ScanDispatch「21世紀の子育て -- 米ハッキングイベント開催意図」
オンライン利用者の年齢低下に伴い、オンラインでの嫌がらせや、犯罪の犠牲者になる子供の数も増えつづけている。PCセキュリティやプライバシー保護の技術だけでなく、ソーシャルエンジニアリング(会話や心理テクニックなどの社会的手段でパスワードなどの重要情報を盗
国際
海外情報
毎年夏にラスベガスで開かれる国際情報セキュリティ会議 DEFCON。19回目を迎えた2011年は、新たに子どもを対象にした面白いコンテストが加わって話題を提供した。
DEFCONは、情報セキュリティに関する1時間弱の講演があるトラックがメインだが、Tシャツなどのグッズが買えるショッピングエリア、CTFを行うエリア、そして、ベストのコーヒーを決めるコーヒー・ワー、ロック・ピッキング・セミナー、去年から始まり非常に人気なソーシャルエンジニアリング・コンテストなど、併設イベントが盛りだくさんだ。
そのイベントのひとつとして2011年に新しく行われたのが、「DEFCON KIDS」だ。11歳の少女ハッカーが新しい脆弱性を発見したことで話題になった同イベントだが、同時開催されていた子供向けソーシャルエンジニアリングのCTF、「How Strong is Your Schmooze Kids Edition」は今までにないコンセプト。
このCTFを主催した Social-Engineer.org の代表、クリス・ローガン・ハドナギー(Chris「logan」Hadnagy)氏に電話インタビューができたので紹介したい。
「How Strong is Your Schmooze Kids Edition」は、ワークショップとコンテストが一緒になったもので、子供たちにソーシャルエンジニアリングとはどういったものかを教え、それを実際に試せる機会を与えるものだ。セールストーク、プレテキスティング(相手が秘密を喜んで教えてくれるようにもっていくシチュエーションを作ること)、Webで情報を見つける方法、他の人から情報を引き出す方法などを参加した子供たちに教え、「例えば、暗号化された文章を平文化して、そこに名前のある人を探して情報を引き出し、そしてその人から必要な情報を引き出せたら、今度は次のステージに使うパッケージを手に入れられる」ような、非常に面白いゲームのようなコンテストを用意したそうだ。「その他、ロック・ピッキングやら、ソーシャルエンジニアリングの広範囲の部分をこのイベントでカバーできたと思う」と、ハドナギー氏。
読者の中には「なぜ子供にソーシャルエンジニアリングを教える必要があるのか?」という疑問をお持ちになるだろう。ハドナギー氏は「その理由は、子供はいつもソーシャルエンジニアリングの被害者としてターゲットにされるためだ。オンラインで犯罪の対象にする意図を持って友達になろうとする人の手法も、ピア・プレッシャー(友達からのプレッシャー)もソーシャルエンジニアリングのひとつだ。また、あまり嬉しい例じゃないけれど、両親が離婚した家庭ではよく、一方の親がもう一方の親を敵視するように子供をそむけるよう操作することがある。これも立派なソーシャルエンジニアリングだ」。そう言われれば、確かにそうだろう。
こうしたネガティブなソーシャルエンジニアリングをマスターするのではなく、誰かがソーシャルエンジニアリングを行おうとした時に、この「How Strong is Your Schmooze Kids Edition」に参加した子供たちなら、「あ、今、彼は、僕に対してソーシャルエンジニアリングしようとしている」と認識できる、この能力をつけて身を守ることができるのだ。
それにしても、ハッカーBBSに「たむろ」するティーンエージャーのオフ会として始まったDEFCON。毎年参加者の年齢層が上がっていることは確かだが、保護者同伴でなければ DEFCON Kids にも、「How Strong is Your Schmooze Kids Edition」にも参加できない。本当に子供たちが親と一緒にDEFCONに来るなんてあり得るのだろうか?
ところが、
※本記事は有料購読会員に全文を配信しました
(米国 笠原利香)
DefCon Kids Village
http://www.defconkids.org/
《ScanNetSecurity》