【8月9日 AFP】米ラスベガス(Las Vegas)で開催されたハッカーの会合「デフコン(DefCon)」。集まったハッカーたちの間には、長らく1つの知見があった――人の愚かさを修正するパッチは存在しない。

 デフコンでは、ソフトウエア業界の反逆者たるハッカーたちが磨き上げた数多くのスキルが披露されたが、その中には不正侵入に必要な機密情報を、従業員との会話から引き出すための「話術」もあった。

「おしゃべりの逆襲(Schmooze Strikes Back)」と題されたコンテストでは、ハッカーたちはアップル(Apple)やオラクル(Oracle)、シマンテック(Symantec)、ウォルマート(Walmart)を相手に、会話などを通じて機密情報を盗み出す「ソーシャル・エンジニアリング」の腕試しをした。

 このコンテストは前年のデフコンで始まった。コンテストを主催するソーシャル・エンジニアリングの専門家、クリス・ハドナギー(Chris Hadnagy)氏は「結果は昨年よりもひどかった」と今大会をまとめた。「結果からみると、われわれの全面勝利だ」

 ハッカーたちは、社内で使っているソフトウエアのバージョンから社員食堂に食事を提供している業者まで、企業の従業員からさまざまな情報を引き出すことができた。ソフトウエアのバージョンがわかれば、攻撃すべきぜい弱性を突き止めることができる。また社内の運用情報が入手できれば、企業スパイが施設に潜入することも可能になる。

 最も効果的な策略は、取引を検討中の顧客のふりをして企業に電話をかけ、その企業の安全性を聞き出すことだという。ほかには、社内の別部署のスタッフのふりをして電話をしたり、遠方の技術サポート部門のスタッフのふりをすることも効果的とのこと。

 また、小売店は比較的難易度が高い。小売店の方が、顧客対応に慣れているからだろうと、ハドナギー氏は語る。

 ハドナギー氏は「女性の方がセキュリティー意識が高いことが多い」とコンテスト結果を分析した。「そういうときはもう一度電話をかけ直して、男と話させるようにする。それで欲しい情報は全部手に入るさ」とハドナギー氏は述べた。コンテスト結果をまとめた報告書は、年内に発表されるという。(c)AFP

【関連記事】「アノニマス」対「反アノニマス」、ハッカー同士が世界大会で大激論