工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」

特集 フィクション

工藤伸治のセキュリティ事件簿
工藤伸治のセキュリティ事件簿 全 1 枚 拡大写真
…オンラインゲーム運営会社エリカの会員情報が何者かに盗まれた。インターネット上で拡散される個人情報。犯人の手口は、犯行動機は?犯行の手口から拡散の方法までを犯人の独白からスタートするのが印象的な痛快サイバー探偵小説第3シーズンがスタート!

※本稿はフィクションです。実在の団体・事件とは関係がありません。※

第1部

たいていの物事は複雑なように見えて単純だ。難しそうな問題も視点を変えれば簡単に解ける。正確に言えば、自分で解く必要なんかない。どうやれば答えを教えてもらえればよいのか、あるいはどうやれば問題を解かなくてもよい状況を作れるのかを考えればいい。こういうやり方なら、小学生にだって東大入試を突破できる。というわけで、私は今からWizard級ハッカーになる。


2011年02月

PCって、どうやれば壊れるんだっけ? よく勝手に壊れるくせに、いざ壊したい時には方法がわからない。自然に壊れたように見せるには、HDDをちょっと細工するのと、基盤をいじるのかな。ああ、面倒だ。ネットで調べるか。

私は電源部分と基盤に細工することにした。細工といっても動かなくするだけのことだから思ったよりも簡単だった。

時間は限られている。早朝の誰もいないこの時間帯に作業を終わらせなければならない。さりげなく机に近づき、あらかじめ調べておいた手順でPCの蓋をあける。そして電源部分と基盤の数カ所に細工をした。これでもうこのPCは終わりだ。

別にこのPCの持ち主に恨みがあるわけじゃない。でも、人が不幸な目に遭うのを想像すると愉快な気分になる。笑いがこみ上げてきた。

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。こんな簡単に顧客データにアクセスできるなんて、どんだけ間抜けなんだ。

エリカのシステムは、ちょっとばかし面倒な作りになっている。物理的には、都内某所のデータセンターに全てのサーバを置いている。エリカの一般顧客向けのネットサービス(主にゲーム)のデータベースには、IDとハンドル名、暗号化されたパスワードしかない。万が一漏洩しても、なにもできない。なにしろ名前はもちろん電話番号、住所、クレジットカード番号といった大事な情報が存在しないのだ。さらにパスワードは暗号化されているから、盗まれても解読に手間と時間がかかる。

重要な個人情報は、社内からしかアクセスできないサーバにおかれている。ネットサービスの客は、この情報に直接触れることができない。一度ネットサービス用のサーバに問合せを出し、そこからさらに社内の個人情報データベースに問合せを出すのだ。問合せの書式と長さは厳密に管理されている上、1回に1IDのリクエストしか受け付けないときている。一度に大量の個人情報を抜き取るのは困難だ。

もちろん使っているサーバやデータベースに致命的な脆弱性が存在した場合は、そこをついて抜き取ることは可能かもしれないが、すべてのチェックをすり抜けるのは難しいだろう。

だが、私はまんまとそれをすり抜けることに成功した。なにも正面からぶつかって突破する必要などないのだ。頭は使いようだ。

計102,000件のPKP個人データ。PKPってのは、エリカのオンラインゲームの会員サービスだ。お前らがエリカに金を落とすから、あいつらが思い上がるんだ。
しかし思ったよりも数が少ない。しかも部分的に暗号化してるじゃないか、くそったれがあ。ああ、でもそんなことはどうでもいい。どうせ、パスワードを使うつもりなんかない。あいつらに自分たちの間違いを思い知らせてやることが目的だ。

私は、日本最初のハクティビストだ。

>> つづき

《一田和樹》

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

    米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. 8割がセキュリティ用途で導入、VMware NSXとは(ヴイエムウェア)[Security Days 2017 インタビュー]

    8割がセキュリティ用途で導入、VMware NSXとは(ヴイエムウェア)[Security Days 2017 インタビュー]

  4. 最も大事なものはすでに盗まれている(Niサイバーセキュリティ)[Security Days 2017 インタビュー]

    最も大事なものはすでに盗まれている(Niサイバーセキュリティ)[Security Days 2017 インタビュー]

  5. デロイト丸山満彦の危機管理広報論~セキュリティインシデント発生後のマスコミ対応ポイント

    デロイト丸山満彦の危機管理広報論~セキュリティインシデント発生後のマスコミ対応ポイント

  6. ウイルスに感染したIoT機器からの攻撃、メキシコでの大規模乗っ取りで急増(横浜国立大学、BBソフトサービス)

    ウイルスに感染したIoT機器からの攻撃、メキシコでの大規模乗っ取りで急増(横浜国立大学、BBソフトサービス)

  7. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 3 回「通信密室」

    工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 3 回「通信密室」

  9. 比較的少ない400ノードで毎秒75Gbpsという今期最強のDDoS攻撃を発生(アカマイ)

    比較的少ない400ノードで毎秒75Gbpsという今期最強のDDoS攻撃を発生(アカマイ)

  10. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

ランキングをもっと見る
PageTop