"4) ソーシャル・エンジニアリングについて dr_dankによる..."

“4) ソーシャル・エンジニアリングについて
dr_dankによる

私はあなたの本は読んだし、昨夏のH2K2にも出席しました（次回はお話が聴けるのを楽しみにしていますね）。さて、ソーシャル・エンジニアリングのパネルへの質問です：

ソーシャル・エンジニアリングの失敗談はありますか？　つまり、相手に計略を見抜かれて、情報を引き出せなかったことは？

ケビン：

まったくないです。

もしターゲットが非協力的であったり猜疑的であれば、疑われるのを避けるために、ぼくは要望を取り下げる。そして、違うひとに当たることにしているんだ。

ある機会に、友人のひとりから、彼のSprint Foncardの番号を引き出すのに挑戦しないかと持ちかけられた。成功したらディナーをおごってくれるって言われて。ディナーとは魅力的だったので、カ スタマー・サービスにIT部局を装って電話した。そして、彼女ではコンピュータの操作が困難なら、担当者を出すようにと頼んだ。操作は彼女でできた。自分 がサービス・センターにちゃんと勤務する人間であるとあとで証明したかったので、彼女が操作している、顧客のアカウントにアクセスするシステムの名前を聞 いた。彼女は教えてくれた。その直後、ぼくは別のサービス担当に電話をした。ぼくのコンピュータがダウンしていて、顧客のアカウントを取り出せないのだと 彼女に告げた。彼女は端末につないだ。ここで、ぼくは彼女にその顧客のFoncardの番号を聞いた。すると、彼女はぼくに何百万もの質問をなげかけた始 めたのだ。もう一度、あなたのお名前は？　勤務先は？　住所は？　そうなんです。ぼくはきちんと下調べをしていなかったので、名前を場所をでっちあげた。 うまくいかなかったね。ぼくの電話があったことをセキュリティ担当に報告するって言われてしまった！

彼女の名前を聞き出すと、その友人にその場で概略を伝えて、「セキュリティ調査員」が報告を聞きにいくのを装って電話してもらった。彼はカスタマー・サー ビスに電話しなおして、その女性に転送してもらった。その「セキュリティ調査員」は、不審な人物が、アカウントを持っている顧客の個人情報を聞き出そうと 電話をしてきたという報告を受けている、と言った。彼は、その「疑わしい」電話の詳細を聞いた後、その電話をしてきた者が尋ねたのと同じことを聞いた。彼 女はその顧客のFoncardの番号を言ってしまった。その「調査員」は番号を尋ねたのだった。彼女は彼に番号を伝えてしまったわけだ。やったね！　とい うわけで、おしまい。”

- 本家インタビュー：ケビン・ミトニック - スラッシュドット・ジャパン