内容紹介

※この商品は固定レイアウトで作成されており、タブレットなど大きいディスプレイを備えた端末で読むことに適しています。また、文字列のハイライトや検索、辞書の参照、引用などの機能が使用できません。※PDF版をご希望の方はGihyo Digital Publishingも併せてご覧ください。

◆最大の脆弱性は、「人間」だ。ソーシャルエンジニアリング手法を知り、防衛するための基礎を解説！◆

　人間の心理を悪用したソーシャルエンジニアリングは、いつどんな時代においても最も重要で基本的なハッキング手法です。本書では、ソーシャルエンジニアリングにおける基本的な概念はもちろん、実際のハッカーがどのように攻撃を行うのか、逆にその攻撃をどう防御すべきかについて解説します。

■こんな方におすすめ

・ソーシャルエンジニアリングについて学びたいセキュリティの専門家

・ユーザーのセキュリティ意識向上を目指したいシステム管理者

・詐欺やフィッシング攻撃から身を守りたい一般のビジネスパーソン

■目次

●Part I：ソーシャルエンジニアリングの基本

Chapter 1：ソーシャルエンジニアリングとは？

　　ソーシャルエンジニアリングにおける重要な概念

　　ソーシャルエンジニアリングにおける心理学的概念

Chapter 2：ソーシャルエンジニアリングにおける倫理的考察

　　倫理的なソーシャルエンジニアリング

　　Case Study：行き過ぎたソーシャルエンジニアリング

　　倫理的なOSINT収集

　　Case Study：ソーシャルエンジニアリングの倫理的限界

●Part II：攻撃的なソーシャルエンジニアリング

Chapter 3：攻撃の準備

　　クライアントとの調整

　　上手くいく口実を作る

　　ソーシャルエンジニアリングに特化したOSを使う

　　攻撃フェーズに続く

　　Case Study：なぜスコープが重要なのか

Chapter4：ビジネスOSINTの収集

　　Case Study：OSINTが重要な理由

　　OSINTの種類を理解する

　　ビジネスOSINT

Chapter 5：ソーシャルメディアと公開文書

　　OSINTのためのソーシャルメディア分析

　　OSINTにおけるShodanの活用

　　Hunchlyによる自動スクリーンショットの取得

　　SECフォームの盗用

Chapter 6：人々に関するOSINTの収集

　　電子メールアドレスの分析におけるOSINTツールの使用

　　Pwdlogyによるパスワードの分析

　　ターゲットの画像の分析

　　ツールを使用しないソーシャルメディアの分析

　　Case Study：すべての貴重な情報を手放した晩餐

Chapter 7：フィッシング

　　フィッシング攻撃の準備

　　フィッシングの追加手順

　　タイミングと配信に関する考慮事項

　　Case Study：25ドルの高度で執拗なフィッシング

Chapter 8：ランディングページのクローン

　　クローンサイトの例

　　Webサイトのクローン

Chapter 9：検知、測定、およびレポート

　　検知

　　測定

　　レポート

●Part III：ソーシャルエンジニアリングに対する防御

Chapter 10：積極的な防御テクニック

　　意識向上プログラム

　　レピュテーションおよびOSINTモニタリング

　　インシデント対応

Chapter 11：技術的なメールの管理

　　標準規格

　　楽観的TLS

　　MTA-STS

　　TLS-RPT

　　メールフィルタリング技術

　　その他の保護

Chapter 12：脅威インテリジェンスの作成

　　Alien Labs OTXの使用

　　OTXにおけるフィッシングメールの分析

　　脅威インテリジェンスのためのOSINTの実施

Appendix A：スコープワークシート

Appendix B：報告書のテンプレート

Appendix C：情報収集ワークシート

Appendix D：ソーシャルエンジニアリングに用いる口実の例

Appendix E：ソーシャルエンジニアリングのスキルを向上させるための演習

■著者プロフィール

●原著者-Joe Gray：OSINTionの創設者兼主任講師、Transparent Intelligence Servicesの創設者兼主任調査員。OSINTとOPSECツールであるDECEPTICON BotとWikiLeakerの開発も手掛ける。

●訳者-Jin Maeda：学生時代から国内の技術書を利用してサイバーセキュリティを学習し、卒業後はモバイルセキュリティ業務やサイバーセキュリティの発展途上国支援業務に携わる。