工藤伸治のセキュリティ事件簿 第3回「内部犯行」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

工藤伸治のセキュリティ事件簿 第3回「内部犯行」

特集 フィクション

>>第一回から読む

「開発者だけが知っている裏技みたいのはないなあ。解くことは可能だけど、実用的な時間内では難しいと思うよ。つまり、現在知られている方法で解くと十年くらいかかるってことだ」

「そうですか…では、説明を続けます。犯人からのメールは本日の午前十一時五分に到着しました。お手元の補足資料の二番です。我々の問題は、犯人の要求への回答とその後の対処方法です。要約は以上です」

「ふーん、状況はわかったんで、もう少しくわしく教えてくれる? ポイントになるとこだけいいんだけどさ」

「どの部分を知りたいか、指定していただけるとありがたいです」

「盗まれた個人情報の内容、想定されている犯人像、身代金の受け渡し方法、警察への届け、オレの役割、ってとこかな?」

「はい。盗まれた情報ですが、補足資料五番に詳細があります。簡単に言いますと、弊社のネットサービスにログインするためのIDとパスワードです」

オレは顎がはずれるほどあきれた表情を浮かべたに違いない。葛城と川口がひどく驚いた。

「パスワード? パスワードをそのままサーバに保管しているのか?」

その時のオレは、道の真ん中でうんこしているヤツに、天下の往来でうんこしてはいけませんよ、と声をかけたような気分だった。少しでも知識のあるシステム屋はパスワードをそのまま保管する(註)ようなことはしない。パスワードをもとに別の文字列、ハッシュを作ってそれを保管している。パスワードからハッシュは作れるが、ハッシュからパスワードは復元できない。ログインの時に入力されたパスワードが正しいかどうかは、ハッシュを比べればわかるけど、パスワードそのものはわからないわけだ。万が一サーバからデータを盗まれても安心だ。

「はあ、お恥ずかしい限りです」

葛城は顔を赤くした。いちおう、オレが驚いた理由はわかったらしい。

「まあいいや、で、ネットサービスってなにやってんの?」

「主に弊社の新商品情報の提供です。決済などは行っておりません」

「そうか、登録する時に住所や名前、電話番号を入力させるけど、別のデータベースにしてるんだ。じゃあ、IDとパスワードってのは、ほんとにここのサービスを使う以外に用途はないわけだな。じゃあ、漏れたって問題ねえじゃん。被害出ねえじゃん」

「金銭的な被害に関してはその通りです。しかし顧客情報が漏れたことが公になれば、Kマークの審査を通らないでしょう。それが問題です」

あくまで問題はKマークなんだ。

「ああ、なるほどね。説明続けていいよ」

「漏えいしたIDとパスワードは、約六万件です。犯人像は見当がついていません。しかし内部犯行の可能性が高いと個人的には考えています」

「理由は?」

「補足資料の六番をご覧ください。本件に関係するシステムの概要が書かれています。ご覧のようにひととおりのセキュリティを整えています。外部からの侵入は困難だと考えています」

「わかった。まあ、一般的にも内部犯行が多いからな。きっとそうなんだろう。可能性のある社員の人数は?」

「システム部で本件に関係している十名です」

「それにはあんたも入ってる?」

「はい」

「よし、話を続けて」

「犯人が指定してきた身代金の受け渡し方法は、さきほどの犯人からのメールにも書いてありますが、NTMという電子マネー口座へ振り込めというものでした。電子マネー口座についてご存じですか? こちらでは現在、調査中なのです」

こいつら抜けてる、とオレは思った。そんなことも知らないでシステム屋をやってんのか。

>>つづき
《一田 和樹》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×