工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」 | ScanNetSecurity
2020.04.08(水)

工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。私は、日本最初のハクティビストだ。

特集 フィクション
工藤伸治のセキュリティ事件簿
工藤伸治のセキュリティ事件簿 全 1 枚 拡大写真
…オンラインゲーム運営会社エリカの会員情報が何者かに盗まれた。インターネット上で拡散される個人情報。犯人の手口は、犯行動機は?犯行の手口から拡散の方法までを犯人の独白からスタートするのが印象的な痛快サイバー探偵小説第3シーズンがスタート!

※本稿はフィクションです。実在の団体・事件とは関係がありません。※

第1部

たいていの物事は複雑なように見えて単純だ。難しそうな問題も視点を変えれば簡単に解ける。正確に言えば、自分で解く必要なんかない。どうやれば答えを教えてもらえればよいのか、あるいはどうやれば問題を解かなくてもよい状況を作れるのかを考えればいい。こういうやり方なら、小学生にだって東大入試を突破できる。というわけで、私は今からWizard級ハッカーになる。


2011年02月

PCって、どうやれば壊れるんだっけ? よく勝手に壊れるくせに、いざ壊したい時には方法がわからない。自然に壊れたように見せるには、HDDをちょっと細工するのと、基盤をいじるのかな。ああ、面倒だ。ネットで調べるか。

私は電源部分と基盤に細工することにした。細工といっても動かなくするだけのことだから思ったよりも簡単だった。

時間は限られている。早朝の誰もいないこの時間帯に作業を終わらせなければならない。さりげなく机に近づき、あらかじめ調べておいた手順でPCの蓋をあける。そして電源部分と基盤の数カ所に細工をした。これでもうこのPCは終わりだ。

別にこのPCの持ち主に恨みがあるわけじゃない。でも、人が不幸な目に遭うのを想像すると愉快な気分になる。笑いがこみ上げてきた。

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。こんな簡単に顧客データにアクセスできるなんて、どんだけ間抜けなんだ。

エリカのシステムは、ちょっとばかし面倒な作りになっている。物理的には、都内某所のデータセンターに全てのサーバを置いている。エリカの一般顧客向けのネットサービス(主にゲーム)のデータベースには、IDとハンドル名、暗号化されたパスワードしかない。万が一漏洩しても、なにもできない。なにしろ名前はもちろん電話番号、住所、クレジットカード番号といった大事な情報が存在しないのだ。さらにパスワードは暗号化されているから、盗まれても解読に手間と時間がかかる。

重要な個人情報は、社内からしかアクセスできないサーバにおかれている。ネットサービスの客は、この情報に直接触れることができない。一度ネットサービス用のサーバに問合せを出し、そこからさらに社内の個人情報データベースに問合せを出すのだ。問合せの書式と長さは厳密に管理されている上、1回に1IDのリクエストしか受け付けないときている。一度に大量の個人情報を抜き取るのは困難だ。

もちろん使っているサーバやデータベースに致命的な脆弱性が存在した場合は、そこをついて抜き取ることは可能かもしれないが、すべてのチェックをすり抜けるのは難しいだろう。

だが、私はまんまとそれをすり抜けることに成功した。なにも正面からぶつかって突破する必要などないのだ。頭は使いようだ。

計102,000件のPKP個人データ。PKPってのは、エリカのオンラインゲームの会員サービスだ。お前らがエリカに金を落とすから、あいつらが思い上がるんだ。
しかし思ったよりも数が少ない。しかも部分的に暗号化してるじゃないか、くそったれがあ。ああ、でもそんなことはどうでもいい。どうせ、パスワードを使うつもりなんかない。あいつらに自分たちの間違いを思い知らせてやることが目的だ。

私は、日本最初のハクティビストだ。

>> つづき

《一田和樹》

この記事の写真

/
PageTop

特集

アクセスランキング

  1. ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA)

    ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA)

  2. きみに読んでほしい3冊:セキュリティブックガイド 第3回 ソリトンシステムズ 荒木 粧子 「セキュリティ業界に飛び込んだきみへ」

    きみに読んでほしい3冊:セキュリティブックガイド 第3回 ソリトンシステムズ 荒木 粧子 「セキュリティ業界に飛び込んだきみへ」

  3. 楽天市場・ヤフーショッピング特化の自動更新ツールへ不正アクセス、一部改ざん被害も(Ryuki Design)

    楽天市場・ヤフーショッピング特化の自動更新ツールへ不正アクセス、一部改ざん被害も(Ryuki Design)

  4. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  5. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  6. 検疫隔離に従わなければ発砲のフィリピン、新型コロナウイルスキャリア追跡アプリ開発

    検疫隔離に従わなければ発砲のフィリピン、新型コロナウイルスキャリア追跡アプリ開発

  7. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  8. 複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)

    複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)

  9. 2019年消費者向けサイバーセキュリティ国際調査結果公開(ノートンライフロック)

    2019年消費者向けサイバーセキュリティ国際調査結果公開(ノートンライフロック)

  10. セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

    セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

ランキングをもっと見る