工藤伸治のセキュリティ事件簿第3回「内部犯行」

＞＞第一回から読む

「開発者だけが知っている裏技みたいのはないなあ。解くことは可能だけど、実用的な時間内では難しいと思うよ。つまり、現在知られている方法で解くと十年くらいかかるってことだ」

「そうですか…では、説明を続けます。犯人からのメールは本日の午前十一時五分に到着しました。お手元の補足資料の二番です。我々の問題は、犯人の要求への回答とその後の対処方法です。要約は以上です」

「ふーん、状況はわかったんで、もう少しくわしく教えてくれる？　ポイントになるとこだけいいんだけどさ」

「どの部分を知りたいか、指定していただけるとありがたいです」

「盗まれた個人情報の内容、想定されている犯人像、身代金の受け渡し方法、警察への届け、オレの役割、ってとこかな？」

「はい。盗まれた情報ですが、補足資料五番に詳細があります。簡単に言いますと、弊社のネットサービスにログインするためのIDとパスワードです」

オレは顎がはずれるほどあきれた表情を浮かべたに違いない。葛城と川口がひどく驚いた。

「パスワード？　パスワードをそのままサーバに保管しているのか？」

その時のオレは、道の真ん中でうんこしているヤツに、天下の往来でうんこしてはいけませんよ、と声をかけたような気分だった。少しでも知識のあるシステム屋はパスワードをそのまま保管する(註)ようなことはしない。パスワードをもとに別の文字列、ハッシュを作ってそれを保管している。パスワードからハッシュは作れるが、ハッシュからパスワードは復元できない。ログインの時に入力されたパスワードが正しいかどうかは、ハッシュを比べればわかるけど、パスワードそのものはわからないわけだ。万が一サーバからデータを盗まれても安心だ。

「はあ、お恥ずかしい限りです」

葛城は顔を赤くした。いちおう、オレが驚いた理由はわかったらしい。

「まあいいや、で、ネットサービスってなにやってんの？」

「主に弊社の新商品情報の提供です。決済などは行っておりません」

「そうか、登録する時に住所や名前、電話番号を入力させるけど、別のデータベースにしてるんだ。じゃあ、IDとパスワードってのは、ほんとにここのサービスを使う以外に用途はないわけだな。じゃあ、漏れたって問題ねえじゃん。被害出ねえじゃん」

「金銭的な被害に関してはその通りです。しかし顧客情報が漏れたことが公になれば、Kマークの審査を通らないでしょう。それが問題です」

あくまで問題はKマークなんだ。

「ああ、なるほどね。説明続けていいよ」

「漏えいしたIDとパスワードは、約六万件です。犯人像は見当がついていません。しかし内部犯行の可能性が高いと個人的には考えています」

「理由は？」

「補足資料の六番をご覧ください。本件に関係するシステムの概要が書かれています。ご覧のようにひととおりのセキュリティを整えています。外部からの侵入は困難だと考えています」

「わかった。まあ、一般的にも内部犯行が多いからな。きっとそうなんだろう。可能性のある社員の人数は？」

「システム部で本件に関係している十名です」

「それにはあんたも入ってる？」

「はい」

「よし、話を続けて」

「犯人が指定してきた身代金の受け渡し方法は、さきほどの犯人からのメールにも書いてありますが、NTMという電子マネー口座へ振り込めというものでした。電子マネー口座についてご存じですか？　こちらでは現在、調査中なのです」

こいつら抜けてる、とオレは思った。そんなことも知らないでシステム屋をやってんのか。

＞＞つづき