「ソーシャルエンジニアリング」を含む日記 RSS

はてなキーワード: ソーシャルエンジニアリングとは

2019-09-15

見下してくるやつに対し、見下された側が何もしてこないと思うお花畑からすぐ死ぬ

自分他者を見下せる立場気持ちいいよね、わかるよ

キモくないし金もあるイケメンヤングキモくて金のないおっさんを見下す、高学歴低学歴を見下す、金持ち貧乏を見下す、ホワイト企業に務める高収入は低収入底辺社畜を見下す

うん、とっても気持ちいいよね、わかるよ

でもさ、それしてて本当に「仕返し」されないとでも思ってるの?

底辺ゴミに噛みつかれた程度で死なねえよなんて君等は思ってるかもしれないけど、彼らって本当に根に持つし、彼らって本当に執念が深いのよね

からぶつかりおじさんと化したりあおり運転かましロードレイジ相手の車や相手のものを壊しに行ったり、最悪ハゲックス刺殺事件アキバ通り魔事件みたいな事をする

無敵の人を君等が生んでるんだよ、君らの軽い何も考えてない言葉で、彼らは君らに殺意を抱いて殺しに来る

それと技術力のある暇人時間のある暇人マイナス感情で動く暇人、執念深い暇人って本当に怖くてな、「自分を怒らせたから」って理由で家を特定して嫌がらせしにくるぞ

いやいや、嘘じゃねーって、こんな匿名サイトでも文体の癖を解析したり、出没時刻とかどっかで漏れIPとかソーシャルエンジニアリングとかして垢を割り出したりするもん

自分言葉の尻拭いするハメになっても知らないよーん

2019-08-14

すぐに特定しようとするな

気に食わないかムカツクからなんて理由そいつ投稿文章登録メアド投稿時間写真Exifとかを探って、モザイクアプローチソーシャルエンジニアリングかまし

得られた情報を利用してネットストーキングや勤め先へのチクりをかましたり、ネットストーキングコミュに撒いて晒し上げたり

そうやって気持ちよく殴るために、そいつから匿名を剥がそうとする

お前がやりたいのは正義の鉄槌じゃなくて、私怨か興味によるネットストーキングと、スワッティングだろ、クズども

2018-05-13

そろそろセキュリティは漏らす前提で考えるべき

相手を信用させる前例なき手口 コインチェック攻撃で明らかに

https://www3.nhk.or.jp/news/html/20180512/k10011436321000.html

読んだ、攻撃手法の巧妙化が進めば人やシステムでは対処しきれなくなる。

1日に100通以上のメールが届く現場かめちゃくちゃ忙しくてセキュリティを気にしている余裕がない現場運用保守ヘルプデスク・開発・設計・構築とあらゆる現場で見てきた。

自信はSI業界人間なのだが秘文が動くシステムでは、件名と宛名を見ただけで問題ないと判断し「.exeファイルだろうとダブルクリックで実行または即解凍する人が多い。

運用IT関係知識に疎い人が関われば正体不明ファイルでも宛先に知ってる会社取引相手名前があれば疑うことなく開く開く。


社内のセキュリティポリシー厳格化されていても課長以上の人が「どうしても取り込めないファイルがあるんだ、なんとかしろ!」と言えばセキュリティポリシー無効化されるし

顧客企業社員が「このファイルが開けないと仕事にならない何とかしろITに詳しいんだろ!」と怒れば特別扱いで従うしかない。


一番驚いたのが開発とテスト時に使われるIDパスワードを本番環境でも使い、当たり前のようにそのまま納品してしま現場に立ち会ったことだ。

そのシステムに関わった下請け技術者数千人が知っているIDパスワードと言えば恐ろしさが伝わるだろうか?

下請けである自分が「変更した方がいいのでは?」と心配になって言っても元請けPMは「お前が考えるような事じゃない」と、何処吹く風。


そんな環境実在する今、巧妙化するサイバー攻撃対処するのはほぼ無理だと思う。

気を付けるにしても気を付ける余裕も時間もないどころか気を付けると客に怒られる現場存在する中では漏らさない前提のセキュリティ対策無意味

漏れる前提でセキュリティ対策を考えた方が良いのではないかと思う。


一番簡単ソーシャルエンジニアリングは、大企業官公庁システム開発に関わるSI企業下請け技術者として潜り込む事だと思う。

2017-08-07

日本証券会社セキュリティ対策ゴミすぎる

ありとあらゆる国内証券会社で、株取引画面にアクセスする際のスマートフォンアクセストークンによる二段階認証などの、ログイン用のIDパスワード流出してしまった”後”の対策が一切されていない。

まりIDパスワード流出した時点で、第三者によって自由に株取引がされてしまリスク利用者は常に負っているということになる。

例えばGoogleYahooAmazonでは、認証されていない端末やブラウザからアクセスがあった場合は、登録されている電話番号SMS送信し、本文に記載されているワンタイムパスワード入力しないとログインができないようにする二段階認証採用している。

国内でも、大手銀行ネットバンキングでは、出金手続きをする際は専用のアクセストークンスマホアプリに表示されるワンタイムパスワード入力を求められる。

しかし、何故か国内企業の証券口座に関してはこういったIDパスワード流出してしまった”後”の対策が一切されていない。

証券会社側の弁護もしておくと、銀行口座への出金に関しては、契約者の名義と出金先の銀行口座名義の姓名がカタカナで一致しないと出金できない仕様になっているところが多いようだ。

しかし株取引に関してはIDパスワードだけで自由に行うことができてしまい、ネット上でのイタズラ目的などで不正取引をされ、結果的に莫大な金銭的損失を被る可能性は常にある上に、登録されている個人情報に関しては見られ放題で、まさにやりたい放題ということになる。

個人的に気に食わない身近な人物ログイン情報ソーシャルエンジニアリングで抜き取ったり、株関連のブロガーや株取引を実況する動画配信者などのネット活躍する人物ターゲットをしぼってログイン情報を抜き取り、不正な株取引金銭的な損害をあたえることは充分に可能ということになる。torをつかってIPアドレス偽装してしまえば、刑事事件に発展したとしてもIPアドレスから犯人特定することは実質的不可能になってしまい、中学生でも簡単完全犯罪ができてしまうということになる。

もちろん、前述のような対策をとったからといってフィッシングサイトワンタイムパスワード入力させられる等の手口もあるため100%リスク回避できるというわけはないが、現時点で一般的実施されている二段階認証やワンタイムトークン採用すれば、IDパスワード流出に起因する不正アスセスリスクの大部分は回避できるであろうと思われるのにも関わらず、国内の多くの証券会社がその対応をしていないのは、単純に対応を怠っているとしか思えない。

私が確認したところでは

においては、この記事執筆時点ではIDパスワード流出した”後”におけるこれらの対策はされていないようだった。

以前、何社かにこれらのセキュリティリスクについて電話窓口で指摘したところ、例のごとく「パスワードを定期的に変更(以下略」と言われてしまった。

しかしこの「パスワードの定期変更」については以前から、定期変更を繰り返すことで必然的に覚えやす簡単パスワードを設定するユーザーが増えてしまう、毎回複雑なパスワードを設定したとしても覚えられない為にメモを残してしまいそれがセキュリティリスクになる等の問題点が指摘されており、2018年から総務省でも「パスワードの定期変更は不要」という見解を示している。

利用者としては、大金を預けている以上は最低限のセキュリティ対策をしてほしいところではあるが、専用窓口でその旨を伝えても「面倒くさい人が来た」という対応をされてしまい、何だかなぁという感じだった。

大事件が起こる前に、早急に対策が取られることを願う。

2017-07-09

終わりゆくIT業界(SIer客先常駐web系)の矢面を見て

少し前、SIerやweb系でITエンジニアをしていたので、現状を少しだけ書こうと思いたった、そこで思ったのは、ここで言われてることが割と最先端で、その他のネットで言われてることはリーマンショック前後くらいの古い認識ということを嫌というほど体感しました。

ここの外で言われてるのは「特定派遣は安定している」とか「web系に脱出するべき」だとか言われてるが、現実は全く持ってそうではなく

特定派遣は来年の秋には廃止になるのは確定しているし、web系は現在もはやレッドオーシャンを通り越してブラックオーシャンと化しています。

以下に示す例を見てなお、それでもITエンジニアになりたいという気合の入った益荒男がいましたら、きっと理詰めと政治とソーシャルエンジニアリングを使ってバリバリのし上がり、ひとかどのエンジニアになれるでしょう、そうじゃない人はこんな業界はやめて、カタギで真っ当な仕事についてください、この業界より酷いのは営業職と広告系と出版系の一部くらいしかありませんから

・もはや技術なんてレベルの話じゃない

特定派遣やweb系で技術を積んで神エンジニアになるぞ!と息巻いている方たち、これから飛翔しようとしているエンジニアの卵たち、残念ですが客先常駐やら、有象無象のweb系で得られる技術なんてマトモなものはありません、精神と体力と将来を消耗するだけです。

比較的マトモなSIでも、情報系の院生クラスで(なぜそんなところに入ったのかは突っ込まないとして)、最初の数年やらされるのはテスターや部分改修のみです、下流も下流です、しかブラックです。大卒なら25~6歳、院卒なら27~8歳の時点で、あなた経験は下流が3年程度です、さてこんな状態で転職したところで、マトモなところが相手してくれると思いますか?使う言語も開発環境も全てにおいてもはや化石レベルのものばかり、オマケに給料は都内フリーターとどっこいなんてところがザラであります。

私自身異業種に身を置いていまして脱出しましたが、普通はこれくらいの年齢になると、後輩に指導をしているレベルになります、現に私が新卒の頃は、これくらいの年齢の人は出向先の子会社の新入社員を10人くらいまとめて面倒みてましたね

え?web系はどうかって?一世を風靡した最先端の自社開発!最先端の技術を常に使ってスタバマックを操って私服でゆるいノリでバリバリ仕事意識高い!なんてイメージありましたね、はい、間違ってはおりませんよ、日本語って言い方変えれば正反対の意味にもできますからねぇ

実態はweb系言語でも周回遅れのバージョンで、もはやいやがらせや拷問の類としか思えない短納期を延々繰り返し続けます、休日はチャットで呼び出し、休日も自宅で仕事、夏に友達がやれ湘南だ都内プールだと楽しむ中、部屋で一人仕事です、しか年棒制の裁量労働制なので、残業代なんてビタ一文でませんよ(しかも業績傾いたら翌日には福利厚生がなくなっていき、業績が戻ろうが上がろうが、絶対に元に戻ることはありません)

「それは仕事ができない無能だからだ」「生産性が高ければ余裕」、はいその通りです、生産性が高くて神プログラマーなら余裕で仕事終わらせられますね、じゃあもっと仕事できますよね?今度これお願いね☆とあなた方のキャパを気が付けば超えた仕事が割り振られるようになります、結果「月月火水木金金」の完成です、週休0日フルイニング出勤、驚異の月稼働時間496~500時間ですよ。名だたるブラック企業もびっくりの稼働時間ですねぇ(※最悪の例ですがこういう構造で凄まじい稼働時間になってワークライフバランスなんて存在しないというのは本当です)

web系業界でいうワークライフバランスというのは「Macbookproは恋人、Rubyは愛人、フレームワークソースコードオカズにアレできるくらいの変人」の基準でホワイトでありワークライフバランスです。マトモな脳みそと健全な性癖をした紳士淑女の皆様は決して騙されないようにしましょう。(そんな彼等でも下でいうゴッドエンジニアクラスと比べるとハタから見るとガ〇ダムかヒュッ〇バインくらいの違いにしかわかりません、ガン〇ム知らない人にとっては色違いの同じモンにしか見えない程度のレベルですし、出来る仕事範囲も似たようなもんです。もっといえばガ〇ダムなどという強いロボットではなく、陸戦型〇ンダムです、簡単にザ〇とかド〇にパンチ一発で手とか足が明後日の方向へひん向いて吹っ飛ばされてやっつけられるガ〇ダムっぽい何かといっていいレベルです。)

東京まで来て引きこもって職場と自宅の往復なんて、出来の悪いなろう小説の主人公みたいな人生ですね。勉強会になんて参加する時間ありませんよ?それを棚に上げて酸っぱい葡萄で「勉強会はなれ合いだから…」とか戯言ほざくITドカタ社畜の鏡もネットには多いですけどねぇ

もちろん普通はこれくらいの年齢になると…(以下ループ)

・何故こんなことになってしまったんだ(ウルトラマン)

端的に言えば、web系に関しては過当競争が行き過ぎた結果です、ブルーオーシャンやらレッドオーシャンなんて単語が飛び交っていた時点で、こうなることは目に見えていたのかもしれません

SIer系に関しては、なんかもういうのも呆れ果てるくらい終わってるので、その目で実際に確かめてみてください、なぁに、何事も人生経験です、3か月くらいバイト感覚で入れば勉強になるでしょう、まぁ来年の秋には特定派遣禁止になりますから、自殺志願者でもない限りはこんな業界には絶対に来ないでください、新卒でブラックだとかに当たったりいろんな理由で職歴に傷がついたスネに傷のある人間がわずかなクモの糸を取りあうために人生一発逆転を狙って食っていくための場所です、IT系ってのは

というか、会社変えればいいだろとか舐めたことを抜かす奴等もいますが、会社変えるたびに一か月無給で貯金をすり減らすような生活になるので、どう考えてもブラックなweb系自社開発にトチ狂って突撃するなんていうことや、よりにもよって「特定派遣(人売り零細中小ベンチャー)」や「IT一般派遣」で糊口をしのぐなんて、勇気と無謀をはき違えたことは絶対にやめましょう。30過ぎどころか、25やそこらでキャリア人生が完全に詰んで、恍惚の人を化します。というか、そんな境遇になれば、まず営業でもビルメンでも警備でもなんでもいいから、異業種に転職してください。その方が100倍マシですし、そうしないと、冗談抜きであなた実家ウンコ製造と酸素を二酸化炭素かえるだけの簡単なお仕事と、自宅警備員を兼ねた自称ノマドワーカー引きこもりと化すか、キャリアバキバキにされて人生を若くして完全に詰んで、自室か青〇ヶ原あたりの樹海で首をくくって、なろう小説の異世界に転生して、当地で魔法プログラミングをするようなハメになりかねません。

また、あなたが昔や今にでも、女や男をIT技術者寝取られたとかで、坊主にくけりゃ袈裟まで憎くなり、IT技術者という存在そのものに復讐したいのであれば、ここでもどこでもネット

「IT一般派遣最高!特定派遣最高!SES最高!これからの時代は一般派遣特定派遣だ!否定する奴は主語がデカい!」と喚きまくってください。間接的に人生狂わされて不幸になる人がたくさん増えますので、気は晴れるかもしれませんよ?

そもそもプログラマー・SE=ハッカーではない

歴史に名を遺すハッカーや、クラッカーラノベアニメや映画で活躍するカッコイイサイバー戦士たち、新しい戦場縦横無尽に戦う無敵の諜報兵士、誰もが憧れますね、だからといって杓子定規にSIやweb系に入るということ自体が、もうそんな存在になりたいのをドブに捨てているようなもんですのでやめましょう

例えば、FBIと下村努氏と激闘を繰り広げたケビン・ミトニック、彼はプログラマーではありません、世界を変えた天才スティーブ・ジョブス、はい、意識高い系教祖の如く奉る伝説の存在です、彼もプログラマーではありません、彼の親友ウォズの魔法使いさんも、「プログラマー」では厳密にいえばありません。

彼らはパソコンのものに詳しかったり、パソコンを使って商売をしている人たちですし、10年ちょっと前に秋〇原でシコシコとパソコンパーツやパソコンを買い付けては公安警察鬼ごっこしていた北朝鮮サイバー軍も、純粋な「プログラマー」や、ましてや「SE」なんていません。でも彼らはアメリカ軍でさえ時折競り負けるほどのITスキルを身に着けてサイバー戦争での恐怖と畏怖の代名詞になっていますね、彼らが日本で真っ当に働けば手取り20万円、残業定額使いたい放題プランで、きっと1年で発狂して、職場で幼児退行を起こしたり、精神崩壊を起こしたカミーユ・ビダンのようになって、両親親族に号泣され、いきなりティッシュを食べ始めて笑いながら失禁し、黄色い救急車で運ばれ一生社会人として働けない廃人になっているでしょう。

・現代の奴隷、ITエンジニアサンクチュアリ社内SE

そして目指す先は皆ここになります、はい、社内SEサラリーマンにしてエンジニア、IT身分階級ピラミッドにおける青い血の貴族、バラモン階級、公家、上士の出の存在、社内SEです

我らIT奴隷たちをアゴでコキ使い、最上流の仕事バリバリ働き、定時退社は当たり前、福利厚生も整い上手くいけば役員や社長からも「我が社のIT守護神〇〇くん」といわれ寵愛を受けますね、まるで出来の悪いなろう小説の主人公の無駄に高い待遇のようですね。ExcelVBAを組み、PCをキッティングし、電話口だけでWordやエクセルの使い方を教えれば、まるで肉を両面焼いたり、コインを10枚まとめて数えたりするだけで、ゴッド扱いのなろう主人公のごとき扱いを受けます、偉い人や周りの人達や美人OLたちから「すごーい!君はITに強いフレンズなんだね!」状態です、オマケに安定安定また安定、ちょっと給料が低いのが珠に傷(それでも上記のIT職種より1.5~2倍上、福利厚生を入れれば6倍はマシです)

ですが、世の中そうはいきません、00年代前半はリアルヤクザまでもがフロント企業として参戦しまくった現代日本無法地帯、IT業界でそんな貴族階級になるのなんて、これまで悪いことなんて一切したことがない真面目一辺倒の人間が、いきなり戦闘員からショッカーの首領を目指すとかいうようなもんです、普通の会社で課長くらいまで昇進するほうがまだ可能性があります。

まず、この業界、正社員なんてものは100人いたら1人くらいしかいません、え?特定派遣正社員だろって?あんなもんただの派遣ですよ、というか定義上お国が定めた立派な「派遣」です、不安定半端ないじゃないですか実際

結論、社内SEになるには比較的ブラック環境ですら、倍率30倍40倍に上ります、そんなの目指すくらいなら最初から別の業界へ転職してください。

・我々は「携帯電話である

そもそも自分は最先端の技術を常に勉強してるから心配ない!技術力があれば何でもできる!はい、なんて考えてる9割のIT技術者たちさん、残酷なことを言いますが、私やあなたたちの代わりなんていくらでもいます。(少なくともお金出して雇う人たちはそう考えています)

この日本の「IT業界」において「神クラスのIT技術者」なんてものは、OSだの新言語だの作るレベルとか、その研究開発で飯食ってる暮らすレベルのゴッドエンジニアたちだけです、彼らを黄金聖闘士とすれば、たかだかちょっとフレームワークがいじれるだの、言語やDBを複数操れるだのなんて、せいぜいスチールセイントです、青銅ですらありません(もちろん私自身もエンジニアだったので納得いかいかもしれませんが、世間一般ではそういう認識です、金払って雇う人たちの認識がこれくらいです)

そんなレベルのゴッドエンジニアたちは、客先常駐なんてしょっぱいことしてませんよ、いきなりエリート街道驀進で大活躍ですよ、我々普通のエンジニアスターリングラードで二人に1丁の銃だけ渡されて後ろから政治将校マシンガンで狙われながら敵陣地に突撃する使い捨て一兵卒、せいぜい技術力があればスコープ付きのライフル貰って足に鎖括りつけられてそこから敵に撃たれるまで狙撃し続けろとか言われる木っ端スナイパー程度です――とするなら、彼らゴッドエンジニアは、DOGDAYSというアニメ主人公並の待遇と扱いになります。ラブコメしてて道楽みたいな仕事してるだけで、英雄ですよ。好きなことなんでもやらせてもらえて、家庭も持ってリア充街道驀進してますよ。30過ぎにはもう奥さんと子供がいますよ、家のローン払ってますよ、レベル低くて最低アッパーミドルですよ。あと、上で木っ端の意識高い系web開発者などIT知らん一般人から見ればガンダ〇とヒュッケ〇イン程度の違いでしかないですが、ゴッドエンジニアはマジンカ〇ザーや真ゲッ〇ーロボ、マ〇ロスやパ〇レイバークラスです、優秀で高性能、しかもよく知らない人でも見た目一発でわかるほどの存在感(技術力)を放っています。当然、あなたがITエンジニアといえば?と我々を並べたとして、陸戦型ガン〇ムだかジ〇だかザ〇だか知らんような似たようなのにしか見えない我々木っ端のエンジニアと、彼等個性も能力も半端でなくわかりやすく凄いゴッドエンジニア、どちらが「この人がITエンジニアっぽーい!」と選ばれると思いますか?粋がったところで我々の付加価値などSIだろうがweb自社開発の意識高い系だろうが、ゴッドエンジニアと比べればその程度の物なんですよ、日本のガラパゴス井の中の蛙やって偉そうなことをユーザーに対して物申すなんて、大それたことができる身分かオメーらはよ、大したことやってねぇくせに偉そうなことほざく前に身の程を知って分際をわきまえやがれってんだプライドだけは王侯貴族並かテメーらはコラ。という話ですね。

我々は、携帯電話です、古くなったら捨てられて新しいものが買われ、壊れたら捨てられ新しいのが買われ、何か気に入らないのなら捨てられて新しいのが買われます。

皮肉ですね、かつての携帯電話開発で組み込み技術者が、アウシュビッツ収容所並の虐殺労働を受けて、枕を並べて討ち死にをして壊滅したように、我々は市場ごと消えたガラケー、web系ならスマートフォンです。

これからIT業界を目指す人は、強い人になってください、ソーシャルハッカーとして業界をのし上がっていく、現代のスパイのようにタフに生きてください、きっと人売りITの社長やweb系であれば上場させるためにイカれたブラック労働を自社内エンジニアに敷いて上場したら売り抜けてトンズラを狙おうとする上場株ヤ〇ザにでもなって、もはや存在自体が日本や社会と警察と厚生労働省の敵、公共の治安と真っ当な納税者健康ブラック労働で脅かし、日本経済にダメージを与えるまごうことなき極悪テ〇リストとかそういうレベルの悪業の塊のような技術者たちの生き血を啜る経営者になれますよ、良心がマヒした人間しかもうこの業界残ってませんから。(俺は死んでもそんなのにはなりたくないからこの業界やめましたが)

命を大事にしたい人、マトモな人、自分が悪いことをしている自覚すらない極悪人と関わりたくない人、産んでくれたご両親に申し訳ないと思う人、お天道様に対して胸を張って真っ当に生きたい善良な人であれば、決してこんな業界には来ないでください、変わりの仕事なんていくらでもあります、少なくとも300万円や500万円で殺される寸前まで奴隷労働に従事させられるようなことなんて、他の業界はいくらブラックでもありえませんので。

最期一言日本のIT業界へ

ITは未来があるが、日本のIT産業には未来なんてねーよ、IT技術者なんていくらでもいるだの、技術は重要じゃねえだのとほざくのなら、お前らは木札と和紙と筆とそろばんで事務処理でもしてろ、そして一生表へ出てくるな。以上

追記

初めてはてなに登録して書いたものの、目を離していたらブックマークが凄い勢いでついてたので驚きましたが…

web系にまだ夢見てる人たち多いので、そんな無責任な人たちに未来ある若者たちが騙されないように2016~17年までの実際に業界にいた実態はまた機会があればかくとして、社内SEに夢見すぎというのに一言

ITエンジニアくんたちね、自社で自社の社員たちとお仕事をしていろんなことをするという社内SEという生き方はね、あれこそが世間一般でいう「普通のサラリーマン」的生き方なんですよ。

別業種で普通にリーマンしてたことがある自分がいうから間違いないですよ、夢見すぎというのはほかの業種で働いたことがないから言える発想なんですよね

別に自分が物語の主人公みたいになりたいなんて、思い上がりも甚だしいことをいうつもりはありませんよ。

そもそも私は、社内SEのものも評価なんてしてませんよ?なんでたかが普通のサラリーマン生き方に回帰するのに、ブラック待遇でも倍率30倍とかイカれた競争率で職探す必要があるんですか?普通に別業種に転職した方がよっぽど楽ですよね、それ。

意識高いこというのもいいですけど、現実見ましょうよ、現実。私たちはゴッドエンジニアではありません、世界を救う勇者でも、前世は天使と悪魔の血を引く堕天使とかでもなんでもありません、日本刀擬人化したイケメンでもなけりゃ、戦艦擬人化した美少女に傅かれるような立場でも身分でも能力もないでしょ?

身も蓋もないことを言ってしまえば、本当に技術だけで日本を背負うレベルエンジニアや、技術だけで食っていけるブラック・ジャック先生やゴルゴ13クラスビジネスマンなら、増田で書いてる暇も必然性もありませんからね。彼等はオフの時筋トレしたり、医学論文読み漁ってるでしょ。

ITエンジニアなんて、365日稼働のプロ野球選手みたいなもんですよ?特にweb系みたいな属人性が強い分野なんてその傾向が顕著なわけで

プロ野球選手ですらオフシーズンは何か月もあって、その間でもトレーニング欠かさなくて、それでも現役は40歳くらいまでなのに、こんなところで上から目線で物申す人間が、技術力だ付加価値だ言ったって、全く持って説得力ありませんね。

というわけで、未来ある若者、物語の主人公のように輝きたいと思ってる若者のみなさんは、決して惑わされないようにしてくださいね。

2017-02-13

http://anond.hatelabo.jp/20170213012038

こういう場合の郵送ってのはソーシャルエンジニアリング対策の定石なんですよ。

想定されるリスクが高ければ更に本人限定郵便になったりする。

2016-01-26

Amazon個人情報流出させるのは仕様バグ

今日Amazonから荷物買ってるかい

Amazonカスタマーサービス個人情報流出させてる件が話題になってるね。

電話問い合わせとか、直接窓口に言って聞き出すのって、ソーシャルエンジニアリングの基本だけど、これ仕様バグだよね。

事例その1と2

アメリカエリックさんの場合

実は、ワシントン州シアトルあたりに住んでるEricさんの方が被害がひどい。

https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4#.shr23h4my

  1. Amazon登録済み:本名
  2. Amazon登録?:昔登録に使った偽物の住所。但し郵便番号は同じ。
  3. Amazon登録済み:メールアドレス

これで、本人確認が終わって、最後に注文した商品と、その送り先、電話番号ギフトカード残高が漏れてる。

クレジットカード番号は、下2桁であっても教えてない)

日本id:canadieさんの場合

ワリと、常識的対応に見えるものの、こっちも漏れてる。

http://d.hatena.ne.jp/canadie/20160125

  1. Amazon登録済み:本名
  2. Amazon登録済み:メールアドレス
  3. Amazon登録済み:試しに登録したフェイク住所

これで、本人確認が終わって、注文の商品、その送り先(実住所)が漏れてる

個人情報流出じゃないの?

そうなんだけど、漏れ方の問題で、バグってんのは「本人確認」の部分。

  1. 本名
  2. 住所
  3. メールアドレス

この3つ、結構知人友人だと知ってる人いるかもしれない。

これで「Amazonからは本人とみなす」ようになる。

その代わり、クレジットカード情報は、伝えない。

まりAmazon側も「本人だとみなすけど、この本人確認でOKなのは注文まで」という段階が有ることがわかる。

秘密情報である住所Aで、他の秘密情報である住所Bを引き出せる

これ、普通に仕様バグだと思うんだよね。

Amazonは、住所と名前メールアドレスで、注文情報が引っ張れる。

これは、微妙ラインだけど脆弱性っぽい。そもそもログインさせるべき。

チャットログイン誘導させるか、パスワード不明場合は再発行させるべき。

(注文情報Amazonがどうみなすかわかんないけど、特に電子書籍のような「今何を読んでるか」は思想信条に関わるから結構すぐ改善されるかも)

で、こっちが判りづらいんだけど、

例えば、本名と住所Aを知ってる相手に、Amazonが住所Aを教えた。同じ住所だから、これは別に問題ない。

という点が問題

例えば、ゆるい会社だと、職場Amazonから荷物送ってもらってる同僚がいそうだ。

そしたら、会社の住所と、そいつ名前と、使ってそうなメアドで、自宅住所が解る。

ただこれ、改善されない可能性高いよ

住所Aを伝えられたら、住所Aに関わる注文だけ答えて、あとは「登録住所に到着済みです」「配送中です」だけで良いと思うんだよね。

住所Aで「本人確認OK」にして、いきなり住所Bまでバラすから問題

ただ、「Amazon登録住所を知ってる」というのは、ハードル高い。

それで自宅の方は知らないってかなりのレア度。だから、こっちは改善されない可能性高いと思うな。

アメリカ滞在中に知人がホテルAmazonから受け取ってた。自宅の住所は知らないけど、知りたい、みたいなパターン

たぶんだけど、小売で電話応対のマニュアルをそのまんまチャット側に持ってきてるんじゃないかなー。

まあ、とりあえず彼氏彼女や妻や夫、同居の娘息子に内緒で、趣味の物品Amazonから購入してるヤツは、メアドは変えとけ、な?

そりゃ、家族みたいな間柄なら、本名と住所までは簡単で、後はメアドけが最後の砦なんだし。

2014-07-19

ノンケエンジニアは重大なセキュリティホール

女に弱いノンケエンジニアソーシャルエンジニアリングの格好の餌食。

男の扱いにたけたサークラ女やキャバ嬢を使うことで、

コンプライアンス違反になるようなことでも平気で行わせることが出来る。

強固なセキュリティ、社内ルール、そんなの全く無意味

女に1万2万渡して、仕掛けさせれば、あらゆる防御策は無効化できる。

自身が行うなら、無料だ。無料無料で一流のIT企業情報操作できる。

こんな危険なことが、見過ごされてていいのだろうか。

てんかんの発作がある人間が車の運転を制限されるように、

ゲイのみを重要な職につけるよう、仕事内容を制限するべきではないだろうか。

http://anond.hatelabo.jp/20140718205515

ノンケエンジニアは重大なセキュリティホール

女に弱いノンケエンジニアソーシャルエンジニアリングの格好の餌食。

男の扱いにたけたサークラ女やキャバ嬢を使うことで、

コンプライアンス違反になるようなことでも平気で行わせることが出来る。

強固なセキュリティ、社内ルール、そんなの全く無意味

女に1万2万渡して、仕掛けさせれば、あらゆる防御策は無効化できる。

自身が行うなら、無料だ。無料無料で一流のIT企業情報操作できる。

こんな危険なことが、見過ごされてていいのだろうか。

てんかんの発作がある人間が車の運転を制限されるように、

ゲイのみを重要な職につけるよう、仕事内容を制限するべきではないだろうか。

ノンケエンジニアは重大なセキュリティホール

女に弱いノンケエンジニアソーシャルエンジニアリングの格好の餌食。

男の扱いにたけたサークラ女やキャバ嬢を使うことで、

コンプライアンス違反になるようなことでも平気で行わせることが出来る。

強固なセキュリティ、社内ルール、そんなの全く無意味

女に1万2万渡して、仕掛けさせれば、あらゆる防御策は無効化できる。

自身が行うなら、無料だ。無料無料で一流のIT企業情報操作できる。

こんな危険なことが、見過ごされてていいのだろうか。

てんかんの発作がある人間が車の運転を制限されるように、

ゲイのみを重要な職につけるよう、仕事内容を制限するべきではないだろうか。

2014-07-18

童貞エンジニアは重大なセキュリティホール

女に弱い童貞エンジニアソーシャルエンジニアリングの格好の餌食。

童貞の扱いにたけたサークラ女やキャバ嬢を使うことで、

コンプライアンス違反になるようなことでも平気で行わせることが出来る。

強固なセキュリティ、社内ルール、そんなの全く無意味

女に1万2万渡して、仕掛けさせれば、あらゆる防御策は無効化できる。

自身が行うなら、無料だ。無料無料で一流のIT企業情報操作できる。

こんな危険なことが、見過ごされてていいのだろうか。

てんかんの発作がある人間が車の運転を制限されるように、

童貞重要な職につけないようにする等、仕事内容を制限するべきではないだろうか。

2014-02-24

小学生ときソーシャルエンジニアリング被害に遭った

20年位前。

当時は緊急連絡網ってのがクラスごとにあって(今でもあるの?)、クラス全員の自宅の電話番号が書かれてるプリントが各家庭の電話機の横にあるのが普通だった。

ある日鍵っ子留守番してるとき電話がかかってきて、○○の父ですが連絡網をなくしてしまって全員の電話番号を教えてもらえないかみたいなことを言われた。

知ってる名前をだされてその父親というオトナから電話だということですぐに信用して、内心めんどくさいなーと思いながら、名前電話番号を馬鹿丁寧に全員分教えてしまった。

そんでたしか数ヶ月か数年後だかにそういうのに気をつけてみたいなことを言われて、そのときにようやくあれはやっちゃいけないことだったんだってぞっとした。

それと同時に騙された自分がすごく情けなく恥ずかしくなった。

騙されたことを結局誰にも言えなかった。

今思い出しても本当にムカつく。

純粋小学生の親切心につけいりやがって。

性的ないたずらしかり、子どもって本当に善悪とか常識が足りてないからちょっとした不審者情報に大騒ぎしてるのがこの世も末みたいに面白がって騒がれてるけど、実際用心しすぎるに越したことはないと思う。大まじめに。

2013-06-05

ブラック企業から這い上がれ:ソーシャルエンジニアリングつの技術

http://anond.hatelabo.jp/20130526021902

http://anond.hatelabo.jp/20130528230001

http://anond.hatelabo.jp/20130530232712

の続き

プロアクティブ」とはブラック企業から脱出すること

3.総当たり攻撃(Brute force attack)

人間が弱点といっても、簡単に仲良くなんかなれないよ」

意外とそうでもない。

手管は数あれど最もシンプルかつ強力なのは「相手の話を聞く」

どんなに堅物でも一つくらい人に話したいことがある。自分に興味を持ってくれる人に好感を持つ人間心理を利用する。

隙あらば話題を振って何に食いつくかを観察し、食いついたところからさらに話を広げていく。

例えば子どもが自慢なら子どもの年齢→家族構成→妻への不満→結婚式仲人が当時の上司…などと対象のプロファイルを探りつつリレーションを探す。

目的は2つ

・好感を抱いてもらうことで相手の心理を操作やすくする

・相手の人間関係を把握し、次のターゲットへの踏み台(Drone)にする

(続く)

2013-05-30

ブラック企業から這い上がれ:ソーシャルエンジニアリングつの技術

http://anond.hatelabo.jp/20130526021902

http://anond.hatelabo.jp/20130528230001

の続き

意識が高い」「グローバル人材」とか何それ美味しいの?

2.中間者攻撃(man-in-the-middle attack)

ブラック企業鉄壁の防御で僕等の希望を押しつぶすように見えるけど、たかが人の子の作りしもの

必ず「人間」という弱点はある、というのが前回のあらすじ。

さて「釣りバカ日誌を参考にしてもスーさんなんて見つからないよ」というのが●●の壁。

順番が逆。

まず組織の偉い人にターゲットを定めて、アプローチする為の踏み台を探す。

例えば「お局様、『偉い人』が新人時代世話役。口癖は『▲▲ちゃんも偉くなったもんよね』」とか

新人だったら「新人同期◆人で『偉い人』のお話を伺いたいっす」とか

上司上司に聞いてみるとか。

または「沙羅双樹の花の色 盛者必衰の理をあらわす」

ブラック企業の中で頑張ってもしょうがないなら、社外の偉い人をロックオン

とにかく人の力を借りて「1.なりすまし」に使える材料アプローチする機会を探す。

これが二番目

(続く)

2013-05-28

ブラック企業から這い上がれ:ソーシャルエンジニアリングつの技術

http://anond.hatelabo.jp/20130526021902

の続き

ライフハックスキルアップしてもブラック企業では生き残れない。

成果よりも評価

どんな堅牢なシステムにも存在する弱点。人間

ブラック企業だってまともに相手したら歯が立たない。

ターゲット人間ソーシャルエンジニアリングで心理の隙を衝く

1.なりすまし(spoofing)

当たり前の話だが、あなたの「本当の自分」なんて誰も興味を持たない。

生き延びるキャラクターになりすまそう。

どんなキャラクター

手始めのターゲットは「上司上司

モデルは「釣りバカ日誌」。

ハマちゃん社長スーさんに気に入られていることで、上司コントロールから外れることができる。

あるいは島耕作。2人に共通する特徴は「問題に対してまともに対応しない」

所詮1人のサラリーマン対応できる問題は限られているのだ。社長愛人の力を借りて何が悪い

力を借りるためには気に入られること。気に入られることに労力を投入する。

サラリーマン金太郎のように生来カリスマがあれば苦労はないが、凡人はキャラクターを演じるので精一杯。

いいじゃないか人間だもの

これが基本

(続く)

2013-05-26

ブラック企業から這い上がれ:ソーシャルエンジニアリングつの技術

仕事の悩みを一挙解決。

スキル」とか「レベルを上げる」とか自己啓発はもうたくさんという人がターゲットです。

ポイントソーシャルエンジニアリング

クラッカー情報を盗み取るテクニックを応用します。

FBI防衛省アタックすることを考えれば、ブラック企業で這い上がるなんて簡単かんたん。

ただし、犯罪は推奨しません。

いくらブラック企業が相手でも、あくまでも合法の範囲内で。

一歩踏み込んだ内容を知りたい人は「ソーシャルエンジニアリング」で自分で調べましょう。

0.序章

なんとか就職したものブラック企業だった

もしくは

ブラック上司が異動してきて職場が一気にブラック

よくある話ですが、生活を考えるとそう簡単には辞められない。

運命として甘んじるか?

つの答えは「ライフハック

「〜を効率よく進める5つのテクニック」とかね。仕事がきついなら、自分効率を上げてやり過ごそう。

しかし敵もさるもの

効率が上がっただけハードルも上がっていく。

戦うか?

冗談でしょう。ファインマンさん。

発想を変えよう。

こんな思い込みをしていませんか?

「世の中に不満があるなら自分を変えろ。それが嫌なら耳と目を閉じ口を噤んで孤独に暮らせ」

二者択一に囚われると本質が見えなくなる。

第三の道。それがソーシャルエンジニアリング

一般的にはクラッカー情報セキュリティを破る際に用いる心理的テクニックを指す。

ここでは、より広義に「状況を自分に有利に導くために用いる心理的テクニック」として使用します。

(続く)

2013-04-21

http://anond.hatelabo.jp/20130421232613

だいたい、本来、情報分析は大量の人員を必要とするから、1人2人程度じゃ何も出来ない。

例えが超古いけど、ソーシャルエンジニアリングを得意としたケビンミトニック

全部一人でやってたよ。チームを組んでたのは追い詰めた方。

情報分析、つまり後方支援系は絵にするなら

攻殻機動隊オペレーターバーチャルアイコン化したみたいなので十分じゃない?

まぁ、でも味方が少ないのはつまんないし、

Googleさんがまだ社名として残ってる設定なら、

Amazon名前も出して、確かサンデープログラマーボランティア

なんか協力するサービスがあったと思うけど、

毎回違うメンバが知らず知らずのうちに協力するみたいな話だったらいいなー

2010-12-10

今日も悪徳勧誘電話が

ほんとにしつこい。悪徳勧誘電話。毎日~2・3日おきにかかってくる。

家にもかかってくるが、出ないし電話線抜いてるから、どうでもいいわ。

問題は会社

なぜ、職場にかかってくるのか。この社会の底辺の糞業者の持っている名簿には私の名前会社名と会社電話しかいからなのか?自宅の住所、電話番号等も漏れているのだろうか?可能性は否定出来ないが。

それとも何か理由があるのか?会社では着信拒否が出来ないからとか、取り次ぎがいるからとか、ソーシャルエンジニアリングを利用しているんだろうか?

社内にも多分漏らしている奴がいる。以前、ある上司が昇進した(昇進が発表された)翌日、「昇進おめでとうございます」と勧誘電話がかかってきたからな。絶対犯人は社内にいる。

受動的対応しか出来ないのがなんとも悔しい。相手にしない、いわゆる「スルー力」が試されるわけだけど、攻勢に出たい気分は止められない。役所や消費者生活センター警察や、個人情報保護法などの法律も、この手の糞業者には役に立たないからなぁ。NTTや各種通信キャリアも、儲けの一部だから何にもしない。NTTその他キャリアも、苦情の多い電話番号は、即刻回線停止や強制解約とかしてくれてもいいと思うんだがな。

法律で勧誘電話を禁止しても、この糞底辺共は、法律を破ってナンボだから何の役にも立たない。今の電話でもそうだけど、最初言葉が「これは勧誘とかではありませんので」とか言う。勧誘じゃなかったら何の電話だよ、と1時間くらい説明してみろ。

個人的には「ぬめり」(http://www.numeri.jp/)とか、イマイとか、探偵ファイルに対決してもらって欲しいと思っているんだが。この人達ほど、私は強くないからねぇ。こんな強い精神力が欲しいわ。

 
アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん