工藤伸治のセキュリティ事件簿 第3回「内部犯行」
※本稿はフィクションです。実在の団体・事件とは関係がありません※
特集
フィクション
「開発者だけが知っている裏技みたいのはないなあ。解くことは可能だけど、実用的な時間内では難しいと思うよ。つまり、現在知られている方法で解くと十年くらいかかるってことだ」
「そうですか…では、説明を続けます。犯人からのメールは本日の午前十一時五分に到着しました。お手元の補足資料の二番です。我々の問題は、犯人の要求への回答とその後の対処方法です。要約は以上です」
「ふーん、状況はわかったんで、もう少しくわしく教えてくれる? ポイントになるとこだけいいんだけどさ」
「どの部分を知りたいか、指定していただけるとありがたいです」
「盗まれた個人情報の内容、想定されている犯人像、身代金の受け渡し方法、警察への届け、オレの役割、ってとこかな?」
「はい。盗まれた情報ですが、補足資料五番に詳細があります。簡単に言いますと、弊社のネットサービスにログインするためのIDとパスワードです」
オレは顎がはずれるほどあきれた表情を浮かべたに違いない。葛城と川口がひどく驚いた。
「パスワード? パスワードをそのままサーバに保管しているのか?」
その時のオレは、道の真ん中でうんこしているヤツに、天下の往来でうんこしてはいけませんよ、と声をかけたような気分だった。少しでも知識のあるシステム屋はパスワードをそのまま保管する(註)ようなことはしない。パスワードをもとに別の文字列、ハッシュを作ってそれを保管している。パスワードからハッシュは作れるが、ハッシュからパスワードは復元できない。ログインの時に入力されたパスワードが正しいかどうかは、ハッシュを比べればわかるけど、パスワードそのものはわからないわけだ。万が一サーバからデータを盗まれても安心だ。
「はあ、お恥ずかしい限りです」
葛城は顔を赤くした。いちおう、オレが驚いた理由はわかったらしい。
「まあいいや、で、ネットサービスってなにやってんの?」
「主に弊社の新商品情報の提供です。決済などは行っておりません」
「そうか、登録する時に住所や名前、電話番号を入力させるけど、別のデータベースにしてるんだ。じゃあ、IDとパスワードってのは、ほんとにここのサービスを使う以外に用途はないわけだな。じゃあ、漏れたって問題ねえじゃん。被害出ねえじゃん」
「金銭的な被害に関してはその通りです。しかし顧客情報が漏れたことが公になれば、Kマークの審査を通らないでしょう。それが問題です」
あくまで問題はKマークなんだ。
「ああ、なるほどね。説明続けていいよ」
「漏えいしたIDとパスワードは、約六万件です。犯人像は見当がついていません。しかし内部犯行の可能性が高いと個人的には考えています」
「理由は?」
「補足資料の六番をご覧ください。本件に関係するシステムの概要が書かれています。ご覧のようにひととおりのセキュリティを整えています。外部からの侵入は困難だと考えています」
「わかった。まあ、一般的にも内部犯行が多いからな。きっとそうなんだろう。可能性のある社員の人数は?」
「システム部で本件に関係している十名です」
「それにはあんたも入ってる?」
「はい」
「よし、話を続けて」
「犯人が指定してきた身代金の受け渡し方法は、さきほどの犯人からのメールにも書いてありますが、NTMという電子マネー口座へ振り込めというものでした。電子マネー口座についてご存じですか? こちらでは現在、調査中なのです」
こいつら抜けてる、とオレは思った。そんなことも知らないでシステム屋をやってんのか。
>>つづき
《一田 和樹》