シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.01.19(木)

シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」

特集 フィクション

※本稿はフィクションです。実在の団体・人物・事件とは関係がありません※

第1部

たいていの物事は複雑なように見えて単純だ。難しそうな問題も視点を変えれば簡単に解ける。正確に言えば、自分で解く必要なんかない。どうやれば答えを教えてもらえればよいのか、あるいはどうやれば問題を解かなくてもよい状況を作れるのかを考えればいい。こういうやり方なら、小学生にだって東大入試を突破できる。というわけで、私は今からWizard級ハッカーになる。


2011年02月

PCって、どうやれば壊れるんだっけ? よく勝手に壊れるくせに、いざ壊したい時には方法がわからない。自然に壊れたように見せるには、HDDをちょっと細工するのと、基盤をいじるのかな。ああ、面倒だ。ネットで調べるか。

私は電源部分と基盤に細工することにした。細工といっても動かなくするだけのことだから思ったよりも簡単だった。

時間は限られている。早朝の誰もいないこの時間帯に作業を終わらせなければならない。さりげなく机に近づき、あらかじめ調べておいた手順でPCの蓋をあける。そして電源部分と基盤の数カ所に細工をした。これでもうこのPCは終わりだ。

別にこのPCの持ち主に恨みがあるわけじゃない。でも、人が不幸な目に遭うのを想像すると愉快な気分になる。笑いがこみ上げてきた。

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。こんな簡単に顧客データにアクセスできるなんて、どんだけ間抜けなんだ。

エリカのシステムは、ちょっとばかし面倒な作りになっている。物理的には、都内某所のデータセンターに全てのサーバを置いている。エリカの一般顧客向けのネットサービス(主にゲーム)のデータベースには、IDとハンドル名、暗号化されたパスワードしかない。万が一漏洩しても、なにもできない。なにしろ名前はもちろん電話番号、住所、クレジットカード番号といった大事な情報が存在しないのだ。さらにパスワードは暗号化されているから、盗まれても解読に手間と時間がかかる。

重要な個人情報は、社内からしかアクセスできないサーバにおかれている。ネットサービスの客は、この情報に直接触れることができない。一度ネットサービス用のサーバに問合せを出し、そこからさらに社内の個人情報データベースに問合せを出すのだ。問合せの書式と長さは厳密に管理されている上、1回に1IDのリクエストしか受け付けないときている。一度に大量の個人情報を抜き取るのは困難だ。

もちろん使っているサーバやデータベースに致命的な脆弱性が存在した場合は、そこをついて抜き取ることは可能かもしれないが、すべてのチェックをすり抜けるのは難しいだろう。

だが、私はまんまとそれをすり抜けることに成功した。なにも正面からぶつかって突破する必要などないのだ。頭は使いようだ。

計102,000件のPKP個人データ。PKPってのは、エリカのオンラインゲームの会員サービスだ。お前らがエリカに金を落とすから、あいつらが思い上がるんだ。
しかし思ったよりも数が少ない。しかも部分的に暗号化してるじゃないか、くそったれがあ。ああ、でもそんなことはどうでもいい。どうせ、パスワードを使うつもりなんかない。あいつらに自分たちの間違いを思い知らせてやることが目的だ。

私は、日本最初のハクティビストだ。

つづきを読む >> 第2回「復讐の幕開け」 工藤伸治のセキュリティ事件簿シーズン3 エリカとマギー

【註解】
Wizard級ハッカーとは最上級ハッカーの技量を示す言葉らしい。筆者の記憶している限りでは、これが用いられたのは、コミック「攻殻機動隊」の主人公、草薙素子に関してだったと思う。そのため「Wizard級ハッカー」というと「草薙素子」を連想する人も多いと思う。何度か触れているが、海外での「攻殻機動隊」および「草薙素子」に対する評価はきわめて高く、サイバーセキュリティ関係者(ブラックハット、ホワイトハットともに)で知らないものはいないと言っても過言ではないくらいだ。米Fordes誌「Webで最も影響力のある20人」にもランクイン。

ハクティビストは、ハッカーとアクティビストを合わせた造語である。なんらかの主義主張に基づいてハッキングを行う人々をさす。最近の例では、ソニーを攻撃した「アノニマス」が有名である。とはいえ、その主義主張がどれくらい妥当であるかとか、一貫性があるかということになると、若干疑問は残る。ところで、あまり認識されていないことではあるが、日本企業がターゲットになる可能性は少なくない。というのは、多くの日本企業は、海外の良識ある人々が眉をひそめるようなことをたくさんしていたりするからだ。例えば、大手化粧品会社が動物実験をしてるなんて、ちょっと考えられない。攻撃されて当然でしょ。てかなんで不買運動しないんでしょう。これに類したことは多々あるので、日本企業はどこでも攻撃を受ける可能性がある。日本の経営者は、自社がハクティビストのターゲットになるとは思っていない人が多いような気がするが、実際にはそうではないことを認識しておいた方がよい。

(一田和樹)

著者略歴:作家、カナダ在住

【関連リンク】
一田和樹公式サイト
一田和樹公式Twitter
一田和樹著/講談社刊「キリストゲーム CIT内閣官房サイバーインテリジェンスチーム」
一田和樹著/原書房刊「サイバーテロ 漂流少女」
一田和樹著/原書房刊「檻の中の少女」
《一田和樹》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第26回 「最近よく聞くサイバー保険は誰を救う?」

    ここが変だよ日本のセキュリティ 第26回 「最近よく聞くサイバー保険は誰を救う?」

  2. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

    生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  3. [セキュリティ ホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

    [セキュリティ ホットトピック] 2017年のサイバーセキュリティ経営強化にすぐ役立つハンドブック、初心者から経営者向けも

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2割超がインシデント対応計画「まったく無い」、組織運用実態

  6. [セキュリティ ホットトピック] 未成年によるサイバー犯罪が多発、営利目的と違う動機に注目

  7. Scan BASIC MEMBERS 登録方法

  8. ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」

  9. 資産を凍結されたオートサーフの12dailyPro その実態は“ポンジースキーム”か

  10. シーズン1 「R式サイバーシステム」 第1回「プロローグ:身代金」

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×