工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.19(水)

工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。私は、日本最初のハクティビストだ。

特集 フィクション
工藤伸治のセキュリティ事件簿
工藤伸治のセキュリティ事件簿 全 1 枚 拡大写真
…オンラインゲーム運営会社エリカの会員情報が何者かに盗まれた。インターネット上で拡散される個人情報。犯人の手口は、犯行動機は?犯行の手口から拡散の方法までを犯人の独白からスタートするのが印象的な痛快サイバー探偵小説第3シーズンがスタート!

※本稿はフィクションです。実在の団体・事件とは関係がありません。※

第1部

たいていの物事は複雑なように見えて単純だ。難しそうな問題も視点を変えれば簡単に解ける。正確に言えば、自分で解く必要なんかない。どうやれば答えを教えてもらえればよいのか、あるいはどうやれば問題を解かなくてもよい状況を作れるのかを考えればいい。こういうやり方なら、小学生にだって東大入試を突破できる。というわけで、私は今からWizard級ハッカーになる。


2011年02月

PCって、どうやれば壊れるんだっけ? よく勝手に壊れるくせに、いざ壊したい時には方法がわからない。自然に壊れたように見せるには、HDDをちょっと細工するのと、基盤をいじるのかな。ああ、面倒だ。ネットで調べるか。

私は電源部分と基盤に細工することにした。細工といっても動かなくするだけのことだから思ったよりも簡単だった。

時間は限られている。早朝の誰もいないこの時間帯に作業を終わらせなければならない。さりげなく机に近づき、あらかじめ調べておいた手順でPCの蓋をあける。そして電源部分と基盤の数カ所に細工をした。これでもうこのPCは終わりだ。

別にこのPCの持ち主に恨みがあるわけじゃない。でも、人が不幸な目に遭うのを想像すると愉快な気分になる。笑いがこみ上げてきた。

そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。こんな簡単に顧客データにアクセスできるなんて、どんだけ間抜けなんだ。

エリカのシステムは、ちょっとばかし面倒な作りになっている。物理的には、都内某所のデータセンターに全てのサーバを置いている。エリカの一般顧客向けのネットサービス(主にゲーム)のデータベースには、IDとハンドル名、暗号化されたパスワードしかない。万が一漏洩しても、なにもできない。なにしろ名前はもちろん電話番号、住所、クレジットカード番号といった大事な情報が存在しないのだ。さらにパスワードは暗号化されているから、盗まれても解読に手間と時間がかかる。

重要な個人情報は、社内からしかアクセスできないサーバにおかれている。ネットサービスの客は、この情報に直接触れることができない。一度ネットサービス用のサーバに問合せを出し、そこからさらに社内の個人情報データベースに問合せを出すのだ。問合せの書式と長さは厳密に管理されている上、1回に1IDのリクエストしか受け付けないときている。一度に大量の個人情報を抜き取るのは困難だ。

もちろん使っているサーバやデータベースに致命的な脆弱性が存在した場合は、そこをついて抜き取ることは可能かもしれないが、すべてのチェックをすり抜けるのは難しいだろう。

だが、私はまんまとそれをすり抜けることに成功した。なにも正面からぶつかって突破する必要などないのだ。頭は使いようだ。

計102,000件のPKP個人データ。PKPってのは、エリカのオンラインゲームの会員サービスだ。お前らがエリカに金を落とすから、あいつらが思い上がるんだ。
しかし思ったよりも数が少ない。しかも部分的に暗号化してるじゃないか、くそったれがあ。ああ、でもそんなことはどうでもいい。どうせ、パスワードを使うつもりなんかない。あいつらに自分たちの間違いを思い知らせてやることが目的だ。

私は、日本最初のハクティビストだ。

>> つづき

《一田和樹》

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 正規のデジタル証明書で署名されたマルウェアを確認(カスペルスキー)

    正規のデジタル証明書で署名されたマルウェアを確認(カスペルスキー)

  2. 特定条件での脆弱性が発覚、「消費税転嫁・下請取引申告受付システム」を一時停止(経済産業省)

    特定条件での脆弱性が発覚、「消費税転嫁・下請取引申告受付システム」を一時停止(経済産業省)

  3. パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード)

    パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード)

  4. ローソンIDサイトにパスワードリスト攻撃が多発、全パスワードのリセットを実施(ローソン)

    ローソンIDサイトにパスワードリスト攻撃が多発、全パスワードのリセットを実施(ローソン)

  5. リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)

    リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)

  6. ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)

    ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)

  7. 日本に22番目の拠点を設立、シェア3位を狙う(ESET、キヤノンITS)

    日本に22番目の拠点を設立、シェア3位を狙う(ESET、キヤノンITS)

  8. ここが変だよ日本のセキュリティ 第34回 「セキュリティ・〇ンコ知新ドリル」前編 過去に学ぶ

    ここが変だよ日本のセキュリティ 第34回 「セキュリティ・〇ンコ知新ドリル」前編 過去に学ぶ

  9. Appleが「Safari」「iOS」など5製品のセキュリティアップデートを公開(JVN)

    Appleが「Safari」「iOS」など5製品のセキュリティアップデートを公開(JVN)

  10. ここが変だよ日本のセキュリティ 第35回 「セキュリティは夏を制したものが勝つ?」後編 過去に学ぶ

    ここが変だよ日本のセキュリティ 第35回 「セキュリティは夏を制したものが勝つ?」後編 過去に学ぶ

ランキングをもっと見る