IPUSIRON

IPUSIRON(イプシロン)

1979年福島県相馬市生まれ。相馬市在住。タイトルにある「ミジンコ」は、サインに添えて素早く描けるシンプルなイラストとして採用したものであり、同時に「常に初心を忘れない」という自戒も込めている。2001年に『ハッカーの教科書』(データハウス)を上梓。情報・物理的・人的の観点から総合的にセキュリティを研究しつつ、執筆を中心に活動中。その集大成として2026年1月に『サイバー忍者入門』(翔泳社)を刊行。主な著書に『ハッキング・ラボのつくりかた 完全版』『暗号技術のすべて』(翔泳社)、『ホワイトハッカーの教科書』(C&R研究所)などがある。

X:@ipusiron GitHub:ipusiron ブログ:Security Akademeia 著書『暗号技術のすべて』 著書『ハッキング・ラボのつくりかた 完全版』 著者記事一覧

はじめに

本連載「ミジンコの読書案内」では、私がこれまでに読んできた書籍からテーマごとのおすすめ本を厳選して紹介します。今回のテーマは「ヒトの心理と詐欺の裏側」です。

現実のサイバー攻撃のなかには、人間の心理的な隙を突破口としているものが多々あります。たとえば、フィッシングメール、プリテキスティング(つくり話によるなりすまし)、もっともらしい口実での物理的侵入など、いずれも心理を突いた手口です。どれほど堅牢なシステムでも、運用する人が騙されれば意味がありません。

こうした攻撃はソーシャルエンジニアリングと呼ばれ、技術的対策だけでは防ぎきれない厄介さを持っています。書籍を通じてソーシャルエンジニアリングを学ぶ手順として、「読み物系⇒伝統的な手法を扱う本⇒モダンな手法を扱う本⇒教科書や学術書で体系化」という流れをおすすめします。

今回紹介するのは以下の5冊です。実践書から学術書、歴史上の詐欺を俯瞰するビジュアル書まで、幅広く選びました。

書籍リスト
1. 『サイバー忍者入門』IPUSIRON 著
2. 『詐欺とペテンの大百科』カール・シファキス 著、鶴田文 翻訳
3. 『トリックといかさま図鑑 奇術・心霊・超能力・錯誤の歴史』マシュー・L・トンプキンス 著、定木大介 翻訳
4. 『ビジュアル 世界の偽物大全 フェイク・詐欺・捏造の全記録』ブライアン・インズ、クリス・マクナブ 著、定木大介、竹花秀春、梅田智世 翻訳
5. 『人を動かすハッカーの技術:ソーシャルエンジニアリングの実践と防御』Joe Gray 著、Jin Maeda 翻訳

『サイバー忍者入門』──セキュリティの弱点は情報・物理的・人的の境界に生まれやすい

▲『サイバー忍者入門 忍者・スパイ・軍隊・ハッカーに学ぶ フルスタック・ハッキング』IPUSIRON 著、翔泳社

本書は、忍者の忍術、スパイの諜報術、軍の戦術、ハッカーの攻撃手法を関連づけながら、情報・物理的・人的セキュリティを横断的に学ぶ構成です。筆者は、忍者とハッカーには多くの共通点があると考えています。

忍者は敵地に潜入して密かに情報を収集しますが、ハッカーもシステムの脆弱性を突いて侵入し、データを奪取したり、ログを消去して痕跡を隠したりする技術を駆使します。こうした共通点は、興味深いだけでなく、セキュリティへの理解を深める助けにもなります。(p.19)

特に今回のテーマに直結するのは「術の章」です。伝統的なソーシャルエンジニアリング(詐欺的手口やゴミ箱漁りなど)からモダンなソーシャルエンジニアリング(OSINT/Open Source Intelligence=公開情報による調査、脅威インテリジェンスなど)までカバーしています。

具体的には、ソーシャルエンジニアリングの基本型に加え、「内通の術」(スパイ勧誘の心理テクニック)や「謀略による情報操作」を紹介しています。なかでも忍者の「五車五欲の術」は感情(喜・怒・哀・楽・恐)と欲望(食欲・性欲・名声・財産・風流)を利用して相手を意のままに操る技法であり、現代のソーシャルエンジニアリングの原型そのものです。

▲過去の講演資料「『サイバー忍者入門』~フルスタック・ハッキングの世界~」より。

忍者入門書のようなワクワク感を重視しつつ、独自の観点での解説も含めています。セキュリティ初学者から忍者ファンまで楽しめます。

『新版 詐欺とペテンの大百科』──人はなぜ騙し、騙され続けるのか

▲『新版 詐欺とペテンの大百科』カール・シファキス 著、鶴田文 翻訳、青土社

本書は、詐欺やいかさまの歴史について五十音順に項目が並ぶ事典です。原書は "Hoaxes and Scams: A Compendium of Deceptions, Ruses and Swindles"(Facts on File)であり、著者カール・シファキスはUPI通信社の犯罪記者出身のノンフィクション作家です。

ビジネスに関連する詐欺だけでなく、歴史上のでっち上げ、芸術品の贋作、化石の捏造など、ありとあらゆる「騙し」の手口が収められています。著者は「すべての手口は古くからある詐欺の新しい形に過ぎない」と指摘しています。古典的な詐欺を振り返ることが、将来の詐欺への対策になりえるということです。

頭から読むこともできますが、拾い読みしていくだけでも面白いでしょう。個人的に読んでもらいたいキーワードは「エッフェル塔の売却」「落とし物詐欺」「コンピューター犯罪」「自動車に関するあの手この手」「チャールズ・ポンジ」が挙げられます。他書で登場するキーワードを本書で調べてみることもおすすめします。

資料的価値は高いですが、昨年6月に発売された新版で定価8140円(税込)と、手が出にくいかもしれません。

代替というわけではありませんが、『詐欺師入門 騙しの天才たち、その華麗なる手口』(光文社未来ライブラリー)もおすすめします。信用詐欺研究の古典的名著で、1500円前後で入手可能です。「被害者が自ら進んで金を差し出し、時に詐欺師へ感謝さえする」という構造を「芸術」として分析しており、ソーシャルエンジニアリングの心理操作を理解する好著といえます。

『トリックといかさま図鑑 奇術・心霊・超能力・錯誤の歴史』──騙す者、魅せる者、暴く者の攻防

▲『トリックといかさま図鑑 奇術・心霊・超能力・錯誤の歴史』マシュー・L・トンプキンス 著、定木大介 翻訳、日経ナショナルジオグラフィック

本書は、元マジシャンであり心理学者でもある著者が、「いかさまとマジック」の歴史を豊富なビジュアルで解き明かした一冊です。原書は "The Spectacle of Illusion"(Thames & Hudson)で、英国ウェルカム・コレクションの展覧会に合わせて出版されました。

初期の催眠術や心霊現象から、マジックの巨匠たちの活躍、心霊研究家と超心理学者の攻防、そして錯覚の心理学まで、5幕構成で展開されます。人体切断、縄抜け、降霊会、ポルターガイスト、超能力、錯視など、私たちを魅了する「奇跡」と「奇術」は表裏一体です。

本書を今回の選書に含めた理由は、ソーシャルエンジニアリングとマジックの手法に本質的な共通点があるからです。どちらも認知バイアスや思い込みを突き、相手の注意を誘導して目的を達成します。いわば、認識の境界を突く技術です。

その技法は人を楽しませる娯楽にもなれば、人を害する詐欺にも悪用できます。つまりマジックは、人は誰でも騙されるという事実を思い出させてくれるのです。

図版を眺めるだけでも楽しめますが、「人がなぜ騙されるのか」という構造を理解するための一冊として、じっくり読み込むことをおすすめします。

以下は、本書の読了メモとしてXに投稿した内容です。断片的なメモですが、本書の面白さは伝わるかと思います。

X投稿より抜粋

『ビジュアル 世界の偽物大全 フェイク・詐欺・捏造の全記録』──偽物が映し出す人間の欲望と創意

▲『ビジュアル 世界の偽物大全 フェイク・詐欺・捏造の全記録』ブライアン・インズ、クリス・マクナブ 著、定木大介、竹花秀春、梅田智世 翻訳、日経ナショナルジオグラフィック

本書は、歴史的な詐欺・偽造・捏造の実例から「なぜ人は騙されるのか」を構造的に理解できる一冊です。原書は "Fakes, Scams & Forgeries"(Amber Books)です。

偽金、贋作、偽書、考古遺物の捏造、詐称、プロパガンダ、疑似科学など、数世紀にわたる「偽造の歴史」を200枚以上の写真とともに収録しています。ヒトラーの日記の偽造事件(シュテルン誌事件)、フェルメールの贋作、エッフェル塔を二度も売った男など、有名な事件が多数登場します。

前掲の『トリックといかさま図鑑』が心理学的メカニズムに重心を置いているのに対し、本書は実際の詐欺事件のケースを幅広く収集しています。両者をセットで読むことで、「なぜ騙されるのか」と「何に騙されてきたのか」の両面から理解が深まります。

本書に登場する詐欺師のなかでも、もっとも有名なひとりがフランク・アバグネイルです。半自伝“Catch Me If You Can”(日本語版は新潮社の『世界をだました男』)はレオナルド・ディカプリオ主演で映画化もされています。作中にはさまざまな騙しのテクニックが登場し、ソーシャルエンジニアリングの観点からも学びがあります。拙著『ホワイトハッカーの教科書』でもこの映画を紹介しています。

歴史的に「なりすまし」とは、有名・裕福・権限のある人物を装う行為でした。しかし、認証システムで本人確認を行う現代では、パスワードが奪われるだけで情報窃取や罪のなすりつけが起きえます。万人にとっての脅威です。

学ぶところが多く、本書の読了メモもXに投稿しています。

X投稿より抜粋

『人を動かすハッカーの技術:ソーシャルエンジニアリングの実践と防御』──日本語で読める最新ソーシャルエンジニア本

▲『人を動かすハッカーの技術:ソーシャルエンジニアリングの実践と防御』Joe Gray 著、Jin Maeda 翻訳、技術評論社

本書は、ペネトレーションテスター(※)の視点からモダンなソーシャルエンジニアリングを体系的に解説した実践書です。
※ペネトレーションテスター…依頼者の許諾のもとで実際の攻撃者の視点から疑似攻撃を行い、対象システムのセキュリティ対策の有効性を検証・評価する専門家

原書は "Practical Social Engineering: A Primer for the Ethical Hacker"(No Starch Press)です。原著者はOSINT分野での実績が豊富であり、国際的な書籍推薦サイト「BookAuthority」のソーシャルエンジニアリング部門で歴代ベストにも選ばれています。

扱う範囲は、スコーピング(範囲設定)からOSINT、フィッシング攻撃の実行、報告書の作成まで多岐にわたります。ソーシャルエンジニアリングをセキュリティ改善に役立てるためのプロセスを一気通貫で学べます。スクリーンショットやコマンド実行例に多くのページが割かれた実践志向の構成です。Recon-ng、Sherlock、Gophish、HTTrackなど、ツールの導入手順と活用法が具体的に示されています。

セキュリティ実務家にとっては、Part IIIの防御パート(意識向上プログラム、レピュテーションモニタリング、インシデント対応)と付録のワークシートが実用的です。

選書から漏れた絶版本や洋書たち

今回のテーマには絶版の名著も多いです。本編からは外しましたが、何冊か紹介しておきます。

ソーシャルエンジニアリングの古典といえば、ケビン・ミトニックの『欺術』(SBクリエイティブ)です(原題は“The Art of Deception: Controlling the Human Element of Security”)。ミトニック自身が人間の心理を突いてシステムに侵入してきた経験を語った、この分野の必読書といえます。

クリストファー・ハドナジーの『ソーシャル・エンジニアリング』(日経BP社)も当時の日本のセキュリティ界にとって重要な一冊でした(原題は“Social Engineering: The Art of Human Hacking”)。手法の体系的な整理に加え、心理学に大きくページが割かれていたのが印象的です。

拙著『ハッカーの学校 個人情報調査の教科書』(データハウス)はアナログとデジタルのソーシャルエンジニアリングを網羅しています。内容は古くなっていますが、心理学の解説は現代でも通用します。

これらの本はいずれも絶版ですが、中古市場やフリマサイトで安価に見つけたら迷わず手に取ることをおすすめします。

ソーシャルエンジニアリングの洋書を探すなら

前述のとおり、日本語で読めるソーシャルエンジニアリング書籍は少なく、絶版も多いです。洋書に目を向ける際には、『人を動かすハッカーの技術』の紹介で触れた書籍推薦サイト「BookAuthority」のソーシャルエンジニアリング部門が役立ちます。

8 Social Engineering Books That Experts Rely On

この一覧には、前述のミトニックやハドナジーの著作のほか、実務者から高く評価されている8冊が挙げられています。 ただし、海外のソーシャルエンジニアリング本(翻訳書も含む)の内容は海外の事情が前提です。日本にそのまま当てはめられるとは限らない点には注意してください。

おわりに

今回は「ヒトの心理と詐欺の裏側」をテーマに5冊を選びました。

技術的な対策は日々進歩しますが、人間の心理的な弱点はそう簡単には変わりません。「なぜ人は騙されるのか」を知ることは、攻撃手法を学ぶこと以上にセキュリティの理解を深めてくれます。

今回の選書が、人間の側面からセキュリティを考えるきっかけになれば幸いです。