ソーシャルエンジニアリング講習参加者インタビュー、最難関実習課題

トレーニングはまずチーム作りに時間を費やします。チームで情報交換や役割分担をしながら情報入手を試みるからです。トレーニングは連続4日間、午前9時から午後6時まで講義が行われ、受講者全員に夜の宿題が課されます。

特集特集

43 views

2015.2.3 Tue 9:30

BTジャパン CTO フィリップ・モリス氏によれば、ロンドンオリンピックではスタッフにソーシャルエンジニアリングの訓練が実施された(当誌連載「2020年東京オリンピックで何をすべきか」参照)。

世界最大のハッカーカンファレンスDEF CONのソーシャルエンジニアリングビレッジを開催する、クリストファー・ハドナジー氏が代表をつとめる米Social‐Engineer社は、セキュリティ企業の研修等のために、ソーシャルエンジニアリングのブートキャンプなどのワークショップを開催している。DEF CON 22 と同時期に行われたワークショップを受講した、日本国内でソーシャルエンジニアリングに対する対応の紹介や体系的理解の推進を行う、株式会社アズジェントのネビン・パトリック氏に、ワークショップの講義や訓練の内容を聞いた。

――ワークショップには仕事として参加したんですね。

僕が所属する株式会社アズジェントは、米Social‐Engineer社のパートナーとして、日本国内でソーシャルエンジニアリング対策の紹介や、そのためのソーシャルエンジニアリング体系の理解の推進を行っています。決して、僕が腕利きのソーシャルエンジニアになるために参加している訳ではありません。

ハドナジー氏は、ソーシャルエンジニアリング対策を行う際、攻撃者であるソーシャルエンジニアが、どのようにチームを形成して、それぞれの役割の中で情報取得するかを検討することが最も重要だと考えています。つまり、ちょっとした訓練で、結構重要な情報を入手することを実体験することが、対策方針を決めるうえでの指針となるということです。

しかし一方で、言葉や文化の差もあり、ハドナジー氏の講義をそのまま日本に持ってきても、伝わりにくい部分もあるので、その調整をするうえで、僕がこのコースに参加しました。

――ソーシャルエンジニアリングのトレーニングに参加しているのはどんな人ですか？

※本記事は本日配信のScan有料版に全文を掲載しました