工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」 | ScanNetSecurity
2022.10.01(土)

工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。

特集 フィクション
オレの名前は工藤伸治。サイバーセキュリティコンサルタントという商売を営んでいる。
オレの名前は工藤伸治。サイバーセキュリティコンサルタントという商売を営んでいる。 全 1 枚 拡大写真
…「生意気なことをするじゃないか。それでオレに相談が回ってきたのか」 就業時間中、白昼堂々、社内サーバのデータベースから顧客情報がコピーされた。しかし、アクセスログから特定した、データを盗んだPC端末には、その時刻に誰も座っていなかったことが監視カメラ映像から明らかになる… 「電脳密室トリック」に工藤伸治が挑む本格サイバーミステリシリーズ第6作!

※本稿はフィクションです。実在の団体・事件とは関係がありません。※

七月十日 夕方 犯人

仕事の帰りにヤマダ電機に寄ってミニノートPCを購入した。プリペイドの通信カードも買う。店員に頼んで、店内でPCをセットアップし、充電してもらった。これで準備はできた。

それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。

ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。必要なのはメールアドレスだけだから、ぬるいことこのうえない。情報はダダ漏れになるが、別にかまうものか、とっととやることやって短時間で引き上げる。

「一週間以内に指定したBitcoinの口座に五十万円相当分を振り込め。さもないと、データをインターネットに放流する。」

文章は、これだけでいい。あとは盗んだデータを添付する。これを見ればデータを盗んだことがウソではないとわかる。

このために作った捨てメールアドレスで、用意していた脅迫状を送信した。慌てふためく連中の様子を思うと愉快だ。だが、それよりも不安がある。大丈夫だとわかっているのだが、それでも怖い。これは脅迫、犯罪なのだ。

とはいえたったの五十万円だ。おそらく、ぽんと払ってくれるだろう。

もちろん脅迫の常として要求が一度で終わらずに次々とエスカレートすることも、相手は考えるだろう。

だが、盗んだデータは、住所と電話番号を含まない顧客データだ。氏名、ID、パスワードまでしかない。IDとパスワードは短時間で変更することができる。変更されてしまえば、このデータは無価値になる。賞味期限が短い。

だから、速攻即決できる小さな金額でのオファーなのだ…と相手は思う。実際そうなのだから、それでいい。互いに最速で折り合える金額のはずだ。

そして、素直に五十万円払ってくれる。払いつつ、顧客全員に対して新しいIDとパスワードを発行するだろう。

警察には届けないはずだ。連中の商売にとって信用は大切だ。大事な顧客データを盗まれて脅迫されたなんて、外部に公表できない。

せっかく苦心して取得したプライバシーマークが取り消されかねない。プライバシーマークというのは、会社がちゃんと個人情報の管理をしているというお墨付きのようなものだ。実態は利権商売のひとつなのだけど、ないと取引してくれない会社もあるから、万が一取り消しにでもなったら大変だ。

二〇一四年に起きたベネッセの大規模個人情報漏洩事件のおかげで、ドジ踏むととどんな目に遭うかみんなよくわかっている。

きっと黙って五十万円出す。そしてなにごともなかったような顔をするはずだ。

私の読みは間違っていない。

>> つづき

《一田和樹》

この記事の写真

/

特集

PageTop

アクセスランキング

  1. オンライン会議出席者の眼鏡から情報漏えい

    オンライン会議出席者の眼鏡から情報漏えい

  2. イエラエ CSIRT支援室 第 33 回 擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!

    イエラエ CSIRT支援室 第 33 回 擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!

  3. 協会けんぽの基幹システムに障害、健康保険証の発行や現金給付への影響も

    協会けんぽの基幹システムに障害、健康保険証の発行や現金給付への影響も

  4. JPCERT/CCによる「積極的サイバー防御(Active Cyber Defense)」論点整理

    JPCERT/CCによる「積極的サイバー防御(Active Cyber Defense)」論点整理

  5. デジタル庁「GビズID」のメール中継サーバに不正アクセス、約13,000件の迷惑メールを送信

    デジタル庁「GビズID」のメール中継サーバに不正アクセス、約13,000件の迷惑メールを送信

  6. 「ユニフォームタウン」への不正アクセスで63,565名分のカード情報が漏えい

    「ユニフォームタウン」への不正アクセスで63,565名分のカード情報が漏えい

  7. JR西日本グループの山陽SC開発サーバに不正アクセス、個人情報が流出した可能性を完全に否定できず

    JR西日本グループの山陽SC開発サーバに不正アクセス、個人情報が流出した可能性を完全に否定できず

  8. ガートナー、日本におけるセキュリティハイプサイクル2022 公開

    ガートナー、日本におけるセキュリティハイプサイクル2022 公開

  9. 次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とは

    次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とはPR

  10. サンソウシステムズが運用管理するサーバに不正アクセス、社内システムで障害が発生

    サンソウシステムズが運用管理するサーバに不正アクセス、社内システムで障害が発生

ランキングをもっと見る