[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy氏インタビュー (2) ソーシャルエンジニアリングと日本文化 | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy氏インタビュー (2) ソーシャルエンジニアリングと日本文化

「たとえば初めての年、攻撃された企業はみんな怖がっていた。だから僕は、『もしも僕らのデータを見たいようであれば、すべて見せます』とオファーして、無条件で見せた。それは効果があったし、助けになったよ」

特集
Chris Hadnagy 氏
  • Chris Hadnagy 氏
  • SECTF で使われるガラス張りの防音ブースに入っているのは取材協力をいただいた株式会社アズジェントのお二人。挑戦者は、この中から電話をかける
  • 驚くほど親切な方ばかりだったチームの皆さん
今年もラスベガスで開催された世界最大級のハッキングカンファレンス DEF CON。このイベントには様々な企画が目白押しだが、中でも最大級の目玉とされているハッキングイベント、CTF(Capture The Flag)についてはご存じの方も多いと思われる。

しかし今年で 5 回目の開催となった SECTF (ソーシャルエンジニアリング CTF)は、日本人にとっては馴染みが薄いだろう。SECTF とは、その名のとおり「挑戦者がソーシャルエンジニアリングのスキルを争う競技」だ。技術を駆使するのではなく、人間の心理を利用するソーシャルエンジニアリングの能力を、果たしてどのように競うのか?

SECTFとChristopher Hadnagy 氏の本誌取材をバックアップしてくれた株式会社アズジェントは2013年、日本にChris 氏を招いてセミナーを開催するなど、日本国内でのソーシャルエンジニアリングの体系的理解と対策方法を模索するための試みを積極的に行っている。そこで、日本人にソーシャルエンジニアリングの講演を行った経験のあるChris氏に、日米の文化の違いなどについて話を聞いた。

●日本とソーシャルエンジニアリング学習

──国外のトレーニングで、国の違いによって生じた困難はありましたか?

「たとえば英国。多くの英国人にとって、いきなり外に出て知らない人と話すのは難しいから、リラックスさせて外に出すのは少し大変だった。
僕の米国のクラスに参加する人々は国際的なんだ。日本、シンガポール、ドイツ、ポルトガル、スペイン……基本的に世界中の人々だけど、彼らは米国に住んでいるから、それは英国のトレーニングとは少し違った。
それでも、いろいろな国から来た人がトレーニングを受けているのは事実だよ、中国、タイ、ロシア……」

──海外の人々にも、あなたの理論は通じるのですね。

「通じる。唯一、変えるのはボディランゲージの部分だね。それは国によって大きく異なるから。それでも基本的な理論は変わらない。どのようにコミュニケーションを取るのか、その国の文化の違いを理解している限りは、どの国でも通用するね」

──実は、初めて SECTF の話を聞いたとき、「日本で開催するのは不可能だろう、二国の文化の差は非常に大きい」と感じました。しかし先ほどあなたは「(米国でも)最初はみんな怖がっていた」とおっしゃいました。その問題に、どう対処してきたのですか?

「たとえば初めての年、攻撃された企業はみんな怖がっていた。だから僕は、『もしも僕らのデータを見たいようであれば、すべて見せます』とオファーして、無条件で見せた。僕らがフレンドリーだということ、辱めるためにやっているのではないということを、その企業の人々に示したかった。それは効果があったし、助けになったよ」

──人々の反応はどうでしょう。たとえば、もし日本で同じイベントを開催したら、批判に晒される可能性は決して低くないと思うのですが。

「その違いは大きいだろうね。日本人は、人を信じる傾向が強くて親切だから。でも、だからこそ狙われやすいとも言える。
たとえば日本が津波に襲われたあと、その災難につけこんで、金を盗もうとする悪い連中がいた。人を信じやすい親切な人々が、そんな連中に金や ID を渡してしまうのは恐ろしいことだ。
それでも日本の文化的な背景を考えると、批判を受けるかもしれない。どうすればいいのか……これは難しい問題だな……結局は『教育』だけが、物事を改善する方法なのだけれど……。この点についてはアズジェントともよく議題にあがっているんだ」

──日本では一般的に、ソーシャルエンジニアリングがほとんど知られていません。その学習を日本で説明しても、「詐欺師の育成をしているだけだ、けしからん」と思われるかもしれません。この違いを説明するのは難しいと思うのですが、米国で同じような反応はありましたか?

「たぶん日本と同じ反応ではないよね。でも、ここでも一部には批判がある。なにしろ子供向けの競技もあるから(後述の「SECTF for KIDS」参照)。
鍵のピッキング法なんて、『なぜ、そんな悪いことを子供に教えるのだ』と思う人はいるだろう。だから僕らは伝えているんだ。
人々が批判的思考を持つことは、とても大事だ。そして教育がなければ批判的な考え方をすることはできない。その教育のためには、こういうイベントが最も効果的だと僕は思っている。
たとえば料理の本をどれだけ読んでも、一度も台所で料理した経験がなければ、実際に料理ができるようにはならない。理論を知るだけではなく、実際に経験してエクササイズとして学ぶのが最高の方法だ、と僕は考えている」

──SECTF for Kids(子供のための SECTF)を始めたきっかけは?

「4 年前、DEF CON がキッズイベントを企画したんだ。ハッキングやプログラミング、コンピュータの修復、そういったことを子供に教えるイベントで(編集部註:大人と一緒に参加しなければならない)。
そのとき『子供向けのソーシャルエンジニアリングをやりたいか?』と尋ねられた。だから僕らは宝探しのゲームを企画した。DEF CON 会場を歩き回って、それぞれ違うものを探し出すんだ。子供はそういうことが大好きだろ? そして 4 年後の今でも、僕らは DEF CON のオフィシャルイベントとして SECTF for Kids を開催している。
僕は、子供に『批判的思考』を教えることが、非常に重要だと感じているんだ。なぜなら米国では子供に対して、あまり批判的思考のスキルを与えようとしないから。
既存の発想に囚われずに考えること。問題と向き合い、解決法を自分で見出すこと。それはコンピュータで計算するのではなく、脳と手を使って学ばなければならない。
このイベントはとてもうまく行っているよ。子供たちは全くコンピュータを使わずに、様々なスキルを楽しみながら学んでいる。子供たちと一緒に来ている親の一部は、ずっと昔から DEF CON に来ていて、家庭を持って、子供を連れてくる人々だ。でも一部の親は、ただ子供を連れてくるためだけに来ている」

──自分の子供が何をしているのか、分かっていない親もいるのでは……

「僕もそう思う。それでも来てるんだ(笑)」

──6 年後、日本では東京オリンピックが開かれます。国や企業は技術面での投資を行い、様々な対策を立てていますが、ソーシャルエンジニアリングの攻撃に関してはあまり考慮していないように思います。そのことについてアドバイスをいただけますか。

「『いますぐ教育を受けろ!』だね。あと 6 年しかないけど、遅くはない。もちろん技術面を改善するのは攻撃を防ぐために重要だ。でも、それは人的な問題を解決できない。
特にオリンピックのような大きなイベントでは、多くの人々がポケットを、クレジットカード番号を、ワイヤレス電話の通話情報を狙われる。そのことを人々は理解しておく必要がある。こういう機会は『データを盗む絶好の機会』として ID 泥棒に狙われやすい。だから、いまから学ぶことは本当に重要だ。何をすればいいのか、誰を信じたらいいのか、どうやってデータを守ればいいのか…… 6 年あるからね。きっと僕たちにはできるよ」

──日本でも、ソーシャルエンジニアリングに関する学習が浸透したらいいなと思うのですが。

「そうだね。きっと素敵だ。でも、ちょっと手間がかかるかもしれない。つまり日本の人々から受け入れられるまでには、それなりのステップが必要になるだろう。それでも最終的には、うまく行くと僕は思うし。アズジェントも僕もそれを目指しているからこそ、密に情報交換を行っているんだ」

──うまく行くと思います。そう信じてます。

「僕も信じてる」

──今日は本当にありがとうございました。

「こちらこそありがとう。とても楽しかったよ」

(江添佳代子/協力:株式会社アズジェント)
《江添佳代子/協力:株式会社アズジェント》

関連リンク

編集部おすすめの記事

特集

Black Hat USA / DEF CON

クリス・ハドナジー(Chris Hadnagy)

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

    今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

  2. 能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

    能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

  3. アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

    アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

  4. Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編

  5. 【無料ツールで作るセキュアな環境(67)】〜 zebedee 5〜(執筆:office)

  6. 日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウ

  7. 作っているのはWebアプリではない ~ S4プロジェクト チーフデザイナー かめもときえインタビュー

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×