工藤伸治のセキュリティ事件簿 第3回「内部犯行」 | ScanNetSecurity
2024.03.29(金)

工藤伸治のセキュリティ事件簿 第3回「内部犯行」

※本稿はフィクションです。実在の団体・事件とは関係がありません※

特集 フィクション
>>第一回から読む

「開発者だけが知っている裏技みたいのはないなあ。解くことは可能だけど、実用的な時間内では難しいと思うよ。つまり、現在知られている方法で解くと十年くらいかかるってことだ」

「そうですか…では、説明を続けます。犯人からのメールは本日の午前十一時五分に到着しました。お手元の補足資料の二番です。我々の問題は、犯人の要求への回答とその後の対処方法です。要約は以上です」

「ふーん、状況はわかったんで、もう少しくわしく教えてくれる? ポイントになるとこだけいいんだけどさ」

「どの部分を知りたいか、指定していただけるとありがたいです」

「盗まれた個人情報の内容、想定されている犯人像、身代金の受け渡し方法、警察への届け、オレの役割、ってとこかな?」

「はい。盗まれた情報ですが、補足資料五番に詳細があります。簡単に言いますと、弊社のネットサービスにログインするためのIDとパスワードです」

オレは顎がはずれるほどあきれた表情を浮かべたに違いない。葛城と川口がひどく驚いた。

「パスワード? パスワードをそのままサーバに保管しているのか?」

その時のオレは、道の真ん中でうんこしているヤツに、天下の往来でうんこしてはいけませんよ、と声をかけたような気分だった。少しでも知識のあるシステム屋はパスワードをそのまま保管する(註)ようなことはしない。パスワードをもとに別の文字列、ハッシュを作ってそれを保管している。パスワードからハッシュは作れるが、ハッシュからパスワードは復元できない。ログインの時に入力されたパスワードが正しいかどうかは、ハッシュを比べればわかるけど、パスワードそのものはわからないわけだ。万が一サーバからデータを盗まれても安心だ。

「はあ、お恥ずかしい限りです」

葛城は顔を赤くした。いちおう、オレが驚いた理由はわかったらしい。

「まあいいや、で、ネットサービスってなにやってんの?」

「主に弊社の新商品情報の提供です。決済などは行っておりません」

「そうか、登録する時に住所や名前、電話番号を入力させるけど、別のデータベースにしてるんだ。じゃあ、IDとパスワードってのは、ほんとにここのサービスを使う以外に用途はないわけだな。じゃあ、漏れたって問題ねえじゃん。被害出ねえじゃん」

「金銭的な被害に関してはその通りです。しかし顧客情報が漏れたことが公になれば、Kマークの審査を通らないでしょう。それが問題です」

あくまで問題はKマークなんだ。

「ああ、なるほどね。説明続けていいよ」

「漏えいしたIDとパスワードは、約六万件です。犯人像は見当がついていません。しかし内部犯行の可能性が高いと個人的には考えています」

「理由は?」

「補足資料の六番をご覧ください。本件に関係するシステムの概要が書かれています。ご覧のようにひととおりのセキュリティを整えています。外部からの侵入は困難だと考えています」

「わかった。まあ、一般的にも内部犯行が多いからな。きっとそうなんだろう。可能性のある社員の人数は?」

「システム部で本件に関係している十名です」

「それにはあんたも入ってる?」

「はい」

「よし、話を続けて」

「犯人が指定してきた身代金の受け渡し方法は、さきほどの犯人からのメールにも書いてありますが、NTMという電子マネー口座へ振り込めというものでした。電子マネー口座についてご存じですか? こちらでは現在、調査中なのです」

こいつら抜けてる、とオレは思った。そんなことも知らないでシステム屋をやってんのか。

>>つづき

《一田 和樹》

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る