皆さん、はじめまして。 2 か月前にセキュリティ レスポンス チームに異動になったばかりの新米担当者です。よろしくお願いします。
異動前は某製品のローカリゼーションとリリースを担当する部署におりました。以前の部署での仕事がセキュリティとまったく関連しなかったわけではありませんが、セキュリティ専門の部署で仕事をするのは初めてです。
が、先日、セキュリティ関連のある記事を読んでいたときに、急にある記憶が蘇ってきました。
「あれ? この不正アクセスの手法、昔どこかで読んだ覚えが…」
記憶を辿ってみると、14 年ほど前、プログラミングの勉強等をしながらフリーランスでコンピューター関連書籍やユーザーマニュアルの翻訳の仕事をしていた当時に翻訳を担当した書籍に思い当りました。 その本は、元クラッカーが自身の行っていたクラッキングの手口を明かした本であり、さまざまな攻撃手法について解説したものでした。いわば「泥棒の手口を知って対策を立てる」という類の異質なセキュリティ対策本であり、あくまでもクラッカー目線で書かれたものです。興味深いことに、攻撃手法に留まらず「何のためにどこを狙うのか」というクラッカーの心情的な部分にも触れており、セキュリティにあまり興味のない人でも読み物として楽しめるような内容でした。残念ながら現在は絶版になっています。
非常にボリュームのある本だったので確か 4、5 か月はこの本の翻訳にかかりきりで、攻撃方法の巧みさに感心したり初めて目にするようなセキュリティ用語の数々を膨大な資料を漁りながら四苦八苦して訳していたことが懐かしく思い出されます。
その膨大な量のページに書かれていた内容の詳細は殆ど忘れてしまいましたが、未だに覚えているのは攻撃対象となるユーザーの心理的な盲点をつくためのテクニックの数々です。細工を施した Web ページを怪しいと思わせない手口や、トロイの木馬に引っ掛かるのはこんなユーザーだ、というようなことが書かれていたように記憶しています。今にして思えば「セキュリティ対策には物理的、技術的解決策だけではなく人間心理も学ぶ必要があるのだな」ということを最初に実感したのは、たぶんこの書籍の翻訳を経験した 14 年前のことだったのでしょう。
近年では、情報セキュリティ心理学というスタディもあり、ソーシャルエンジニアリングという言葉も一般的に浸透してきました。新米セキュリティ担当者の私としても、技術面だけでなく人間の心理的側面の勉強の必要性を強く感じています。
などということを考えていた矢先に、友人がネットオークション詐欺に引っ掛かってしまったとのニュースが! おいしい話につい目がくらんでしまったようです。
皆さんもどうか十分注意してくださいね。