タイトル:ホワイトハッカー入門 国際資格CEH取得を目指せ!
著者:阿部ひろき
発行:株式会社インプレス
発行日:2020年10月21日
良本!!
ただそれを叫ぶためだけに、この記事カテゴリが更新された。
セキュリティの本って、だいたい浅いというか、
専門的なこと書いても一般人にはわからないだろうとか、
詳しく書きすぎて悪用されても困るしなぁ、みたいな結構保守的と言うか、
ぱっとしないんだよね。
DoS攻撃とは何か、マルチウェアとはなにか、とか。
当たり障りのない一般的なことを掠めていく『セキュリティ系』の本が多い中、
具体例出して解説してる本、初めて見た。
Pingやtraceroute使って何がわかるのか、というのを、初めて意識した。
こんなん疎通確認以外に使い道ないじゃん。
時々FWやL3SWで弾かれる設定にする意味わからんかったけど、なるほどね。
確かにこれでネットワーク構成にあたりがつけられるわ。
TTLの使い方もわかった。
Wiresharkで見る、3ウェイハンドシェイクの不信な動きの意図もわかった。
――前の現場で解析の手伝いしたことあったけど、セキュリティの専門部隊でもないのにこれは無理よ…。あのお客さん大丈夫なんかな……。
専門的な事以外にも、
よくある日常からセキュリティホールを察するテクニックみたいなのも書かれていて面白かった。
例えば何かのサービスを利用するためにユーザー登録しなくちゃいけなくて、
「このIDは既に使われています」とか出た場合、
そのIDから推測してPWを入力する、とかね。
今は何度か失敗するとパスワードリセットのメールが飛んだり、
しばらく置いてから試してね、って出るけど、昔は試し放題だったからなあ。
最近は多くのサービスがログイン確認機能付きよね。
「別の場所からログインがありましたが、本人ですか?」ってメール飛んでくる。
これ系で言うと、
ログイン失敗すると、『IDかパスワードが間違っています』って出るところが多いけれど、
昔は具体的に『パスワードが違います』『IDが違います』って出ちゃってたよね。
これも悪人に利用されるから、変わっていったんだろうなぁ。
もしIDがメールアドレスだった場合、
それは『利用者のいるメールアドレス』ってことで、つまりはフィッシングやマルウェアを流し込むターゲットになるな、とかね。
私もどちらかというと悪知恵働くタイプの人間だからこんなことは言われるまでもないけど、
根っからのお人好しっていうのは、言われるまでその危険性に気付かないからねぇ……。
ちなみに本書タイトルに入っているCEHという資格、
受講料60万超えてて、びっくり仰天。
CEH(認定ホワイトハッカー)|EC-Council公式トレーニング|GSX
試験料、チャレンジ回数に比例して高くなっていくのもびっくり。
まぁ……セキュリティ系は入り込まれたらアウトだからなぁ……
現実ではそう何度もチャレンジできないからね。
悪人だって何度も同じルートでノコノコ現れるわけじゃないし。
国家資格で言えば、セキュリティ系の資格で有名なのは
「情報処理安全確保支援士(登録セキスペ)」
試験費用自体はさすがの国家資格、一万円以下。
但し登録料は別途かかり、資格維持にも年でいくらとかさみ続ける。
ひたすら勉強が必要で責任も重大で、これからニーズが高まる資格だろうに、
求人見ると平均年収500万くらいなんだよね……
全然旨味がないよね……
やる気にならんわ……
それにこの手の仕事って攻撃防いでも褒められないし評価されないよね…
やれやれだよ……
いやはや、ハッキングの基本のキ、
ネットワークの土台の穴をついた部分をピックアップしているから、
初版から4年経っているけどまだまだ現役の本。
面白かった。
是非興味ある人は手に取ってみてね。
当社サービスへのサイバー攻撃に関するご報告とお詫び | 株式会社ドワンゴ (dwango.co.jp)
ドワンゴがサイバー攻撃を受けてえらいことになってる。
ITサービスを売っている会社だから、セキュリティも運用も相当気を付けていただろうに、やられてしまった。
世代的にもどっぷりニコ動世代でお世話になっていたから心配だ。
とりあえず動画は無事そう、ということで、本当に涙出るほど安心した。
クレジットとか個人情報なんかより、というとあれかもしれないけれど、
クリエイティブな物っていうのはお金に変えられないからさ…
特に「動画配信」という歴史的を切り開いた黎明期の動画たち、消えてしまうのは惜しすぎる。
歴史的建築物を残しておきたい、というのと同じ気持ち。
エンジニアたちは本当に大変だろうけど、頑張って欲しい。
頑張って……。