はてなキーワード: ソーシャルエンジニアリングとは
キモくないし金もあるイケメンヤングはキモくて金のないおっさんを見下す、高学歴は低学歴を見下す、金持ちは貧乏を見下す、ホワイト企業に務める高収入は低収入底辺社畜を見下す
うん、とっても気持ちいいよね、わかるよ
でもさ、それしてて本当に「仕返し」されないとでも思ってるの?
底辺のゴミに噛みつかれた程度で死なねえよなんて君等は思ってるかもしれないけど、彼らって本当に根に持つし、彼らって本当に執念が深いのよね
だからぶつかりおじさんと化したりあおり運転かましてロードレイジで相手の車や相手そのものを壊しに行ったり、最悪ハゲックス刺殺事件やアキバ通り魔事件みたいな事をする
無敵の人を君等が生んでるんだよ、君らの軽い何も考えてない言葉で、彼らは君らに殺意を抱いて殺しに来る
それと技術力のある暇人、時間のある暇人、マイナス感情で動く暇人、執念深い暇人って本当に怖くてな、「自分を怒らせたから」って理由で家を特定して嫌がらせしにくるぞ
いやいや、嘘じゃねーって、こんな匿名サイトでも文体の癖を解析したり、出没時刻とかどっかで漏れたIPとかソーシャルエンジニアリングとかして垢を割り出したりするもん
https://www3.nhk.or.jp/news/html/20180512/k10011436321000.html
読んだ、攻撃手法の巧妙化が進めば人やシステムでは対処しきれなくなる。
1日に100通以上のメールが届く現場とかめちゃくちゃ忙しくてセキュリティを気にしている余裕がない現場は運用保守・ヘルプデスク・開発・設計・構築とあらゆる現場で見てきた。
自信はSI業界の人間なのだが秘文が動くシステムでは、件名と宛名を見ただけで問題ないと判断し「.exe」ファイルだろうとダブルクリックで実行または即解凍する人が多い。
運用にIT関係の知識に疎い人が関われば正体不明のファイルでも宛先に知ってる会社や取引相手の名前があれば疑うことなく開く開く。
社内のセキュリティーポリシーが厳格化されていても課長以上の人が「どうしても取り込めないファイルがあるんだ、なんとかしろ!」と言えばセキュリティーポリシーが無効化されるし
顧客企業の社員が「このファイルが開けないと仕事にならない何とかしろ!ITに詳しいんだろ!」と怒れば特別扱いで従うしかない。
一番驚いたのが開発とテスト時に使われるIDとパスワードを本番環境でも使い、当たり前のようにそのまま納品してしまう現場に立ち会ったことだ。
そのシステムに関わった下請け技術者数千人が知っているIDとパスワードと言えば恐ろしさが伝わるだろうか?
下請けである自分が「変更した方がいいのでは?」と心配になって言っても元請けのPMは「お前が考えるような事じゃない」と、何処吹く風。
そんな環境が実在する今、巧妙化するサイバー攻撃に対処するのはほぼ無理だと思う。
気を付けるにしても気を付ける余裕も時間もないどころか気を付けると客に怒られる現場も存在する中では漏らさない前提のセキュリティ対策は無意味。
漏れる前提でセキュリティ対策を考えた方が良いのではないかと思う。
一番簡単なソーシャルエンジニアリングは、大企業や官公庁のシステム開発に関わるSI企業に下請け技術者として潜り込む事だと思う。
ありとあらゆる国内の証券会社で、株取引画面にアクセスする際のスマートフォンやアクセストークンによる二段階認証などの、ログイン用のIDとパスワードが流出してしまった”後”の対策が一切されていない。
つまりIDとパスワードが流出した時点で、第三者によって自由に株取引がされてしまうリスクを利用者は常に負っているということになる。
例えばGoogleやYahooやAmazonでは、認証されていない端末やブラウザからアクセスがあった場合は、登録されている電話番号へSMSを送信し、本文に記載されているワンタイムパスワードを入力しないとログインができないようにする二段階認証を採用している。
国内でも、大手銀行のネットバンキングでは、出金手続きをする際は専用のアクセストークンやスマホアプリに表示されるワンタイムパスワードの入力を求められる。
しかし、何故か国内企業の証券口座に関してはこういったIDやパスワードが流出してしまった”後”の対策が一切されていない。
証券会社側の弁護もしておくと、銀行口座への出金に関しては、契約者の名義と出金先の銀行口座名義の姓名がカタカナで一致しないと出金できない仕様になっているところが多いようだ。
しかし株取引に関してはIDとパスワードだけで自由に行うことができてしまい、ネット上でのイタズラ目的などで不正な取引をされ、結果的に莫大な金銭的損失を被る可能性は常にある上に、登録されている個人情報に関しては見られ放題で、まさにやりたい放題ということになる。
個人的に気に食わない身近な人物のログイン情報をソーシャルエンジニアリングで抜き取ったり、株関連のブロガーや株取引を実況する動画配信者などのネットで活躍する人物にターゲットをしぼってログイン情報を抜き取り、不正な株取引で金銭的な損害をあたえることは充分に可能ということになる。torをつかってIPアドレスを偽装してしまえば、刑事事件に発展したとしてもIPアドレスから犯人を特定することは実質的に不可能になってしまい、中学生でも簡単に完全犯罪ができてしまうということになる。
もちろん、前述のような対策をとったからといってフィッシングサイトでワンタイムパスワードを入力させられる等の手口もあるため100%リスクを回避できるというわけはないが、現時点で一般的に実施されている二段階認証やワンタイムトークンを採用すれば、IDをパスワードの流出に起因する不正アスセスのリスクの大部分は回避できるであろうと思われるのにも関わらず、国内の多くの証券会社がその対応をしていないのは、単純に対応を怠っているとしか思えない。
私が確認したところでは
においては、この記事の執筆時点ではIDとパスワードが流出した”後”におけるこれらの対策はされていないようだった。
以前、何社かにこれらのセキュリティリスクについて電話窓口で指摘したところ、例のごとく「パスワードを定期的に変更(以下略」と言われてしまった。
しかしこの「パスワードの定期変更」については以前から、定期変更を繰り返すことで必然的に覚えやすい簡単なパスワードを設定するユーザーが増えてしまう、毎回複雑なパスワードを設定したとしても覚えられない為にメモを残してしまいそれがセキュリティリスクになる等の問題点が指摘されており、2018年からは総務省でも「パスワードの定期変更は不要」という見解を示している。
利用者としては、大金を預けている以上は最低限のセキュリティ対策をしてほしいところではあるが、専用窓口でその旨を伝えても「面倒くさい人が来た」という対応をされてしまい、何だかなぁという感じだった。
少し前、SIerやweb系でITエンジニアをしていたので、現状を少しだけ書こうと思いたった、そこで思ったのは、ここで言われてることが割と最先端で、その他のネットで言われてることはリーマンショック前後くらいの古い認識ということを嫌というほど体感しました。
ここの外で言われてるのは「特定派遣は安定している」とか「web系に脱出するべき」だとか言われてるが、現実は全く持ってそうではなく
特定派遣は来年の秋には廃止になるのは確定しているし、web系は現在もはやレッドオーシャンを通り越してブラックオーシャンと化しています。
以下に示す例を見てなお、それでもITエンジニアになりたいという気合の入った益荒男がいましたら、きっと理詰めと政治とソーシャルエンジニアリングを使ってバリバリのし上がり、ひとかどのエンジニアになれるでしょう、そうじゃない人はこんな業界はやめて、カタギで真っ当な仕事についてください、この業界より酷いのは営業職と広告系と出版系の一部くらいしかありませんから
・もはや技術なんてレベルの話じゃない
特定派遣やweb系で技術を積んで神エンジニアになるぞ!と息巻いている方たち、これから飛翔しようとしているエンジニアの卵たち、残念ですが客先常駐やら、有象無象のweb系で得られる技術なんてマトモなものはありません、精神と体力と将来を消耗するだけです。
比較的マトモなSIでも、情報系の院生クラスで(なぜそんなところに入ったのかは突っ込まないとして)、最初の数年やらされるのはテスターや部分改修のみです、下流も下流です、しかもブラックです。大卒なら25~6歳、院卒なら27~8歳の時点で、あなたの経験は下流が3年程度です、さてこんな状態で転職したところで、マトモなところが相手してくれると思いますか?使う言語も開発環境も全てにおいてもはや化石レベルのものばかり、オマケに給料は都内でフリーターとどっこいなんてところがザラであります。
私自身異業種に身を置いていまして脱出しましたが、普通はこれくらいの年齢になると、後輩に指導をしているレベルになります、現に私が新卒の頃は、これくらいの年齢の人は出向先の子会社の新入社員を10人くらいまとめて面倒みてましたね
え?web系はどうかって?一世を風靡した最先端の自社開発!最先端の技術を常に使ってスタバでマックを操って私服でゆるいノリでバリバリ仕事で意識高い!なんてイメージありましたね、はい、間違ってはおりませんよ、日本語って言い方変えれば正反対の意味にもできますからねぇ
実態はweb系言語でも周回遅れのバージョンで、もはやいやがらせや拷問の類としか思えない短納期を延々繰り返し続けます、休日はチャットで呼び出し、休日も自宅で仕事、夏に友達がやれ湘南だ都内のプールだと楽しむ中、部屋で一人仕事です、しかも年棒制の裁量労働制なので、残業代なんてビタ一文でませんよ(しかも業績傾いたら翌日には福利厚生がなくなっていき、業績が戻ろうが上がろうが、絶対に元に戻ることはありません)
「それは仕事ができない無能だからだ」「生産性が高ければ余裕」、はいその通りです、生産性が高くて神プログラマーなら余裕で仕事終わらせられますね、じゃあもっと仕事できますよね?今度これお願いね☆とあなた方のキャパを気が付けば超えた仕事が割り振られるようになります、結果「月月火水木金金」の完成です、週休0日フルイニング出勤、驚異の月稼働時間496~500時間ですよ。名だたるブラック企業もびっくりの稼働時間ですねぇ(※最悪の例ですがこういう構造で凄まじい稼働時間になってワークライフバランスなんて存在しないというのは本当です)
web系業界でいうワークライフバランスというのは「Macbookproは恋人、Rubyは愛人、フレームワークとソースコードをオカズにアレできるくらいの変人」の基準でホワイトでありワークライフバランスです。マトモな脳みそと健全な性癖をした紳士淑女の皆様は決して騙されないようにしましょう。(そんな彼等でも下でいうゴッドエンジニアクラスと比べるとハタから見るとガ〇ダムかヒュッ〇バインくらいの違いにしかわかりません、ガン〇ム知らない人にとっては色違いの同じモンにしか見えない程度のレベルですし、出来る仕事の範囲も似たようなもんです。もっといえばガ〇ダムなどという強いロボットではなく、陸戦型〇ンダムです、簡単にザ〇とかド〇にパンチ一発で手とか足が明後日の方向へひん向いて吹っ飛ばされてやっつけられるガ〇ダムっぽい何かといっていいレベルです。)
東京まで来て引きこもって職場と自宅の往復なんて、出来の悪いなろう小説の主人公みたいな人生ですね。勉強会になんて参加する時間ありませんよ?それを棚に上げて酸っぱい葡萄で「勉強会はなれ合いだから…」とか戯言ほざくITドカタ社畜の鏡もネットには多いですけどねぇ
もちろん普通はこれくらいの年齢になると…(以下ループ)
・何故こんなことになってしまったんだ(ウルトラマン)
端的に言えば、web系に関しては過当競争が行き過ぎた結果です、ブルーオーシャンやらレッドオーシャンなんて単語が飛び交っていた時点で、こうなることは目に見えていたのかもしれません
SIer系に関しては、なんかもういうのも呆れ果てるくらい終わってるので、その目で実際に確かめてみてください、なぁに、何事も人生経験です、3か月くらいバイト感覚で入れば勉強になるでしょう、まぁ来年の秋には特定派遣禁止になりますから、自殺志願者でもない限りはこんな業界には絶対に来ないでください、新卒でブラックだとかに当たったりいろんな理由で職歴に傷がついたスネに傷のある人間がわずかなクモの糸を取りあうために人生一発逆転を狙って食っていくための場所です、IT系ってのは
というか、会社変えればいいだろとか舐めたことを抜かす奴等もいますが、会社変えるたびに一か月無給で貯金をすり減らすような生活になるので、どう考えてもブラックなweb系自社開発にトチ狂って突撃するなんていうことや、よりにもよって「特定派遣(人売り零細中小ベンチャー)」や「IT一般派遣」で糊口をしのぐなんて、勇気と無謀をはき違えたことは絶対にやめましょう。30過ぎどころか、25やそこらでキャリアと人生が完全に詰んで、恍惚の人を化します。というか、そんな境遇になれば、まず営業でもビルメンでも警備でもなんでもいいから、異業種に転職してください。その方が100倍マシですし、そうしないと、冗談抜きであなたは実家でウンコ製造と酸素を二酸化炭素にかえるだけの簡単なお仕事と、自宅警備員を兼ねた自称ノマドワーカーの引きこもりと化すか、キャリアバキバキにされて人生を若くして完全に詰んで、自室か青〇ヶ原あたりの樹海で首をくくって、なろう小説の異世界に転生して、当地で魔法でプログラミングをするようなハメになりかねません。
また、あなたが昔や今にでも、女や男をIT技術者に寝取られたとかで、坊主にくけりゃ袈裟まで憎くなり、IT技術者という存在そのものに復讐したいのであれば、ここでもどこでもネットで
「IT一般派遣最高!特定派遣最高!SES最高!これからの時代は一般派遣か特定派遣だ!否定する奴は主語がデカい!」と喚きまくってください。間接的に人生狂わされて不幸になる人がたくさん増えますので、気は晴れるかもしれませんよ?
歴史に名を遺すハッカーや、クラッカー、ラノベやアニメや映画で活躍するカッコイイサイバー戦士たち、新しい戦場を縦横無尽に戦う無敵の諜報兵士、誰もが憧れますね、だからといって杓子定規にSIやweb系に入るということ自体が、もうそんな存在になりたいのをドブに捨てているようなもんですのでやめましょう
例えば、FBIと下村努氏と激闘を繰り広げたケビン・ミトニック、彼はプログラマーではありません、世界を変えた天才スティーブ・ジョブス、はい、意識高い系が教祖の如く奉る伝説の存在です、彼もプログラマーではありません、彼の親友ウォズの魔法使いさんも、「プログラマー」では厳密にいえばありません。
彼らはパソコンそのものに詳しかったり、パソコンを使って商売をしている人たちですし、10年ちょっと前に秋〇原でシコシコとパソコンパーツやパソコンを買い付けては公安警察と鬼ごっこしていた北朝鮮サイバー軍も、純粋な「プログラマー」や、ましてや「SE」なんていません。でも彼らはアメリカ軍でさえ時折競り負けるほどのITスキルを身に着けてサイバー戦争での恐怖と畏怖の代名詞になっていますね、彼らが日本で真っ当に働けば手取り20万円、残業定額使いたい放題プランで、きっと1年で発狂して、職場で幼児退行を起こしたり、精神崩壊を起こしたカミーユ・ビダンのようになって、両親親族に号泣され、いきなりティッシュを食べ始めて笑いながら失禁し、黄色い救急車で運ばれ一生社会人として働けない廃人になっているでしょう。
そして目指す先は皆ここになります、はい、社内SE、サラリーマンにしてエンジニア、IT身分階級ピラミッドにおける青い血の貴族、バラモン階級、公家、上士の出の存在、社内SEです
我らIT奴隷たちをアゴでコキ使い、最上流の仕事でバリバリ働き、定時退社は当たり前、福利厚生も整い上手くいけば役員や社長からも「我が社のIT守護神〇〇くん」といわれ寵愛を受けますね、まるで出来の悪いなろう小説の主人公の無駄に高い待遇のようですね。ExcelVBAを組み、PCをキッティングし、電話口だけでWordやエクセルの使い方を教えれば、まるで肉を両面焼いたり、コインを10枚まとめて数えたりするだけで、ゴッド扱いのなろう主人公のごとき扱いを受けます、偉い人や周りの人達や美人OLたちから「すごーい!君はITに強いフレンズなんだね!」状態です、オマケに安定安定また安定、ちょっと給料が低いのが珠に傷(それでも上記のIT職種より1.5~2倍上、福利厚生を入れれば6倍はマシです)
ですが、世の中そうはいきません、00年代前半はリアルヤクザまでもがフロント企業として参戦しまくった現代日本の無法地帯、IT業界でそんな貴族階級になるのなんて、これまで悪いことなんて一切したことがない真面目一辺倒の人間が、いきなり戦闘員からショッカーの首領を目指すとかいうようなもんです、普通の会社で課長くらいまで昇進するほうがまだ可能性があります。
まず、この業界、正社員なんてものは100人いたら1人くらいしかいません、え?特定派遣は正社員だろって?あんなもんただの派遣ですよ、というか定義上お国が定めた立派な「派遣」です、不安定さ半端ないじゃないですか実際
結論、社内SEになるには比較的ブラックな環境ですら、倍率30倍40倍に上ります、そんなの目指すくらいなら最初から別の業界へ転職してください。
そもそも自分は最先端の技術を常に勉強してるから心配ない!技術力があれば何でもできる!はい、なんて考えてる9割のIT技術者たちさん、残酷なことを言いますが、私やあなたたちの代わりなんていくらでもいます。(少なくともお金出して雇う人たちはそう考えています)
この日本の「IT業界」において「神クラスのIT技術者」なんてものは、OSだの新言語だの作るレベルとか、その研究開発で飯食ってる暮らすレベルのゴッドエンジニアたちだけです、彼らを黄金聖闘士とすれば、たかだかちょっとフレームワークがいじれるだの、言語やDBを複数操れるだのなんて、せいぜいスチールセイントです、青銅ですらありません(もちろん私自身もエンジニアだったので納得いかないかもしれませんが、世間一般ではそういう認識です、金払って雇う人たちの認識がこれくらいです)
そんなレベルのゴッドエンジニアたちは、客先常駐なんてしょっぱいことしてませんよ、いきなりエリート街道驀進で大活躍ですよ、我々普通のエンジニアがスターリングラードで二人に1丁の銃だけ渡されて後ろから政治将校にマシンガンで狙われながら敵陣地に突撃する使い捨ての一兵卒、せいぜい技術力があればスコープ付きのライフル貰って足に鎖括りつけられてそこから敵に撃たれるまで狙撃し続けろとか言われる木っ端スナイパー程度です――とするなら、彼らゴッドエンジニアは、DOGDAYSというアニメの主人公並の待遇と扱いになります。ラブコメしてて道楽みたいな仕事してるだけで、英雄ですよ。好きなことなんでもやらせてもらえて、家庭も持ってリア充街道驀進してますよ。30過ぎにはもう奥さんと子供がいますよ、家のローン払ってますよ、レベル低くて最低アッパーミドルですよ。あと、上で木っ端の意識高い系web開発者などIT知らん一般人から見ればガンダ〇とヒュッケ〇イン程度の違いでしかないですが、ゴッドエンジニアはマジンカ〇ザーや真ゲッ〇ーロボ、マ〇ロスやパ〇レイバークラスです、優秀で高性能、しかもよく知らない人でも見た目一発でわかるほどの存在感(技術力)を放っています。当然、あなたがITエンジニアといえば?と我々を並べたとして、陸戦型ガン〇ムだかジ〇だかザ〇だか知らんような似たようなのにしか見えない我々木っ端のエンジニアと、彼等個性も能力も半端でなくわかりやすく凄いゴッドエンジニア、どちらが「この人がITエンジニアっぽーい!」と選ばれると思いますか?粋がったところで我々の付加価値などSIだろうがweb自社開発の意識高い系だろうが、ゴッドエンジニアと比べればその程度の物なんですよ、日本のガラパゴスで井の中の蛙やって偉そうなことをユーザーに対して物申すなんて、大それたことができる身分かオメーらはよ、大したことやってねぇくせに偉そうなことほざく前に身の程を知って分際をわきまえやがれってんだプライドだけは王侯貴族並かテメーらはコラ。という話ですね。
我々は、携帯電話です、古くなったら捨てられて新しいものが買われ、壊れたら捨てられ新しいのが買われ、何か気に入らないのなら捨てられて新しいのが買われます。
皮肉ですね、かつての携帯電話開発で組み込み系技術者が、アウシュビッツ収容所並の虐殺労働を受けて、枕を並べて討ち死にをして壊滅したように、我々は市場ごと消えたガラケー、web系ならスマートフォンです。
これからIT業界を目指す人は、強い人になってください、ソーシャルハッカーとして業界をのし上がっていく、現代のスパイのようにタフに生きてください、きっと人売りITの社長やweb系であれば上場させるためにイカれたブラック労働を自社内エンジニアに敷いて上場したら売り抜けてトンズラを狙おうとする上場株ヤ〇ザにでもなって、もはや存在自体が日本や社会と警察と厚生労働省の敵、公共の治安と真っ当な納税者の健康をブラック労働で脅かし、日本経済にダメージを与えるまごうことなき極悪テ〇リストとかそういうレベルの悪業の塊のような技術者たちの生き血を啜る経営者になれますよ、良心がマヒした人間しかもうこの業界残ってませんから。(俺は死んでもそんなのにはなりたくないからこの業界やめましたが)
命を大事にしたい人、マトモな人、自分が悪いことをしている自覚すらない極悪人と関わりたくない人、産んでくれたご両親に申し訳ないと思う人、お天道様に対して胸を張って真っ当に生きたい善良な人であれば、決してこんな業界には来ないでください、変わりの仕事なんていくらでもあります、少なくとも300万円や500万円で殺される寸前まで奴隷労働に従事させられるようなことなんて、他の業界はいくらブラックでもありえませんので。
ITは未来があるが、日本のIT産業には未来なんてねーよ、IT技術者なんていくらでもいるだの、技術は重要じゃねえだのとほざくのなら、お前らは木札と和紙と筆とそろばんで事務処理でもしてろ、そして一生表へ出てくるな。以上
追記
初めてはてなに登録して書いたものの、目を離していたらブックマークが凄い勢いでついてたので驚きましたが…
web系にまだ夢見てる人たち多いので、そんな無責任な人たちに未来ある若者たちが騙されないように2016~17年までの実際に業界にいた実態はまた機会があればかくとして、社内SEに夢見すぎというのに一言
ITエンジニアくんたちね、自社で自社の社員たちとお仕事をしていろんなことをするという社内SEという生き方はね、あれこそが世間一般でいう「普通のサラリーマン」的生き方なんですよ。
別業種で普通にリーマンしてたことがある自分がいうから間違いないですよ、夢見すぎというのはほかの業種で働いたことがないから言える発想なんですよね
別に自分が物語の主人公みたいになりたいなんて、思い上がりも甚だしいことをいうつもりはありませんよ。
そもそも私は、社内SEそのものも評価なんてしてませんよ?なんでたかが普通のサラリーマン的生き方に回帰するのに、ブラック待遇でも倍率30倍とかイカれた競争率で職探す必要があるんですか?普通に別業種に転職した方がよっぽど楽ですよね、それ。
意識高いこというのもいいですけど、現実見ましょうよ、現実。私たちはゴッドエンジニアではありません、世界を救う勇者でも、前世は天使と悪魔の血を引く堕天使とかでもなんでもありません、日本刀擬人化したイケメンでもなけりゃ、戦艦擬人化した美少女に傅かれるような立場でも身分でも能力もないでしょ?
身も蓋もないことを言ってしまえば、本当に技術だけで日本を背負うレベルのエンジニアや、技術だけで食っていけるブラック・ジャック先生やゴルゴ13クラスのビジネスマンなら、増田で書いてる暇も必然性もありませんからね。彼等はオフの時筋トレしたり、医学論文読み漁ってるでしょ。
ITエンジニアなんて、365日稼働のプロ野球選手みたいなもんですよ?特にweb系みたいな属人性が強い分野なんてその傾向が顕著なわけで
プロ野球選手ですらオフシーズンは何か月もあって、その間でもトレーニング欠かさなくて、それでも現役は40歳くらいまでなのに、こんなところで上から目線で物申す人間が、技術力だ付加価値だ言ったって、全く持って説得力ありませんね。
というわけで、未来ある若者、物語の主人公のように輝きたいと思ってる若者のみなさんは、決して惑わされないようにしてくださいね。
こういう場合の郵送ってのはソーシャルエンジニアリング対策の定石なんですよ。
なんでもかんでもエンジニアリングだな
Amazonカスタマーサービスが個人情報を流出させてる件が話題になってるね。
電話問い合わせとか、直接窓口に言って聞き出すのって、ソーシャルエンジニアリングの基本だけど、これ仕様バグだよね。
実は、ワシントン州シアトルあたりに住んでるEricさんの方が被害がひどい。
https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.shr23h4my
これで、本人確認が終わって、最後に注文した商品と、その送り先、電話番号、ギフトカード残高が漏れてる。
(クレジットカード番号は、下2桁であっても教えてない)
http://d.hatena.ne.jp/canadie/20160125
これで、本人確認が終わって、注文の商品、その送り先(実住所)が漏れてる
そうなんだけど、漏れ方の問題で、バグってんのは「本人確認」の部分。
つまり、Amazon側も「本人だとみなすけど、この本人確認でOKなのは注文まで」という段階が有ることがわかる。
Amazonは、住所と名前とメールアドレスで、注文情報が引っ張れる。
これは、微妙なラインだけど脆弱性っぽい。そもそもログインさせるべき。
チャットがログインに誘導させるか、パスワード不明な場合は再発行させるべき。
(注文情報をAmazonがどうみなすかわかんないけど、特に電子書籍のような「今何を読んでるか」は思想信条に関わるから、結構すぐ改善されるかも)
で、こっちが判りづらいんだけど、
例えば、本名と住所Aを知ってる相手に、Amazonが住所Aを教えた。同じ住所だから、これは別に問題ない。
という点が問題。
例えば、ゆるい会社だと、職場にAmazonから荷物送ってもらってる同僚がいそうだ。
そしたら、会社の住所と、そいつの名前と、使ってそうなメアドで、自宅住所が解る。
住所Aを伝えられたら、住所Aに関わる注文だけ答えて、あとは「登録住所に到着済みです」「配送中です」だけで良いと思うんだよね。
住所Aで「本人確認OK」にして、いきなり住所Bまでバラすから問題。
ただ、「Amazonの登録住所を知ってる」というのは、ハードル高い。
それで自宅の方は知らないってかなりのレア度。だから、こっちは改善されない可能性高いと思うな。
(アメリカ滞在中に知人がホテルにAmazonから受け取ってた。自宅の住所は知らないけど、知りたい、みたいなパターン)
たぶんだけど、小売で電話応対のマニュアルをそのまんまチャット側に持ってきてるんじゃないかなー。
まあ、とりあえず彼氏彼女や妻や夫、同居の娘息子に内緒で、趣味の物品Amazonから購入してるヤツは、メアドは変えとけ、な?
女に弱いノンケエンジニアはソーシャルエンジニアリングの格好の餌食。
コンプライアンス違反になるようなことでも平気で行わせることが出来る。
女に1万2万渡して、仕掛けさせれば、あらゆる防御策は無効化できる。
女自身が行うなら、無料だ。無料。無料で一流のIT企業の情報を操作できる。
こんな危険なことが、見過ごされてていいのだろうか。
20年位前。
当時は緊急連絡網ってのがクラスごとにあって(今でもあるの?)、クラス全員の自宅の電話番号が書かれてるプリントが各家庭の電話機の横にあるのが普通だった。
ある日鍵っ子で留守番してるときに電話がかかってきて、○○の父ですが連絡網をなくしてしまって全員の電話番号を教えてもらえないかみたいなことを言われた。
知ってる名前をだされてその父親というオトナからの電話だということですぐに信用して、内心めんどくさいなーと思いながら、名前と電話番号を馬鹿丁寧に全員分教えてしまった。
そんでたしか数ヶ月か数年後だかにそういうのに気をつけてみたいなことを言われて、そのときにようやくあれはやっちゃいけないことだったんだってぞっとした。
それと同時に騙された自分がすごく情けなく恥ずかしくなった。
騙されたことを結局誰にも言えなかった。
今思い出しても本当にムカつく。
性的ないたずらしかり、子どもって本当に善悪とか常識が足りてないから、ちょっとした不審者情報に大騒ぎしてるのがこの世も末みたいに面白がって騒がれてるけど、実際用心しすぎるに越したことはないと思う。大まじめに。
http://anond.hatelabo.jp/20130526021902
http://anond.hatelabo.jp/20130528230001
http://anond.hatelabo.jp/20130530232712
の続き
3.総当たり攻撃(Brute force attack)
「人間が弱点といっても、簡単に仲良くなんかなれないよ」
意外とそうでもない。
どんなに堅物でも一つくらい人に話したいことがある。自分に興味を持ってくれる人に好感を持つ人間心理を利用する。
隙あらば話題を振って何に食いつくかを観察し、食いついたところからさらに話を広げていく。
例えば子どもが自慢なら子どもの年齢→家族構成→妻への不満→結婚式→仲人が当時の上司…などと対象のプロファイルを探りつつリレーションを探す。
目的は2つ
・相手の人間関係を把握し、次のターゲットへの踏み台(Drone)にする
(続く)
http://anond.hatelabo.jp/20130526021902
http://anond.hatelabo.jp/20130528230001
の続き
2.中間者攻撃(man-in-the-middle attack)
ブラック企業は鉄壁の防御で僕等の希望を押しつぶすように見えるけど、たかが人の子の作りしもの。
必ず「人間」という弱点はある、というのが前回のあらすじ。
さて「釣りバカ日誌を参考にしてもスーさんなんて見つからないよ」というのが●●の壁。
順番が逆。
まず組織の偉い人にターゲットを定めて、アプローチする為の踏み台を探す。
例えば「お局様、『偉い人』が新人時代の世話役。口癖は『▲▲ちゃんも偉くなったもんよね』」とか
新人だったら「新人同期◆人で『偉い人』のお話を伺いたいっす」とか
ブラック企業の中で頑張ってもしょうがないなら、社外の偉い人をロックオン
とにかく人の力を借りて「1.なりすまし」に使える材料とアプローチする機会を探す。
これが二番目
(続く)
http://anond.hatelabo.jp/20130526021902
の続き
ライフハックでスキルアップしてもブラック企業では生き残れない。
成果よりも評価
ターゲットは人間。ソーシャルエンジニアリングで心理の隙を衝く
1.なりすまし(spoofing)
当たり前の話だが、あなたの「本当の自分」なんて誰も興味を持たない。
生き延びるキャラクターになりすまそう。
どんなキャラクター?
ハマちゃんは社長のスーさんに気に入られていることで、上司のコントロールから外れることができる。
あるいは島耕作。2人に共通する特徴は「問題に対してまともに対応しない」
所詮1人のサラリーマンに対応できる問題は限られているのだ。社長や愛人の力を借りて何が悪い。
力を借りるためには気に入られること。気に入られることに労力を投入する。
サラリーマン金太郎のように生来のカリスマがあれば苦労はないが、凡人はキャラクターを演じるので精一杯。
これが基本
(続く)
仕事の悩みを一挙解決。
「スキル」とか「レベルを上げる」とか自己啓発はもうたくさんという人がターゲットです。
FBIや防衛省にアタックすることを考えれば、ブラック企業で這い上がるなんて簡単かんたん。
いくらブラック企業が相手でも、あくまでも合法の範囲内で。
一歩踏み込んだ内容を知りたい人は「ソーシャル・エンジニアリング」で自分で調べましょう。
0.序章
もしくは
よくある話ですが、生活を考えるとそう簡単には辞められない。
運命として甘んじるか?
「〜を効率よく進める5つのテクニック」とかね。仕事がきついなら、自分の効率を上げてやり過ごそう。
戦うか?
発想を変えよう。
こんな思い込みをしていませんか?
「世の中に不満があるなら自分を変えろ。それが嫌なら耳と目を閉じ口を噤んで孤独に暮らせ」
一般的にはクラッカーが情報セキュリティを破る際に用いる心理的テクニックを指す。
ここでは、より広義に「状況を自分に有利に導くために用いる心理的テクニック」として使用します。
(続く)
ほんとにしつこい。悪徳勧誘電話。毎日~2・3日おきにかかってくる。
家にもかかってくるが、出ないし、電話線抜いてるから、どうでもいいわ。
問題は会社。
なぜ、職場にかかってくるのか。この社会の底辺の糞業者の持っている名簿には私の名前と会社名と会社の電話しかないからなのか?自宅の住所、電話番号等も漏れているのだろうか?可能性は否定出来ないが。
それとも何か理由があるのか?会社では着信拒否が出来ないからとか、取り次ぎがいるからとか、ソーシャルエンジニアリングを利用しているんだろうか?
社内にも多分漏らしている奴がいる。以前、ある上司が昇進した(昇進が発表された)翌日、「昇進おめでとうございます」と勧誘電話がかかってきたからな。絶対犯人は社内にいる。
受動的対応しか出来ないのがなんとも悔しい。相手にしない、いわゆる「スルー力」が試されるわけだけど、攻勢に出たい気分は止められない。役所や消費者生活センター、警察や、個人情報保護法などの法律も、この手の糞業者には役に立たないからなぁ。NTTや各種通信キャリアも、儲けの一部だから何にもしない。NTTその他キャリアも、苦情の多い電話番号は、即刻回線停止や強制解約とかしてくれてもいいと思うんだがな。
法律で勧誘電話を禁止しても、この糞底辺共は、法律を破ってナンボだから何の役にも立たない。今の電話でもそうだけど、最初の言葉が「これは勧誘とかではありませんので」とか言う。勧誘じゃなかったら何の電話だよ、と1時間くらい説明してみろ。
個人的には「ぬめり」(http://www.numeri.jp/)とか、イマイとか、探偵ファイルに対決してもらって欲しいと思っているんだが。この人達ほど、私は強くないからねぇ。こんな強い精神力が欲しいわ。