『ハッカーの学校 個人情報調査の教科書』

2021年3月18日

カバーデザイン

目次

書籍情報

  • タイトル:『ハッカーの学校 個人情報調査の教科書』
  • 出版社:データハウス
  • 著者:IPUSIRON
  • 発売日:2015年12月11日
  • 価格:3,500円+税
  • 460ページ

書籍情報

マイナンバー時代セキュリティに必携の一冊!

氏名、住所、電話番号、生年月日、職業、勤務先、etc…アナログ、デジタルのあらゆる手段を用いて個人情報を調べる手口を徹底解説します。

従来のソーシャルエンジニアリングはハッキングのおまけのような扱いが多かったのですが、本書ではそういった枠組みにとらわれずに自由に書きました。

対象読者

  • ソーシャルエンジニアリングを体系的に学びたい人
  • 探偵的アプローチ(盗聴器・盗撮器、張り込み、尾行)に興味のある人
  • セキュリティ専門家
  • ハッカーを目指す人
  • 多角的に攻撃手法を学びたい人

目次

過去のサポートページを参照ください。

実物

過去のサポートページを参照ください。

立ち読み(サンプルページ)

過去のサポートページを参照ください。

購入したい方へ

初版・第2版の両方とも絶版になっており、現在書店に並んでいるものになります。

今後新たに刷られる可能性は非常に低いといえます。どうしても入手したければ、フリマアプリや古本屋で探してください。

Amazonでもマーケットプレイスなら販売されています(プレミア価格)。

お願い

本書のレビュー、感想、進捗、課題など、何でも大歓迎です。

自由にブログやTwitterにどんどん投稿してください。Twitterであれば、ハッシュタグ「#個人情報調査の教科書」を付けると検索しやすくなります。

また、Amazonでのレビューは大歓迎です。著者が一番嬉しいのはAmazonのレビューといっても過言ではありません。レビューの内容には目を通していますので、感想を投稿していただけると幸いです。

皆さん一人一人の行動が集まれば大きな力になります。

私も精一杯頑張りますので、応援をよろしくお願いします。

読者サポート

正誤表

過去のサポートページを参照ください。

内容について

Cree.pyのTwitter Pluginの設定がうまくいきません。連携アプリの認証に成功しましたが、テスト失敗します。"Twitter Plugin is not correctly configured.Error authenticating with Twitter. ordinal not in range(128)"というメッセージが表示されます。

Twitter Pluginの設定後、左側の選択がFlickr Pluginに戻されので、そのままテストボタンを押さずに、もう一度Twitter Pluginを選択します。その後でテストボタンを押します。これでダメであれば、残念ながら原因はわかりません。著者の環境ではその問題が再現できませんでした(正常に動作する)。

本書のCree.pyはv.1.3における解説です。2016年3月の最新のv.1.4.1で試しても、問題なく動作します。

メニューのHelpからバグレポートを出すことができます。また、ソフトウェアの作者に連絡してみると何か手がかりがつかめるかもしれません。

特定ユーザーがiPhoneを使っていて、なおかつAirDropの設定が不適切である可能性は低いでしょう。そこで、次のような活用法はどうでしょうか。

電車の中で、適当なソフト(Safariなどで開いているページでよい)から共有先をAirDropにする。そして、AirDropを一般公開しているユーザーの有無を確認します。そういったユーザーがいれば、目視で探します。iPhoneあるいはiPadを使っていること、性別(ユーザー名から判別可能な場合がある)などの情報から絞り込みます。そういったユーザーであれば、AirDropの設定だけでなく、全般的にセキュリティにルーズである可能性が高いといえます。そういったユーザーであれば、尾行の練習台として利用できそうです。

FAQ

レビューを参考にしたい

初版と第2版で商品ページが異なります。

両方のページにアクセスして、レビューを確認することをおすすめします。

興味はあるが高いので躊躇してしまう

興味を持っていただきありがとうございます。

すでに絶版となっているので、見かけたら入手するのが無難だと思います。

初版と第2版の違いは何ですか?

内容に違いはありません。

第2版ではいくつかの誤字が修正されています。

コレクターでなければ、第2版の方がよいでしょう。

『ハッカーの学校』と『ハッカーの学校 個人情報調査の教科書』の関係を教えてください。

2つの書籍の内容はかぶっていませんので、どちらから読み始めて問題ありません。

ただし、『ハッカーの学校』を参考にしてKali Linuxをインストールしておけば、『ハッカーの学校 個人情報調査の教科書』のコンピュータベースのソーシャルエンジニアリングの章を理解しやすくなります。

Google Hackingについて教えてください。

『ハッカーの学校 個人情報調査の教科書』ではGoogle Hackingの詳細について解説していませんが、『ハッカーの学校』では多くのページを割いて解説しています。参考にしてください。

AirDropによる個人情報調査について教えてください。

回答 AirDropとはiOSにデフォルトインストールされている情報共有アプリです。Bumpやフルフルなどといったプロフィール交換アプリがありますが、これの強力版といえます。AirDropの公開範囲の設定が間違っていると、第三者にiPhoneやiPadの使用者名(場合によっては本名)がばれてしまいます。

故人の個人情報の収集方法について教えてください。

本書で載せることができなかったテクニックを紹介します。

  • 郵便物から交友関係を確認する。特に年賀状、手紙などが参考になります。文章から交友の深さを識別します。交友が深い人物と連絡を行い、故人の情報について聞き出します。

失踪者の個人情報の収集方法について教えてください。

本書で載せることができなかったテクニックを紹介します。

  • 失踪者は失踪先の生活が落ち着くと、失踪元に無事であることを連絡してくることがあります。手紙や葉書であれば、消印からある程度の情報を特定できます。

『ハッカーの学校 個人情報調査の教科書』にはソーシャルエンジニアリングと心理学の関係が記載されていますが、これ以外にもありますか。

本書で載せることができなかったテクニックを紹介します。

  • 「グッドコップ、バッドコップ」を応用する。刑事が取り調べをするときに、「怖い刑事」と「優しい刑事」を演じることで、犯行を供述させるテクニックである。これはソーシャルエンジニアリングにも応用できる。「強めに説得する者」と「両者の気持ちをくみ者」の2人1組になるのである。

カジノの従業員の個人情報を特定できますか。

一般的に(海外かつ伝統的な)カジノの従業員規則は厳しいといえます(船の上のカジノは別)。カジノ外における従業員と賭人とにんの間での私的な接触は禁じられています。カジノの従業員はファーストネームで呼ばれており、ラストネームを知ることは困難です。なぜならば、ラストネームがわかれば、電話帳などで住所や電話番号を容易に調べられてしまうからです。

犯罪者プロファイリングとソーシャルエンジニアリングは関連がありませんか?

犯罪者プロファイリングとは、事件に関する情報の分析から可能性の高い犯人像を導き出す手法のひとつです。事件プロファイリングでは、犯罪捜査において行動科学を応用します。行動科学は人間の行動に関する一般法則を見出し、行動の予測や制御を行おうとする学問です。心理学、社会学、精神医学、人類学などの諸科学の理論や仮説を応用するわけです。

TVドラマや映画の世界では犯罪者プロファイリングが取り扱われることがあり、犯罪プロファイリングにより事件が解決することさえあります。しかしながら、現実では犯罪者プロファイリングが事件を解決するわけではありません。容疑者を特定するわけではなく、確率論的に可能性の高い犯人像を示すものです。捜査を支援したり、効率的に行ったりするための手法のひとつということになります。

犯罪者プロファイリングは犯人像を浮き彫りするにするというイメージが強く、これを活用すれば特定のターゲットのパーソナリティも知ることができると思いがちです。しかしながら、そう単純ではありません。

犯罪者プロファイリングは「犯行現場の証拠を適切に解釈できれば、犯人のパーソナリティを明らかにできる」ということを前提としています。ある特定の人格特徴は、類似した行動パターンを示します。これらのパターンや手がかりの知識があれば、犯罪捜査を支援して、容疑者の評価を行うことができます。

例えば、殺人事件や強姦事件の多くは、加害者と被害者には何らかの関係があります。こうした場合は被害者の関係者との関係性や動機から容疑者を絞り込めます。

しかし、面識のない犯人が凶悪な犯罪を犯した場合、捜査の対象は何百・何千もの容疑者に対して細かい情報を調べていく必要があります。しかし、情報が多すぎるため、処理しきれなくなってしまいます。こうした場合に、犯罪者プロファイリングを活用することで、容疑者を絞り込むことができます。

犯罪者プロファイリングの定義は様々なものがあります。ダグラスらは「ある人物の犯罪分析によって、その人物に関する主なパーソナリティや行動の特性を識別すること」と定義しています。また、コプソンは「犯行現場や被害者、その他の入手可能な証拠を詳細に評価することによって、未知の犯罪者の特徴を演繹しようとする警察捜査的なアプローチ」と定義しています。いずれの定義にしても根本概念は変わりません。犯罪者プロファイリングは「ある犯行や、ある一連の類似犯罪で示された行動を研究の対象とし、そこから犯人像を推定すること」といえます。

この前提は、犯行現場に被疑者の行動を示すような重要な手掛かりがなければ、犯罪者プロファイリングは適用できことを示しています。例えば、儀式的な行動、内臓の摘出、死体のポーズ、偽装など、ある種の精神病質性を示すような痕跡が明らかな事件は、犯罪者プロファイリングが向いています。特に、連続殺人、性的殺人、常習性のある犯罪などには有効です。一方、単純な強盗や器物損壊、そこから派生する暴行や殺人などは、犯行現場からは犯人のパーソナリティがほとんど存在しないため、犯罪者プロファイリングは向いていません。また、薬物によって誘発された犯行は、犯人の本来のパーソナリティを変容させることが多いため、犯罪者プロファイリングに向いていません。

犯罪者プロファイリングは次の3つの手法に大別されます。

  1. 同一犯の推定
  2. 犯人像の推定
  3. 居住地の推定

いずれの手法を用いても、最終的な目的は容疑者を絞り込むためです。

特定のターゲットから情報を得る場合とは状況がまったく異なります。

そのため、特定のターゲットから情報を得るために、犯罪者プロファイリングを積極的に活用できるかは疑問です。犯罪者プロファイリングそのものが心理学などを応用しているため、まったく関連がないわけではないでしょう。しかし、そうであれば、わざわざ犯罪者プロファイリングからのアプローチではなく、直接(犯罪者プロファイリングが利用している)心理学からのアプローチとの関連性を考察した方がよいと思われます。

一方、特徴的な情報が揃っているときに、特定のターゲットを絞り込むという場合には、犯罪者プロファイリングのアプローチは役に立つ可能性があります。犯罪者プロファイリングに用いるデータは犯罪に関するものという違いはありますが、その情報に特徴的な情報があれば類似の手法により個人を絞り込むことができると考えられます。

外国人と婚姻した場合について教えてください。

外国人との婚姻届を出した場合、日本人側は新しい戸籍が作られます。一方、外国人側は戸籍が作られず、日本人側の戸籍において婚姻の配偶者氏名に記載されるだけです。つまり、外国人は「夫」や「妻」の欄に載らないのです。法務省ははっきりした理由は述べておらず、法的根拠もありません。一説では戸籍は「日本人のみのもの」だからだといいます。

外国人は住民税を払っても住民票はありません。婚姻届を出したとしても、住民票の写しには配偶者の外国人が載らない場合があります。言い換えれば、結婚をしていても住民票上では未婚を装えるということです。住民票の写しをもらうときに、明示的に「外国人配偶者も記載してください」と言うことで、「備考欄」に外国人配偶者の名前が載ります。ただし、頼んでも載せてくれない地区もあるといいます。住民票に載らないということは、例えば子供が生まれて3人家族になっても、書類上では2人家族に見えることになります。

さらに、国際結婚は基本的に夫婦別姓になります。一説には「外国人には民法上の氏がないから」だといいます。婚姻から半年以内に改姓届を出すと、苗字を変えられます。ただし、アルファベットはカタカナ表記になります。

その他の個人情報の収集方法について教えてください。

本書で載せることができなかったテクニックを紹介します。

  • ターゲットがIngressユーザーであれば、IITCにより行動を詳細に地図上にプロットできます。その場所に何時いるか、移動経路がわかります。移動経路から次の移動先を絞り込むことができます。
  • 張り込みの最中に第三者や警察官に何をしているのかを聞かれた場合、Ingressというゲームをやっているといえば乗り切れます(なんら矛盾していない)。

書店での展開

本書に関する反響

IPUSIRONによる本書の紹介

Posted by ipusiron