Langley のサイバーノーガード日記クリスマス特別企画サイバーセキュリティ短編小説案

　クリスマスということで、ふだんと毛色の違ったものを書いてもよいというお許しが編集部から出た。なので、ショートショートのことなど書いてみようと思う。

　筆者はショートショートが好きだ。好きな作家は、R・A・ラファティ、フレドリック・ブラウン、星新一さんである。子供の頃に読んで以来のファンだ。知り合いの中には、「ショートショートは子供の頃はおもしろかったけど、大人になったらやっぱりちゃんと書き込まれた長編の方がいいな」などとほざく転向者が多いのが残念といえば残念である。

　最近、偏った分野を題材にした本が出ているようだ。偏った本というと本マニアのみなさんのとても偏った会話が楽しめる「今日の早川さん」（作者：Coco　早川書房刊）などが有名だ。サイバーセキュリティを題材にしたショートショートなんかもおもしろいのではないかと思っている今日この頃である。

　筆者は、きれいにオチのつくショートショートが好きなのであるが、結構基本パターンができあがっている。例えば、こんな感じ。

●タイトル「侵入者自動追尾システム」

博士「とうとう自動追尾システムが完成した。不審なアクセスがあった場合、自動的に発信元をほぼリアルタイムでつきとめてレポートしてくれる」

弟子「すばらしいです。あっ、博士、ちょうど不審なアクセスがあったみたいです。アラートが表示されています」

博士「よし！　さっそく自動追尾システムを起動するぞ」

…そして10分後

弟子「あの、博士……アクセスはもうとっくに終わってしまいましたが、レ
ポートはどうなったんでしょう？」

博士「すまん。このシステムは起動に10分以上かかるのだ」(おわり)

　いわゆる肩すかしのオチ。この他にも

・すまん。レポートが膨大でどこに相手の位置が書いてあるかわからんのだ

・すまん。安全のためにレポートは暗号化してあるのだが、復号に20分かかるのだ。

　などなど、思わぬところに障害があったというパターンはいろいろ考えられる。

　相手あるいは対象を間違えるというオチもある。

●タイトル「個人情報自動抽出システム」

　A氏は、自動的にクロールしてSQLインジェクションでデータベースを操作できる脆弱性のあるWebを見つけ出し、データを抜き出すプログラムを作り上げた。抜き出したデータは、そのままA氏のサーバにデータベース化される。

　A氏はそのシステムを稼働させてひと眠りした。うまく動けば、起きた時に莫大な個人情報が集まっているはずである。

　目を覚ましたA氏は、自分のサーバのデータベースを確認してほくそ笑んだ。大量の個人情報があった。

　だが、それを個人情報ブローカーに売りに行って驚いた。

　ブローカーはあきれた顔でA氏にこう言った。

　ときて、ここでまたオチはいくつかのパターンがある。

・警察庁職員名簿じゃないか

・第2次世界大戦の戦死者名簿じゃないか

・発展途上国の里親募集中の子供の名簿じゃないか

・行方不明者名簿じゃないか

・病院の死亡者名簿じゃないか

・サンタクロースのプレゼント配布先リストじゃないか

　サイバーセキュリティにもっと特化したテクニカルなネタもいいと思うが、テクニカルになればなるほどオチのパターンが狭まってくるので、なかなか難しいところであろう。

　故星新一さんが、ショートショートを書く際に、時代や地域を越えて楽しんでもらえるように、できるだけ固有名詞や数字を使わないように書いていたのは有名な話である。氏のショートショートの登場人物は、エフ氏といった特徴のない名前だし、金額などを表すにも、はっきりした数字は書かなかった。

　そこまで徹底しないにしても、サイバーセキュリティという分野の特徴を生かしながら、ある程度汎用性のあるネタを考えるべきであろう。でないと内容を理解して喜んでくれるのは、日本国内に100人もいないということになりかねない。

　相手が違っていたパターンをもうひとつ。

●タイトル「相手違いのマルウェア」

　A氏は、職場の隣の席に座っているB氏が、勤務中もオンラインバンキングの口座を何度もチェックしていることに気がついた。

─　B氏はヒマなのかな？　なんでそんなに何度も口座を確認するんだろう

　日を追うにつれて、B氏の口座が気になるようになってきた。ある日、A氏が通りすがりにさりげなくB氏のモニタをちらりとのぞくとちょうどオンラインバンキングの口座を見ているところだった。莫大な残高があった。

　しかしA氏の記憶ではB氏はそんなに金持ちではない。自分と同じようにごく普通の家庭に育ったはずである。どういうことかと考えたA氏は、はっと気がついた。

─　B氏は宝くじに当たるか、金持ちの親族の遺産を相続するとかしたのだな。最近、突然大金が転がり込んだから、心配でああして毎日何回も口座を確認しているのだろう

　最初は、ほほえましいと感じたA氏だったが、すぐに気持ちが変わってきた。同じような境遇なのに、B氏だけにそんな幸運が舞い込んだことに嫉妬したのである。いや、むしろ能力から言えば、プログラマとしてのA氏はB氏よりもかなり優秀だった。

　そして、A氏はよからぬ計画を実行することにしてしまった。B氏が退社したあとで、B氏のパソコンに自作のマルウェアをインストールしたのだ。そのマルウェアは、MITB(マン・イン・ザ・ブラウザ)攻撃によってB氏の口座の資金をA氏の口座に転送するようになっていた。幸いにB氏のオンラインバンキングの口座はA氏と同じ銀行だったので、A氏はその操作や機能を熟知していたのだ。もちろん、ダイレクトには送らない。資金転送用のダミー口座を介するようにしておいた。

　マルウェアを仕込んだ翌日、B氏は、いつものようにオンラインバンキングを利用していた。A氏は喜んだ。できればすぐに口座を確認したい。しかし、B氏の隣の席で確認しては、B氏にばれてしまうかもしれない。

　はやる気持ちを抑えてB氏が席を離れるのを待った。しかし、その日に限ってなかなか席を離れない。B氏は昼食も自席でとっていた。A氏が昼食に出て戻っても、席に座ったままだった。夕方になって、ようやく席を離れた。

　さっそくA氏は、自分の口座を確認したが、口座の残高に変化はなかった。

──　転送口座を介しているから、時間がかかるのかもしれない

　A氏はそう思い、その後、会社での確認はしなかった。やがて終業時間が来た。自宅に帰ったA氏は、すぐに口座を確認してみた。

　なんと、A氏の口座の残高はゼロになっていた。

　一方、その頃、B氏は大笑いしていた。彼は、A氏が仕込んできたマルウェアの送金先を自分の口座に書き換え、A氏が昼食に出た隙にA氏のパソコンにインストールしたのである。そして夕方、A氏が自分の口座を確認した時に、マルウェアは動作し、B氏の口座にA氏の口座の全額を送金したわけである。

　B氏はゼロからマルウェアを開発するほどの能力はなかったが、コードを解析して送金先を書き換えるくらいはできたのだ。

　B氏は最初からA氏の開発力と少々はやとちりなところを利用して、A氏の金をだましとろうと考えていた。そのためにわざとニセの口座の画面を見せたりしていたのである。A氏は、まんまと罠にはまってしまった。(おわり)

　「残高はゼロになっていた」以降は、いろいろなもので置き換えることができる。読者諸兄だったら、どんなオチを考えるであろうか。

　正月休みのお暇な時にでも頭の体操がわりに考えてみてはいかがだろう？　もし、おもしろいものができたら、編集部に送っていただきたい。編集部をうならせるような傑作であれば、ぜひ紹介させていただきたい。

【執筆：Prisoner Langley】
執筆者略歴：
　民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会（ACCS）のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
　4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/