社員という死角

 現在、これまでにないほど、情報セキュリティに関心が払われるようになった。知的資本を守るために、最新技術のみならず、攻撃が起こっても大丈夫な自衛措置に余念がない。だが、最大のウィーク・リンク(問題の発生源となりそうな最も弱い箇所)を見落としている。

 すなわち、それは自社の一般社員である。侵入者の標的にされ、自社の扉を開けるカギの束を知らず知らずのうちに差し出してしまうのが、第一線や中間層の社員たちなのだ。

 なぜそのことを私が知っているかといえば、かつてハッカーだったからだ。社員を騙して、ユーザー名、パスワード、アカウントやダイヤル・アップ・ナンバーといった、最も細心の注意を払うべき情報を引き出し、それを使ってネットワークの心臓部にハッキングをかけるのは、いともたやすい。

 ただし、この才能のおかげで、連邦刑務所で5年間暮らすはめになった。しかし、2000年に釈放されて以来、私は企業や政府の自衛力を高めるお手伝いをしている。これから話すことは、みなさんへのアドバイスである。

ハッカーは性善説の心を悪用する

 ハッカーの利用するツールのなかで、最も危険なものこそコンピュータである――。このような思い込みは、情報セキュリティに関する最大の誤解だ。実は電話なのである。

 セキュリティ技術が進歩する一方、ほしいものを手に入れようと外部の攻撃者が用いるのは古典的な詐欺の手口なのだ。電話口でアシスタントを言葉巧みに丸め込み、上司のパスワードを聞き出すのは簡単なことだ。鉄壁の構えを敷いている企業のファイア・ウォールをわざわざ叩く必要などあるだろうか。

 このように攻撃者は甘言を弄して、危険の少ないシステムから侵入する。しかも彼らは「標的の周りのほうが無用心」という人間の基本特性を逆手に、これを巧みに操る術に長けている。