Langley のサイバーノーガード日記 クリスマス特別企画 サイバーセキュリティ短編小説案 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

Langley のサイバーノーガード日記 クリスマス特別企画 サイバーセキュリティ短編小説案

特集 特集

 クリスマスということで、ふだんと毛色の違ったものを書いてもよいというお許しが編集部から出た。なので、ショートショートのことなど書いてみようと思う。

 筆者はショートショートが好きだ。好きな作家は、R・A・ラファティ、フレドリック・ブラウン、星新一さんである。子供の頃に読んで以来のファンだ。知り合いの中には、「ショートショートは子供の頃はおもしろかったけど、大人になったらやっぱりちゃんと書き込まれた長編の方がいいな」などとほざく転向者が多いのが残念といえば残念である。

 最近、偏った分野を題材にした本が出ているようだ。偏った本というと本マニアのみなさんのとても偏った会話が楽しめる「今日の早川さん」(作者:Coco 早川書房刊)などが有名だ。サイバーセキュリティを題材にしたショートショートなんかもおもしろいのではないかと思っている今日この頃である。

 筆者は、きれいにオチのつくショートショートが好きなのであるが、結構基本パターンができあがっている。例えば、こんな感じ。

●タイトル「侵入者自動追尾システム」

博士「とうとう自動追尾システムが完成した。不審なアクセスがあった場合、自動的に発信元をほぼリアルタイムでつきとめてレポートしてくれる」

弟子「すばらしいです。あっ、博士、ちょうど不審なアクセスがあったみたいです。アラートが表示されています」

博士「よし! さっそく自動追尾システムを起動するぞ」

…そして10分後

弟子「あの、博士……アクセスはもうとっくに終わってしまいましたが、レ
ポートはどうなったんでしょう?」

博士「すまん。このシステムは起動に10分以上かかるのだ」(おわり)

 いわゆる肩すかしのオチ。この他にも

・すまん。レポートが膨大でどこに相手の位置が書いてあるかわからんのだ

・すまん。安全のためにレポートは暗号化してあるのだが、復号に20分かかるのだ。

 などなど、思わぬところに障害があったというパターンはいろいろ考えられる。

 相手あるいは対象を間違えるというオチもある。

●タイトル「個人情報自動抽出システム」

 A氏は、自動的にクロールしてSQLインジェクションでデータベースを操作できる脆弱性のあるWebを見つけ出し、データを抜き出すプログラムを作り上げた。抜き出したデータは、そのままA氏のサーバにデータベース化される。

 A氏はそのシステムを稼働させてひと眠りした。うまく動けば、起きた時に莫大な個人情報が集まっているはずである。

 目を覚ましたA氏は、自分のサーバのデータベースを確認してほくそ笑んだ。大量の個人情報があった。

 だが、それを個人情報ブローカーに売りに行って驚いた。

 ブローカーはあきれた顔でA氏にこう言った。

 ときて、ここでまたオチはいくつかのパターンがある。

・警察庁職員名簿じゃないか

・第2次世界大戦の戦死者名簿じゃないか

・発展途上国の里親募集中の子供の名簿じゃないか

・行方不明者名簿じゃないか

・病院の死亡者名簿じゃないか

・サンタクロースのプレゼント配布先リストじゃないか

 サイバーセキュリティにもっと特化したテクニカルなネタもいいと思うが、テクニカルになればなるほどオチのパターンが狭まってくるので、なかなか難しいところであろう。

 故星新一さんが、ショートショートを書く際に、時代や地域を越えて楽しんでもらえるように、できるだけ固有名詞や数字を使わないように書いていたのは有名な話である。氏のショートショートの登場人物は、エフ氏といった特徴のない名前だし、金額などを表すにも、はっきりした数字は書かなかった。

 そこまで徹底しないにしても、サイバーセキュリティという分野の特徴を生かしながら、ある程度汎用性のあるネタを考えるべきであろう。でないと内容を理解して喜んでくれるのは、日本国内に100人もいないということになりかねない。

 相手が違っていたパターンをもうひとつ。

●タイトル「相手違いのマルウェア」

 A氏は、職場の隣の席に座っているB氏が、勤務中もオンラインバンキングの口座を何度もチェックしていることに気がついた。

─ B氏はヒマなのかな? なんでそんなに何度も口座を確認するんだろう

 日を追うにつれて、B氏の口座が気になるようになってきた。ある日、A氏が通りすがりにさりげなくB氏のモニタをちらりとのぞくとちょうどオンラインバンキングの口座を見ているところだった。莫大な残高があった。

 しかしA氏の記憶ではB氏はそんなに金持ちではない。自分と同じようにごく普通の家庭に育ったはずである。どういうことかと考えたA氏は、はっと気がついた。

─ B氏は宝くじに当たるか、金持ちの親族の遺産を相続するとかしたのだな。最近、突然大金が転がり込んだから、心配でああして毎日何回も口座を確認しているのだろう

 最初は、ほほえましいと感じたA氏だったが、すぐに気持ちが変わってきた。同じような境遇なのに、B氏だけにそんな幸運が舞い込んだことに嫉妬したのである。いや、むしろ能力から言えば、プログラマとしてのA氏はB氏よりもかなり優秀だった。

 そして、A氏はよからぬ計画を実行することにしてしまった。B氏が退社したあとで、B氏のパソコンに自作のマルウェアをインストールしたのだ。そのマルウェアは、MITB(マン・イン・ザ・ブラウザ)攻撃によってB氏の口座の資金をA氏の口座に転送するようになっていた。幸いにB氏のオンラインバンキングの口座はA氏と同じ銀行だったので、A氏はその操作や機能を熟知していたのだ。もちろん、ダイレクトには送らない。資金転送用のダミー口座を介するようにしておいた。

 マルウェアを仕込んだ翌日、B氏は、いつものようにオンラインバンキングを利用していた。A氏は喜んだ。できればすぐに口座を確認したい。しかし、B氏の隣の席で確認しては、B氏にばれてしまうかもしれない。

 はやる気持ちを抑えてB氏が席を離れるのを待った。しかし、その日に限ってなかなか席を離れない。B氏は昼食も自席でとっていた。A氏が昼食に出て戻っても、席に座ったままだった。夕方になって、ようやく席を離れた。

 さっそくA氏は、自分の口座を確認したが、口座の残高に変化はなかった。

── 転送口座を介しているから、時間がかかるのかもしれない

 A氏はそう思い、その後、会社での確認はしなかった。やがて終業時間が来た。自宅に帰ったA氏は、すぐに口座を確認してみた。

 なんと、A氏の口座の残高はゼロになっていた。

 一方、その頃、B氏は大笑いしていた。彼は、A氏が仕込んできたマルウェアの送金先を自分の口座に書き換え、A氏が昼食に出た隙にA氏のパソコンにインストールしたのである。そして夕方、A氏が自分の口座を確認した時に、マルウェアは動作し、B氏の口座にA氏の口座の全額を送金したわけである。

 B氏はゼロからマルウェアを開発するほどの能力はなかったが、コードを解析して送金先を書き換えるくらいはできたのだ。

 B氏は最初からA氏の開発力と少々はやとちりなところを利用して、A氏の金をだましとろうと考えていた。そのためにわざとニセの口座の画面を見せたりしていたのである。A氏は、まんまと罠にはまってしまった。(おわり)

 「残高はゼロになっていた」以降は、いろいろなもので置き換えることができる。読者諸兄だったら、どんなオチを考えるであろうか。

 正月休みのお暇な時にでも頭の体操がわりに考えてみてはいかがだろう? もし、おもしろいものができたら、編集部に送っていただきたい。編集部をうならせるような傑作であれば、ぜひ紹介させていただきたい。

【執筆:Prisoner Langley】
執筆者略歴:
 民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
 4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×