投稿元:
レビューを見る
ソーシャル・エンジニアリングについて非常によく分かる良書。実例(?)も豊富であり,非常に参考になる。
惜しむらくは翻訳に一部誤りがあり,原典の書籍を探れない部分があること。和訳がある本なのだが,それと違う訳になっており,また著者の日本語表記が誤っている。
2012/12/18Amazonで購入;早速読み始めた。2013/01/08一応読了
投稿元:
レビューを見る
久しぶりに読んでいてわくわくした本。PDFかKindleになったら迷わず買います。
何にわくわくしたか、
・わかりにくいソーシャルエンジニアリングについて順を追ってわかりやすく説明されていたこと
・事例が実践的で解説がついていること
です。
ブログはこちら。
http://blog.livedoor.jp/oda1979/archives/4498294.html
投稿元:
レビューを見る
”原著の副題は "The Art of Human Hacking"。
<読書メモ>
<きっかけ>
以下の記事にて、辻さんがおすすめ。
http://news.mynavi.jp/articles/2013/01/01/itrecommends1/index.html”
投稿元:
レビューを見る
名前の通り、ソーシャルエンジニアリングについての本。
日本語で読めるソーシャルエンジニアリング本としては、これとIPUSIRON氏の「個人情報特定の教科書」の2冊が最も有用だと思われる。
ソーシャルエンジニアリングは基本的にハッキングありきの情報収集なのだが、人間をハッキングするという点から心理操作的扱いを受けがちである。
どちらもソーシャルエンジニアリングとして覚えておくべきスキルではあるが、心理操作の方は心理学の発展により間違っている部分が多いことも判明している。
この本も既に10年前の本であり、いくつか専門的な心理学は間違っている部分が見受けられるが、それらを差し引いても未だに実用的な本だと言えよう。
基本的にはビジネスマンや産業スパイが情報を守ったり得たりするのに応用する技術だが、メンタリストやマジシャンの行う「ホット・リーディング」「コールド・リーディング」にも通じる面がある。特に「ホット・リーディング」的な手法を書いた本はほぼないため、この本か上であげたもう1冊を参考にするしかない。
ざっくりと内容を見ていく。
第1章ではソーシャルエンジニアリングとはを解説している。いくつかの専門用語が出てくるが、読み進めれば理解できるものであり、ここを読めばソーシャルエンジニアリングがどの程度心理的でどの程度物理的(違法的とも)かを理解出来るだろう。
第2章は情報収集の基礎的なことに触れており、ソーシャルエンジニアリング関係なく情報整理やコミュニケーションにも使える。思考方法的な面の説明であり、何度か読み返して自分に落とし込みたい。
第3章は誘導質問についてのものであり、話を聞き出すための基礎的な話術を解説している。
これらはデイブ・ラクハニ氏の「説得の心理技術」や、イアン・ローランド氏の「コールド・リーディング」などと一緒に読み進めると良いだろう。
第4章はそれらに続いて役作りの話であり、3章の話術とともにソーシャルエンジニアリングの中核たる部分だろう。
産業スパイや詐欺師はもちろん、マジシャンメンタリスト占い師も読んでおくべき章であり、自分の魅せ方を考える際に非常に有用である。
第5章は心理的な原則などの説明をしている。
大きくわけてNLPと微表情についてなのだが、これらはどちらも信憑性において微妙なところが残る学問である。
微表情に関して言えば基本的なコミュニケーションができる人間以上の効果を望むことが出来ないと思われる。
NLPは体系全体を見れば疑似科学的だが、一つ一つの技術に細分化させれば有用なものも存在するため判断が難しい。
この本で言えば、アンカリングや友好関係を気づく方法、バッファ・オーバーフローなどの話は参考にしても良いと思われるが、ニューコードなどの単語選択による影響は科学的信憑性がどの程度あるか分からない。
章の初めに出てくる思考モードも、NLP関連のものだったと記憶しているが、催眠誘導などの資料を見るに一定の効果は上がっている。が、それらはあくまで催眠に含まれる話であり、それらがソーシャルエンジニアリングに応���できるかは謎である。
第6章は対象を感化させる方法について書いている。ここの章を読むと、巷の自己啓発本が何故精神論を解いて無駄なことさせようとしているのかが分かるので楽しくなってくる。
書いてあることは正しいだろうが、実用があまりにも難しく、できるまでに幾度となく失敗してコツを掴まないといけない。だいたい習得する前に諦めて、だが人を騙すすべは覚えているのでそれを使おうと適当な肩書きで自己啓発本を書くのが関の山だろう。
こんなことを言っては元も子もないが、日頃からここまで考えて動いてたら疲れるだろうと思う。
第7章は、物理的なものやハッキング的なツールを解説している。
ここらは上記した個人情報特定の教科書や、他のハッキング専門書を読んだ方が良いと思われる。あくまで紹介程度の取り上げ方で、実用的とまでは言えないものが多い。
ハッキング関連に関しては情報の更新が早く、OSINT toolなどで検索を掛けて調べることをおすすめする。
第8章はケーススタディであり、実際の例を上げて今まで学んだことの使い方を復習している。
読み物として純粋に面白いので、こういう例だけ大量にまとめた冊子も作って欲しいと思う。
第9章はソーシャルエンジニアリングに対する対抗策についての話であり、本来当たり前にしておくべきことが多く書かれている。
こういった本を読む人間は大方悪いトリックの方に興味があるだろうが、それを著者も理解しているのかかなり薄い内容となっている。
全体を通して、意識高いと言われがちなトリックの実用的な方法が記されたものとなっている。
頑張ればできる!というタイプの営業を強いる上司の机にそっと置いておきたい1冊である。