[編集長対談] 女優大和田紗希がサイバーミステリ小説「＃NoMoreFake」を書いて考えたこと

　2020 年の 12 月に本誌で掲載を開始し、今年の春に全 12 回の連載を終了した、サイバーミステリ小説「#NoMoreFake」。この小説は、フェイクニュースによる SNS の風評被害で経営危機に見舞われた飲食店を救うために、フェイクニュース撲滅のハッシュタグ #NoMoreFake を旗印に主人公の大学生が戦うストーリーで、「フェイクニュース新しい戦略的戦争兵器」などの著書で知られる作家・評論家の一田和樹氏の監修によって世に出されました。

　小説を執筆したのは、映画やテレビドラマで俳優として活躍する大和田紗希氏。連載終了を迎え、大和田氏と本誌編集長上野宣の対談が行われました。

大和田：大和田紗希と申します。はじめまして。

上野：はじめまして。よろしくお願いします。

大和田：私の小説「#NoMoreFake」は読んでいただけましたか？

上野：はい。読みました。

大和田：ちょっとまだ現実的じゃないなと、書きながら思っていたんです。

上野：別にいいじゃないですか。小説だから現実じゃない部分が何個かあるのはいいと思います。

大和田：あれを現実に世の中で起こそうとするなら、もっと効果的なやり方はありますか？

上野：僕は技術的な部分を見るので、そのあたりは細かい技術の話になりそうで、小説に書いてもそれが面白いかどうかは別です。でも、技術をうまく使ってやれば、小説で起こったような出来事を起こせるんじゃないかと思いました。

大和田：小説は初めてで、映画の企画で作家の一田和樹さんとお会いして「よかったら小説書いてみない？」とお話をいただいて、そこからのつながりで、今回書かせていただきました。普段は女優として活動しています。よろしくお願いします。

●ハッカーと同じ攻撃を実施するペネトレーションテスト

上野：僕は株式会社トライコーダというセキュリティの会社を経営しながら、サイバーセキュリティ専門ニュースメディア ScanNetSecurity の編集長をやっています。トライコーダの業務のメインは「ペネトレーションテスト」というサービスです。日本語で言うと「侵入テスト」となります。要はお客さんと契約して、その会社に侵入してあげるサービスです。攻撃を受けた時のために企業が取っているセキュリティ対策はたくさんあります。それらが総合的に機能しているかを確かめるテストです。ですので、要はハッカーと同じことをやります。コンピューターを使って技術的に侵入するのももちろんですが、たとえば偽のメールを使って騙して引っかけるとか、鍵を開錠して物理的に（部屋に）入ることでデータを盗むとか、そういうことも行います。

大和田：セキュリティを強化する目的で、「これが弱点ですよ」と教えるために、侵入するということですか？

上野：そうですね。要はその会社の大事なサービスを扱っているデータなどをどうやって盗んだのかを伝えることで、対策をさらに向上させる。そういうことを十何年やっています。

大和田：小説を書きましたがセキュリティのこと全然知らないんです。

上野：よろしければ何でも聞いてください。

大和田：本当に初歩的なところからわからないんです。小説を書く前から「セキュリティ対策大事だよ」と言われていたんです。けれども、私みたいな平々凡々な一般市民がセキュリティ対策をしたところで、ハッカーの人たちは私たちというより、もっと上の、お金のある人たちを見るんじゃないかなと。

上野：いわゆる「ハッカー」と言うと、侵入する技術を持った人を指していると思いますけれども、いろんなタイプがあります。ハッキングはあくまで手段であって、目的が何かによってたまたま手段の一個としてハッキングを使うことがあります。

たとえば世の中には「サイバー戦争」や「サイバーテロ」と呼ばれる大きな話があります。サイバー戦争と言うと、国同士の戦いで、要は戦争として、国の重要な施設をハッキングの力で停止したりだとか。一昔前に実際にあったのは、イランの核施設をハッキングの力で破壊した。それはすごく大きい話です。

一方で小さい話もありまして、たとえばストーカーが相手の情報を調べるのにハッキングを使う。大和田さんのメールを読むとか、そういうハッキングです。

大和田：そういうことが簡単にできるんですか？

上野：メールのハッキングにもいろいろあります。大和田さんがちょっと席を離れている間に、大和田さんに近くにいる人が、スマートフォンのメールの転送設定のところを変える。たとえば僕がストーカーだとしたら、僕に転送する設定をする。そうすれば大和田さんに届くメールがすべて僕に転送されるようになります。

大和田さんのプライベートのメールも全て読めますし、大和田さんがインターネットで使っているサービス、たとえばこの Zoom とかもそうだし Gmail とかもあります。そこで Gmail のパスワードリセットという機能を使えば、そのパスワードリセットのメールを、その人が取れたりする。そうするとその人が Gmail を手に入れることができます。Gmail が手に入ると、ますます他のものも手に入れられる、というように芋づる式に攻撃を進めることができま。以前公開された『スマホを落としただけなのに』という映画がありましたが、あんな感じです。

大和田：私は今回小説「 #NoMoreFake 」を書くにあたって、他にもいろんな映画を見ました。カメラを簡単に動かせるなら、スマホの所有者の私生活が全部見られることにも…。

上野：可能ですね。カメラだけでなく、マイクも技術的には可能です。

大和田：以前アメリカに留学した時に携帯のカメラでさえ危ないからって、そこにシールを貼ってる人がいました。

上野：心配な人は貼りますね。僕はカメラには全部シャッターをつけて、物理で対策しています。

大和田：実際に侵入されることはあるんですか？

上野：自分が入られたかどうかは分からないですが、世の中には侵入された事例はいろいろあります。私は仕事でそういう対策を頼まれることもあります。「インシデントレスポンス」といいますが、インシデントは「事件・事故」、レスポンスは「対応」ということです。インシデントレスポンスというのは、実際に世の中で起きたセキュリティ事件の対処です。

今まで何か事件があったとしても、お金の受け渡しでみんな足がついていました。たとえば誘拐犯がお金の受け渡しで捕まるドラマがありました。サイバーも結局、お金を振り込めって言って、お金を受け取るところや、引き出すところで足がつきます。近年では、それが仮想通貨になって、ただデジタルのやり取りだけで貨幣価値が移動する社会になりました。

●サイバー犯罪者はパスワードをどう推測するか

大和田：たとえばですが、メール以外にも Twitter や Instagram のパスワードもわかってしまいますか。

上野：普通の人はそんなに難しいパスワードをつけていません。自分の名前やニックネームに誕生日をくっつけたりとか。

大和田：パスワード対策はしたほうがいいんですか？

上野：そうですね。パスワードで一番大切なのは、使い回しをしないことです。けれどもこれが結構難しい。

大和田：覚えられなくて。

上野：そうですよね。いろんなサービスがあって 1 日に何回もログインする。たとえば私がどうするかって言うと、パスワード管理ツールという専用のツールを使う。それがパスワードを覚えていたり、パスワードを発行する。

大和田： iPhone でも強化パスワードが出てきます。

上野：そうそう。今は iPhone なら Safari でアカウント登録しようとすると強化パスワードを提案してくる。

大和田：今すぐだったらそれでいいんですけれど、1 年後とか 2 年後に入るときに分からなくなっちゃって、再発行できないと、もう何も見られなくなります。

上野：ほとんどのサービスは、パスワードを忘れても教えてくれるようになっています。むしろ、覚えようとするよりも積極的にその機能を使うほうがいいと思います。実際に乗っ取るシナリオとして多いのは、メールアドレスを乗っ取って、その後パスワードリセットを悪用する方法です。

大和田：なるほど、メールアドレスが乗っ取られたってことは、パスワードが取られたってことですか？

上野：メールアドレスやスマートフォンはサイバーの世界の大切な生命線になっています。たとえば「パスワードを忘れたら」とリセットしたら、自分のスマートフォンにすべての通知がくる。最近だと二要素認証があります。数字を 6 桁入れるなどのオプションがあってスマートフォンで動かします。そのスマートフォンが乗っ取られたり、無くなったりすれば、大変なことになります。

大和田：物理的にスマホを取られたら、なんとなくやられそうだなと分かるんですが、遠隔から攻撃されることもありますか。

●メールの乗っ取り方

上野：たとえば大和田さんのメールをどうやって乗っ取ろうかなと考えた時に、大和田さんの Instagram に「仕事の依頼があります」と偽の依頼を DM で送ります。「こういう撮影のモデルをやっていただきたい。連絡はメールでお願いします。こちらです」と伝えて返事があればメールアドレスが手に入ることになります。

次はパスワードの推測になります。よくやるのが「本名」「名前」「誕生日」の組み合わせです。あとはアカウントそのものです。たとえばこうしてオンラインでお話をしている大和田さんの Zoom のアカウントが「 ****nnnn 」と表示されていますが、ひょっとしたら「 ****nnnn@abc.com」というメールアドレスがあるかもしれないし、もしかしたら誕生日が nn 月 nn 日かもしれない、そういう情報をたくさん集めて、パスワードの組み合わせに使います。

大和田：ドラマで見かける A からパスワードの組み合わせを全部試していく機能も実際にあるんですか？

上野：そういうツールは世の中に山ほどあります。ただし、A から順番ではあまりに効率が悪いので、なるべく集めた情報を使います。ブログやインスタを見ていると、たとえばペットを飼っているんだったら、ペットの名前やペットの誕生日が掲載されています。または何かの記念日だとか、彼氏の名前だとか。それらの情報を、パスワード候補をたくさん提案するツール（パスワード作成ツール）に入力して、パスワード候補を作ってそれを試します。

大和田：そういうツールを知っていて、かつ使いこなせることもそうですが、資金もないと何もできないと思います。資金を持っていて、技術を活用できて、情報がどんどん入ってくる人達が、これからの社会を牛耳っていきそうだなと思っています。

上野：そうですね、情報にいかにアクセスして、それを扱えるかが、今後のサイバーの世界での強者になるかどうかを左右すると思います。

●ときに手に負えない「正義感」

大和田：小説を書いている時に調べたんですが、トランプ大統領が当選したのは、若い子たちが面白いと思ったツイートをリツイートしたら、実はそのメッセージが政治に繋がっていたことがあったようで。普通に面白い画像だなと思ってリツイートしただけなのに。

上野：ほとんどの人は深く考えてリツイートはしませんからね。

大和田：今回そもそもサイバーセキュリティの小説を書いたのきっかけは、京都で起こった放火事件で、犯人ではないのに NHK の記者さんが責められて、個人情報も全部暴露されたことでした。結局は、ただ取材に行っただけで何も関係ない。ただ「間違いない」と思い込んだ人が、計何万件もリツイートしました。

上野：たぶん悪い意図でやっている人はほとんどいなくて、みんなが正義感でやっていると思うんです。だから難しい。なかなか止まらない。

大和田：正義感がすごく怖いと思います。

上野：正義感の悪用もいろいろ方法があります。僕も Twitter をやっているんですけれど、僕は車が好きなので車の情報をよく見ています。

考えられる悪用の仕方としたら、写真とナンバーをあげて「僕の車が盗まれました。これを見つけて下さい。見つけたらご一報を」なんて書いたら、車好きな人がどんどんリツイートしてくれるかもしれません。でも実は、その写真の車が大和田さんの車だったら、Twitter を利用している方たちの正義感を悪用して、大和田さんを見つけることができます。大和田さんのご自宅がわかるかもしれません。

大和田：自宅に何か被害が出たり。

上野：そうですね。いろいろ考えられます。真偽を確かめる術は普通の人にはありません。ほとんどのリツイートは、そういう正義感でする人が多い。

大和田：完全に止めることは難しいですね。

上野：そうです。何が嘘なのかシステム的に検知するのは難しい。

●ゴールがないのがセキュリティの本質

大和田：セキュリティ対策が 100 ％完全にできることもないし、止められることもない中で、「 #NoMoreFake 」を書いていて思ったのは、主人公がどこに向かって行けば正解なのかがわからなかったことです。普通、映画では、主人公が最終的に何を目的にしているのか考える必要があるんですが、今回セキュリティを守ることに関して、正解はないというか、ゴールが見えませんでした。

上野：おっしゃる通りでそれが本質です。ゴールが見えないのはセキュリティの世界の常ですね。事件解決のような短期的な目的はあるかもしれないですが、、長期的には何が目的かは難しいと思います。警察とか自衛隊といっしょで治安維持みたいなものなので。私は、すごく長い目的として、一般の方がセキュリティを意識しなくても安全な世界になったらいいな、ということを目指しています。そのために技術を開発したり、世の中を良くするために教育したり啓蒙したりテストしたり、やっていこうと思っています。

大和田：一人一人がもっとセキュリティに強くなるというより、何も気にせず暮らしたり仕事ができる技術の発展の方がいいんですか。

上野：私はそう思っています。私はエンジニアでもあるので、技術の力で解決できたら一番良いと思います。たとえば、防犯という観点で安全な家ってなんだろうって考えたら、昔ながらの、ドアにつっかえ棒を差しているだけみたいなものより、今はもう鍵は複雑な形が出てたり、二つあったりする。マンションにはオートロックがあったり、カメラがついていたり。でも一般の人はそれが防犯だとは特に気にしていません。そこにあるものをそのまま使っているだけです。サイバーセキュリティもそうなったらいいと思っています。パソコンを買ってきてネットに繋いだらもう安全というのがいい。

大和田：私の視点で見た時に、もちろん技術も大切だけど、完全に OK というものはないと思います。オートロックにしても実はすぐに入られることがある。あれで安心していることがすごく危険だと感じています。教育は日本ではそんなに行われていないですよね？

上野：そうですね。一般の方向けの教育は全然ないですね。コンピューターのことを何か教えてもらうということもないですし、たとえばパスワードひとつにしても、どうやって作ったいいか、管理したらいいかという教育は受けていないですね。こういうのが一般の学校教育に入ったりしたらいいと思います。

●「ボーン・ハッカー」

大和田：小説を書きましたが、実は直接知っているセキュリティの専門家の方はほとんどいませんでしたから、主人公がどこに向かっていけばいいんだろうと、ずっと考えていました。

上野：セキュリティの専門家にもいろんなタイプの人がいます。情熱を持ってなった人もいますし、そうじゃなくてサラリーマン的になった人もいる。

大和田：上野さんは、何かきっかけはあったんですか？

上野：私の場合は、生まれつきの環境がありました。「生まれながらにしてのハッカー」って言うと変ですが、私は 44 歳なんですけれども、小学生ぐらいの時からうちの親父がパソコンショップをやっていた。そのパソコンショップが「ハッカーズ」っていう名前なんです。40 年ぐらい前からそういう環境だったので、私はすごい特殊な例です。ずっとコンピューターとセキュリティと付き合ってきた。生まれながらにして、そういう感じで、珍しいタイプです。

大和田：すごい。一田和樹さんの小説に出てくる「小学生ハッカー」みたいな感じ。

上野：そうですね。それを 40 年ぐらいやっている感じですね。

大和田：今、フェイクのクオリティがどんどん上がっていると思います。アイコラの動画バージョンも出てきて、音声も変えられる。自分の声で英語に変えられるものもある。私が喋らなくても、一つの動画だけで全然違うことを喋らせることも可能です。

上野：そうですね。それはフェイク動画と呼ばれています。アンダーグラウンドでフェイク動画作成という大きな新興市場も出てきて、動画 1 本につき 50 ドル、日本円で 5,000 円以下ぐらいで偽動画を作成できます。たとえば大和田さんが政治的な発言をしている動画を作成される可能性があります。

●一番危ない過渡期

大和田：なにを信用していいか、分からなくなります。

上野：分からないですね。CG がすごく精巧に、簡単に作れるようになってきました。

大和田：これからの世の中は、人と会う方に重点が置かれるようになるか、またはオンラインに突き進むか、どっちだと思いますか？

上野：今は過渡期だと思います。たとえばフェイク動画なら、まだ一般的ではない。たとえば動画でトランプ元大統領が喋っているのを見たら、みんなトランプ大統領が言ったことだとだまされるのが今だと思います。けれども、あと 3 年とか 5 年経って、フェイク動画が普通になってきたら「いや、これトランプが言っているように見えるけれどもフェイクじゃない」って、みんな思うかもしれない。一番怖いはその過渡期です。

一昔前だったら、「これはトランプのそっくりさんがやっているだけだ」とか、「ほら、ホクロの位置が違う」とか、そういう判別の仕方でした。今だったら、また判別の仕方が違います。たとえばコラ画像だったら、画像の修正したポイントが、ある調べ方をしたら分かります。「これは別のところから持ってきた」とか、「これはホクロを消した跡だ」とか微妙に変わってくる。そういうのを発見する技術を動画に生かせるのかもしれません。もっと上手なフェイク動画が作られる時代も来るでしょう。

大和田：キングコングの西野さんというタレントさんがいるんですけれども、その方はオンラインサロンに力を入れていて、自分のコミュニティだけで情報共有していくんです。世界全体がフェイクばかりになりそうだから、自分たちの世界を作った方がいいんじゃないか、そんなお話をされています。私も「そうなりそう」と思ったんですが、それではコミュニティが小さくなって分断されていきそうだと思います。私は最終的には道徳が大事だという気がしています。使う人たち一人一人の道徳的な思いが、一番止められることなのかなと思います。

●良いハッカーを増やしていくことが世の中を変える

上野：僕は、大事なもののひとつが教育だと思っているので、教育をいろんな事業の中で行っています。たとえば「セキュリティキャンプ」という、学生向けにセキュリティの教育をする国の事業の代表をやっています。学生たち・若い力を使って、世の中を変えて行くのを推進したい。また、情報処理安全確保支援士という国家資格があるんです。弁護士といっしょの士業で、国が認めたセキュリティの資格です。それのカリキュラムを作っています。

僕は良いハッカーをたくさん増やしていくことによって世の中を変えられるんじゃないかという思いで教育をやっています。

大和田：今日はありがとうございました。

上野：こちらこそありがとうございました。小説の次回作を期待しています。

大和田紗希（おおわださき）
　福岡県田川市出身、元銀行職員。特技は殺陣、札勘。主な出演作に、2018 年『ゆずりは』（監督：加門幾生）沢田朋子役のほか、「散歩する侵略者」（ 2017 年監督：黒沢清）、『さくら、手のひら』（ 2017 年監督：今関あきよし）他

上野宣（うえのせん）
　株式会社トライコーダ代表取締役。国際非営利団体 OWASP Japan チャプターリーダー。一般社団法人セキュリティ・キャンプ協議会 GM。情報処理安全確保支援士カリキュラム検討委員会・集合講習講師。Hardening Project 実行委員。SECCON 実行委員。一般社団法人日本ハッカー協会理事。東京2020オリンピック・パラリンピック競技大会向け実践的演習「サイバーコロッセオ」推進委員。
　5 歳でプログラミングをはじめ、奈良先端科学技術大学院大学在学中にベンチャー企業設立に携わる。2006 年株式会社トライコーダを設立し代表取締役就任。脆弱性診断、ペネトレーションテストの熟練高度技術者。「セキュリティを若者憧れの職業にする」を目標として、現在約 3 割の時間を非営利活動に用い日本のセキュリティ裾野拡大と底上げのために活動。2017年 (ISC)2 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント (ISLA) を受賞。2019年情報セキュリティ大学院大学第16回情報セキュリティ文化賞を受賞。「ハッカー」という肩書でタモリ倶楽部に出演するという見果てぬ野望を持つ。