、かなりハードルが高そうです。正直取得している人は尊敬します。今度本屋で問題集を見てみようと思います。
読んでいただきありがとうございます。