工藤伸治のセキュリティ事件簿 第2回「回収不能」 | ScanNetSecurity
2021.01.25(月)

工藤伸治のセキュリティ事件簿 第2回「回収不能」

※本稿はフィクションです。実在の団体・事件とは関係がありません※

特集 フィクション
>>第一回から読む

オレはこいつからまともな説明を聞くことをあきらめた。よくあることだ。専門知識のないエージェントだから仕方がない。直接説明を聞くしかねえ。

オレはエージェントに連れられて、のこのことクライアントのビルにやってきた。R式サイバーシステムとかいう会社だ。バカみたいな名前だ。

金のかかってそうな会議室に通されると、ジーンズにポロシャツ姿の青年二人がやってきた。でぶとやせのコンビだ。こいつらが責任者か、若いな、とオレは思った。

「初めまして、システム部の葛城です」

メガネをかけた鋭い目つきのやせが挨拶した。

「初めまして、総務部の川口です」

でぶが言った。でぶの方はおまけだな、とオレは思った。

「どうも、工藤です」

オレは挨拶して名刺を交換した。工藤伸治というのが、オレの名前だ。フリーのサイバーセキュリティコンサルタントと言えば聞こえはいいが、なんらかの事情で警察に相談できなかったり、大手のコンサルタントに相談できなかったりする連中がオレのところにやってくる。ようするに表にできない話だ。

「沢田さんから概要はお聞きしましたと言いたいとこなんですけど、この人、なにもわかってないんで、最初から説明してもらえますか?」

オレはエージェントを横目で見て言った。エージェントの沢田の本職は広告代理店だ。専門的な話はわからない。

「ああ、やっぱりそうですか。資料を用意してあります」

几帳面なシステム屋っていうのは、ドキュメントをこまめに作ってくれるから楽でいい。葛城は、オレたちに座るように言って、分厚い資料を出した。一番上には、NDA(守秘義務契約書)が乗っている。用心のいいことだ。

「まず、我々が直面している問題を要約してお話しします。我々の顧客情報が何者かによって持ち出されました。特殊なソフトで暗号化した上でP2Pネットワークに美少女グラビアデータとして登録されました。これで一気にデータが広がりました。ここまではいいですか?」

P2Pネットワークは、Winnyに代表されるインターネット上のファイル共有システムだ。いったん、ここにデータが流れたら回収はできないと思った方がいい。個人情報漏えいのニュースでよく出てくる。

「つまり、回収不能な状態になったわけだ。そりゃ難儀なことだ」

「有り体に言えばそうです。犯人から我々にメールが来ました。脅迫状ですね。一週間後の二十四日までに一千万円を払え、さもなければ暗号を解くパスワードを公開する。払った場合には、安全なパスワードを提供する、という内容でした」

「安全なパスワード?」

「犯人の使った特殊なソフトの機能です。ふたつのデータをひとつにまとめた上で暗号化しているのです。暗号を解くパスワードは二つ存在します。このケースの場合、グラビアデータと顧客情報の二つのデータがひとつにまとめられています。ひとつのパスワードを使うとグラビアデータの暗号が解かれ、顧客情報のデータは削除されます。もうひとつのパスワードを使うと顧客情報のデータの暗号が解かれ、グラビアデータが削除されます。グラビアデータを残し顧客情報を消去するパスワードが安全なパスワードです」

「フィンランドのハッカーが作ったソフトだ。知ってる。犯罪に使われたのは初めてだと思う。まさか日本で使うヤツが出てくるとはな。でも、便利じゃん。安全なパスワードをばらまけば、勝手にみんなが個人情報を削除してくれるんだ」

「暗号を解く方法はあるのでしょうか?」

>>つづき

《一田 和樹》

PageTop

特集

アクセスランキング

  1. VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

    VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

  2. 先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

    先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

  3. 仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

    仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

  4. 我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

    我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

  5. Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

    Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

  6. 売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

    売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

  7. CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )

    CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )

  8. イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」

    イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」

  9. 一体どうバランスを取るか?  高度なサイバー攻撃対策 & 日々のセキュリティ運用

    一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用PR

  10. ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載

    ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載

ランキングをもっと見る