工藤伸治のセキュリティ事件簿 第3回「内部犯行」 | ScanNetSecurity
2021.06.21(月)

工藤伸治のセキュリティ事件簿 第3回「内部犯行」

※本稿はフィクションです。実在の団体・事件とは関係がありません※

特集 フィクション
>>第一回から読む

「開発者だけが知っている裏技みたいのはないなあ。解くことは可能だけど、実用的な時間内では難しいと思うよ。つまり、現在知られている方法で解くと十年くらいかかるってことだ」

「そうですか…では、説明を続けます。犯人からのメールは本日の午前十一時五分に到着しました。お手元の補足資料の二番です。我々の問題は、犯人の要求への回答とその後の対処方法です。要約は以上です」

「ふーん、状況はわかったんで、もう少しくわしく教えてくれる? ポイントになるとこだけいいんだけどさ」

「どの部分を知りたいか、指定していただけるとありがたいです」

「盗まれた個人情報の内容、想定されている犯人像、身代金の受け渡し方法、警察への届け、オレの役割、ってとこかな?」

「はい。盗まれた情報ですが、補足資料五番に詳細があります。簡単に言いますと、弊社のネットサービスにログインするためのIDとパスワードです」

オレは顎がはずれるほどあきれた表情を浮かべたに違いない。葛城と川口がひどく驚いた。

「パスワード? パスワードをそのままサーバに保管しているのか?」

その時のオレは、道の真ん中でうんこしているヤツに、天下の往来でうんこしてはいけませんよ、と声をかけたような気分だった。少しでも知識のあるシステム屋はパスワードをそのまま保管する(註)ようなことはしない。パスワードをもとに別の文字列、ハッシュを作ってそれを保管している。パスワードからハッシュは作れるが、ハッシュからパスワードは復元できない。ログインの時に入力されたパスワードが正しいかどうかは、ハッシュを比べればわかるけど、パスワードそのものはわからないわけだ。万が一サーバからデータを盗まれても安心だ。

「はあ、お恥ずかしい限りです」

葛城は顔を赤くした。いちおう、オレが驚いた理由はわかったらしい。

「まあいいや、で、ネットサービスってなにやってんの?」

「主に弊社の新商品情報の提供です。決済などは行っておりません」

「そうか、登録する時に住所や名前、電話番号を入力させるけど、別のデータベースにしてるんだ。じゃあ、IDとパスワードってのは、ほんとにここのサービスを使う以外に用途はないわけだな。じゃあ、漏れたって問題ねえじゃん。被害出ねえじゃん」

「金銭的な被害に関してはその通りです。しかし顧客情報が漏れたことが公になれば、Kマークの審査を通らないでしょう。それが問題です」

あくまで問題はKマークなんだ。

「ああ、なるほどね。説明続けていいよ」

「漏えいしたIDとパスワードは、約六万件です。犯人像は見当がついていません。しかし内部犯行の可能性が高いと個人的には考えています」

「理由は?」

「補足資料の六番をご覧ください。本件に関係するシステムの概要が書かれています。ご覧のようにひととおりのセキュリティを整えています。外部からの侵入は困難だと考えています」

「わかった。まあ、一般的にも内部犯行が多いからな。きっとそうなんだろう。可能性のある社員の人数は?」

「システム部で本件に関係している十名です」

「それにはあんたも入ってる?」

「はい」

「よし、話を続けて」

「犯人が指定してきた身代金の受け渡し方法は、さきほどの犯人からのメールにも書いてありますが、NTMという電子マネー口座へ振り込めというものでした。電子マネー口座についてご存じですか? こちらでは現在、調査中なのです」

こいつら抜けてる、とオレは思った。そんなことも知らないでシステム屋をやってんのか。

>>つづき

《一田 和樹》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る