工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.11.21(水)

工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。私は、日本最初のハクティビストだ。

特集 フィクション
工藤伸治のセキュリティ事件簿
工藤伸治のセキュリティ事件簿 全 1 枚 拡大写真
…オンラインゲーム運営会社エリカの会員情報が何者かに盗まれた。インターネット上で拡散される個人情報。犯人の手口は、犯行動機は?犯行の手口から拡散の方法までを犯人の独白からスタートするのが印象的な痛快サイバー探偵小説第3シーズンがスタート!

※本稿はフィクションです。実在の団体・事件とは関係がありません。※

第1部

たいていの物事は複雑なように見えて単純だ。難しそうな問題も視点を変えれば簡単に解ける。正確に言えば、自分で解く必要なんかない。どうやれば答えを教えてもらえればよいのか、あるいはどうやれば問題を解かなくてもよい状況を作れるのかを考えればいい。こういうやり方なら、小学生にだって東大入試を突破できる。というわけで、私は今からWizard級ハッカーになる。


2011年02月

PCって、どうやれば壊れるんだっけ? よく勝手に壊れるくせに、いざ壊したい時には方法がわからない。自然に壊れたように見せるには、HDDをちょっと細工するのと、基盤をいじるのかな。ああ、面倒だ。ネットで調べるか。

私は電源部分と基盤に細工することにした。細工といっても動かなくするだけのことだから思ったよりも簡単だった。

時間は限られている。早朝の誰もいないこの時間帯に作業を終わらせなければならない。さりげなく机に近づき、あらかじめ調べておいた手順でPCの蓋をあける。そして電源部分と基盤の数カ所に細工をした。これでもうこのPCは終わりだ。

別にこのPCの持ち主に恨みがあるわけじゃない。でも、人が不幸な目に遭うのを想像すると愉快な気分になる。笑いがこみ上げてきた。

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。こんな簡単に顧客データにアクセスできるなんて、どんだけ間抜けなんだ。

エリカのシステムは、ちょっとばかし面倒な作りになっている。物理的には、都内某所のデータセンターに全てのサーバを置いている。エリカの一般顧客向けのネットサービス(主にゲーム)のデータベースには、IDとハンドル名、暗号化されたパスワードしかない。万が一漏洩しても、なにもできない。なにしろ名前はもちろん電話番号、住所、クレジットカード番号といった大事な情報が存在しないのだ。さらにパスワードは暗号化されているから、盗まれても解読に手間と時間がかかる。

重要な個人情報は、社内からしかアクセスできないサーバにおかれている。ネットサービスの客は、この情報に直接触れることができない。一度ネットサービス用のサーバに問合せを出し、そこからさらに社内の個人情報データベースに問合せを出すのだ。問合せの書式と長さは厳密に管理されている上、1回に1IDのリクエストしか受け付けないときている。一度に大量の個人情報を抜き取るのは困難だ。

もちろん使っているサーバやデータベースに致命的な脆弱性が存在した場合は、そこをついて抜き取ることは可能かもしれないが、すべてのチェックをすり抜けるのは難しいだろう。

だが、私はまんまとそれをすり抜けることに成功した。なにも正面からぶつかって突破する必要などないのだ。頭は使いようだ。

計102,000件のPKP個人データ。PKPってのは、エリカのオンラインゲームの会員サービスだ。お前らがエリカに金を落とすから、あいつらが思い上がるんだ。
しかし思ったよりも数が少ない。しかも部分的に暗号化してるじゃないか、くそったれがあ。ああ、でもそんなことはどうでもいい。どうせ、パスワードを使うつもりなんかない。あいつらに自分たちの間違いを思い知らせてやることが目的だ。

私は、日本最初のハクティビストだ。

>> つづき

《一田和樹》

この記事の写真

/
PageTop

特集

アクセスランキング

  1. Nginxの脆弱性を悪用する攻撃準備中か、ダークウェブの観察で判明(Antuit)

    Nginxの脆弱性を悪用する攻撃準備中か、ダークウェブの観察で判明(Antuit)

  2. 多数の職員が事件被害者のカルテを不適切に閲覧(島根大学医学部附属病院)

    多数の職員が事件被害者のカルテを不適切に閲覧(島根大学医学部附属病院)

  3. Android版「みずほダイレクトアプリ」に盗聴や改ざんが行われる脆弱性(JVN)

    Android版「みずほダイレクトアプリ」に盗聴や改ざんが行われる脆弱性(JVN)

  4. セキュリティ技術者が取締役会で報告を求められたら ~ ガートナーが教えるプレゼン術4つのポイント

    セキュリティ技術者が取締役会で報告を求められたら ~ ガートナーが教えるプレゼン術4つのポイント

  5. セキュリティ競技 Hardening Project、スポンサー参加の新しい形

    セキュリティ競技 Hardening Project、スポンサー参加の新しい形

  6. DLmarketへの不正アクセスで561,625件の会員情報が流出の可能性(ディー・エル・マーケット)

    DLmarketへの不正アクセスで561,625件の会員情報が流出の可能性(ディー・エル・マーケット)

  7. CISO派遣サービス開始、エース級の個人セキュリティ人材をマッチング(GSX)

    CISO派遣サービス開始、エース級の個人セキュリティ人材をマッチング(GSX)

  8. 遂に開催「ペネトレーションテスト最高会議」見えて来る あんな事やこんな事 [Internet Week 2018]

    遂に開催「ペネトレーションテスト最高会議」見えて来る あんな事やこんな事 [Internet Week 2018]

  9. スキャンツール利用ボットの攻撃が拡大、Struts2も依然標的に(サイバーセキュリティクラウド)

    スキャンツール利用ボットの攻撃が拡大、Struts2も依然標的に(サイバーセキュリティクラウド)

  10. AWSのセキュリティ評価サービス提供(PwCあらた、PwCコンサルティング)

    AWSのセキュリティ評価サービス提供(PwCあらた、PwCコンサルティング)

ランキングをもっと見る