株式会社博展 - 東芝実績動画
米国連邦捜査局によりコンテストの主催者が呼び出され、セキュリティグループと金融情報金融業界に影響を及ぼすセキュリティ脅威に関する情報を提供する業界団体であるFS-ISAC(Sharing and Analysis Center)は、「私が得ている話は、多くの財務担当者が実際に我々が個人情報やそのようなものをターゲットにしています」と、このコンテストの主催者であるOffensive Securityの運営責任者、Chris Hadnagyは述べています。
[詳しい読書:あなたのWindows PCからマルウェアを削除する方法]
今後3日間、参加者は約30社の米国企業の未公開リストからデータを発見するために最善を尽くすだろう、と彼は言う。このコンテストは、防音ブースとスピーカーを備えたラスベガスのリビエラホテルの部屋で行われます。そのため、観客は企業に電話をして、無意味な従業員から得られるデータを盗んでしまいます。
これはソーシャルエンジニアリングであり、情報を開示してはならないことをするように人々を欺く芸術です。会議主催者は、実世界の目標に焦点を当てたコンテストを行うには細かい道を歩かなければなりません。しかし、電子フロンティア財団の弁護士と相談した後、彼らは一連のコンテストルール、さらに重要なことに、ノードゥードリストを提出しました。
機密情報やパスワードを要求することはできません。彼らは自分たちの犠牲者を彼らが危険にさらされているように感じさせることはできません。彼らは法執行機関のふりをすることはできませんし、一般的には間違っていると感じることはできません。
参加者が行うことができることは、「あなたのダストスター除去を行う人は誰ですか?」というように、より敏感ではない対象のデータを収集することです。誰があなたの論文を細断処理するか」とHadnagy氏は述べています。
賞は、収集されたデータの量だけでなく、社会工学の一般的な卓越性に基づいて審査員によって選ばれるでしょう。最優秀賞:iPad
セキュリティ企業は、実世界の事件で何が起こるかをテストし、弱点を特定する手段として、ソーシャルエンジニアリング技術をクライアントに使用するという緑の光を与えていることがよくあります。これらのテストでは、セキュリティ専門家が安全な場所に潜入しようとしたり、従業員を騙してフィッシングメールのパスワードを紛らわしたりすることを試みることがあります。このコンテストでは禁止されています。
Defcon参加者の主なツールは電話になります。競技者はターゲット上でインターネット偵察を行うことを許可されており、電話ブースで20分をかけて対象企業に電話をかけ、攻撃を試みる。
Hadnagyはコンテストを実験、種類、何が起こるかを分析するレポート。 「ソーシャルエンジニアリングの意識を高め、優れたソーシャルエンジニアを作り出すための場を提供するために開始しました。先月、FS-ISACは、Hadnagyが自分のブログに投稿したコンテストに関する警告を発しました。
同時に、Hadnagy氏はFBIのサイバー部門から電話を受けた。同氏は、「金融機関は今後開催されるこのコンテストに注意を払う必要があり、要員に、特にコールセンターや法務部門にこのイベントについて説明する必要がある。 「彼らには、私たちの意図が本当に何だったのか、私たちが何をしているのか、そして私たちの目標はコンテストにあったのかという疑問があった。彼はコンテストのルールをFBIに送った。 「私が一度それを通過させると、政府の懸念がそれほどなくなったと思う」と彼は言った。
デフコンの創設者ジェフ・モス氏は、FS-ISACからの質問を含め、いくつかの質問にも合意したと発表した。
彼らは心配する必要はない。 Hadnagy氏によれば、ターゲット企業は技術部門やその他の業界から来るが、金融機関、医療機関、教育機関、政府機関は存在しないとHadnagy氏は述べている。
Robert McMillan氏は、 IDGニュースサービス
@bobmcmillanのTwitterでRobertに従ってください。ロバートの電子メールアドレスは[email protected]です。