「御社のデータが流出しています(一田和樹著)」メモ
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

「御社のデータが流出しています(一田和樹著)」メモ

2018-02-21 19:00




    ・ハヤカワ文庫なので近未来SFみたいなものと思って買ったのだが、現代ITミステリみたいな感じだった。

     サイバー犯罪と戦うセキュリティ・コンサルタントが主人公。ちょっと変わった特徴としては、主人公が82歳のおばあちゃんというところ。

     私にはちんぷんかんぷんな高度なネットワークやプログラムの知識が駆使されるのかと思ったがそういうわけでもなく、素人でもわかるようなレベルの対策をなされていないからデータが流出しているんだ、という基本的なレクチャーも多い。企業のそうした部署にいる、たいしてITの知識もないのに何で俺がこんな部署に配属されちゃったんだ、という人は参考になるかもしれない。

      読むとそんなこと知ってるよ、わかってるよ、ということもたくさんあるのだが、知っててもわかってても守れない、できない、というのが人間のサガで、そこを突かれて情報は流出する。

     主人公の過去はあまり書かれていないのだが、戦争を実体験として持つ世代で、なおかつ
    ITの黎明期に少なからぬ関わりを持っていた人みたい。
     娘も孫もいて、夫とは死別。夫もシステム関係の仕事をしていて、何故か某大手企業とは折り合いが悪かったらしく何度も批判的に言及している。著者の経験なのか。

     稼がないと生きていけない、というわけでもなく半ば趣味でセキュリティ・コンサルタントをやっているみたいだが、それなりの使命感も持っている様子。娘が経営しているWEB制作会社の特別顧問みたいな感じで、会社の本業はあくまでもWEB制作でセキュリティではないのだけど、営業マンが顧客からITトラブルを相談された時に出動する。
     はっきりした犯罪ならまた違うのだろうが、データが漏れたかもしれない、違うかもしれない、みたいな段階だと大手のセキュリティ会社に頼むというよりはこんな感じで彼女のところに依頼がくるみたい。普段はWEB制作の営業をしている男性社員の嗅覚が鋭いこともある。
     高度な技術でシステムに侵入した、なんていうのは彼女の専門外だが、ソーシャルエンジニアリングというらしい犯人が仕掛けた罠や騙しのテクニックを見破る、みたいなのは彼女のお得意分野になる。

     各エピソードを大雑把に紹介。

    第1話 フェイク・タイム
     某有名総合エンタテインメント企業が顧客情報を盗まれ、顧客のID・パスワード・メールアドレス・住所・氏名・電話番号などがネット上に晒されて社会から糾弾を受ける。
     だが流出経路がわからないらしく、主人公は企業のシステム担当者の話を聞くが、社内のデータセンタから情報が流出した形跡はないという。そもそも社内にあるデータと流出したデータには食い違いがあって、住所が間違っているものが何件もあるという。

     どんなに厳しい社内ルールを作っても、必ずそれを守らない社員はいる。だがシステム担当者はルールを作るのが自分の仕事で、守らせるのを自分の仕事とは思っていない。
     情報流出が自分の管理下でないところから、と思ったとたんに無関心になってしまう。
     特に宣伝部が広告代理店にまる投げして作成したアンケートの顧客情報などは。
     キャンペーンで集める顧客情報などは、宣伝部や広告部などのような部署が扱い、さらにこれを代理店に丸投げすることも多くてセキュリティ意識の低い同士がタッグを組んでしまう。代理店にもITスキルは無いので、WEB制作会社とかに下請けに出す。WEB制作会社は一つのキャンペーンが終わると次の仕事にかかるため、バックアップを残してサーバのデータは消してしまう。つまりアクセスログも消してしまう。結果として、セキュリティの弱い代理店のサーバーに、依頼元の大企業の名前で集められた個人情報が蓄積される。大企業側のシステム担当者は、自分の管轄外だ、と関心を持たないが、公になれば大企業の責任として報道される。流出元は広告代理店のサーバに違い無い・・・
    ここのシステム管理者は自分の責任でなければデータが漏れてもかまわない、みたいな考え方で、広告代理店から漏れたらしいとわかってくるとむしろ嬉しそうにする。自分が楽しい時に他人も楽しくするタイプと他人を不愉快にするタイプがあるとすると、圧倒的に後者。
     という方向で調査はすすむのだが、主人公はどうもこれは出来すぎで、間違った結論に誘導されているんでは、という疑いを捨てきれない。

     ちょっと名前は違うけど、ボカロや初音ミクみたいな存在や、子供を蝕むゲーム上の仮想通貨なんかも出て来る。そういうのが単なる背景説明かと思うと意外と本筋に深く関わってくる。

    第2話 見えすいた罠
     とある大企業が主張するサイバーセキュリティカンファレンスに出席した主人公は、その席であるベンチャー企業の責任者から仕事の依頼を受ける。
     そのベンチャー企業が出資している会社が、顧客データを盗み出されたことがわかる。アクセスログも残っていて、いつどのパソコンから流出したかもわかっている。さらにそのパソコンは監視カメラでも見張られていたが、該当時間には誰も使っていなかった。

     システム管理者は、監視カメラに誰も映っていなかったことから、遠隔操作ソフトを仕掛けられ、そのソフトは巧妙に自分自身を消去したのだろう、と信じて疑わないが物的証拠は何もない。データの外部持ち出しができないような、携帯の作業スペース持込禁止とか添付ファイル付メールの送信不可とかUSBポートを塞いであるとかの対策は万全と主張して、データは外部には持ち出されていません、とあまり慌ててもいない。

     流出元となったパソコンも、怪しいソフトは入っていないと確認された、と証拠保全もせずそのまま継続使用している。主人公はフォレンジックというコンピュータの鑑識検査みたいのをしたいので、とそのパソコンを借り受ける。その結果、社内ネットワークからではなく、下のフロアにある別の会社の無線LANからデータを外部に送信していたとわかる。ここでようやくシステム管理者は慌てふためく。
     最初に主人公に調査依頼した人物はこの企業の出資者でアドバイザーで役員でもある。主人公はこの人物を呼んでもらう。ITの専門家ではないが、決断力と理解力に優れたこの人物は即座にIDとパスワードの再発行と、その間のサービス停止を決定する。

     被害にあった会社はKマークとかいう個人情報管理ちゃんとやってます、みたいなお墨付きを取っている、ECサイトを運営しており、商売上やられた!と公にしたくない。犯人はそれを見越して、データを公開されたくなければ仮想通貨で50万円払え、とメールを送って来る。50万なら安いものだが、それで終わるはずもない。

     主人公は犯人とメールで連絡をとり、ある方法で追い詰めてゆく。

    パスワードの頻繁な変更を義務付けると、かえってそのパスワードを紙で管理するようになってパスワードが漏れやすくなるとか、防犯カメラで監視しても死角があるとか、窓ガラスにパソコン画面が映り込んで悪用されるとか、ありそうな事例も紹介されている。
     電車内でスマホの画面とか、後ろの窓に映っている人とかいるよな。

    第3話 キャッチボール効果
     ある会社の公式ツイッターが乗っ取られ、フォロワーに偽のダイレクトメールが送られる。それを見たフォロワーは偽サイトに誘導され、あなたのパソコンはウイルス感染しています、対策ソフトをインストールしましょう、と騙されて電子マネー情報を盗まれてしまう。そのウイルス名をネットで検索すると、最上位に感染体験者のブログがヒットして、とても危険なウイルスなのですぐ削除しないと、と対策ソフトの購入ページがリンクされている。

     もちろん、ウイルスもウイルス対策ソフトも実在しない。会社ではすぐにツイッターのパスワードを変更したが、変更されてもDMメールを送り続けられる穴みたいのがツイッターにはあるそうで(ツイッターはそういうものらしい。パスワード変更が有効なのは公式サイトからアクセスする場合だけで、クライアントソフトからのアクセスには効果がなく、防ぐ方法はあるが積極的にアナウンスしないので一般人は情報ダダ漏れ状態が続くとか。私はやったことないのでよく知らないけど。2013年という設定なので今は違うかも)、DMは送られ続け、被害は収束しない。だが結局ツイッター社がアカウントを停止したので結果オーライにはなったが、偽ウイルス対策ソフトを売るサイトは消すと増えます式に今もネット上にいくつも存在している。そしてすぐにこの会社の公式アカウントと似たツイッターアカウントが作られ、これが元々のフォロワーたちをフォローし直し、フォローを返して来るとDMを送って新たなサイトに誘導する(私はよくわからないで書いている)、といういたちごっこになっているという。

     すでに情報処理推進機構(IPA)や国民生活センターにも問い合わせが行き、警察も動いているらしいが解決のあてはなく、会社としては一刻も早くこの騒ぎを鎮めたいということでの依頼となったらしい。犯人は電子マネーの換金の手間も考え、ある程度の利益が出たらすぐに撤退するのではないかと思われる。

     主人公はRMT(リアルマネートレード)業者の動きを探って手掛かりをつかもうとする。

     キャッチボール効果というのは、AがBにXがYをしてるんだってね、と言う。
    しばらくしてから、AがBにYをしてる人、誰か知らないか、と聞くと、Bはもともとその話をAから聞いたことを忘れていて、XがYをしているらしいよ、と答えるみたいな話。Bにとってはこれで記憶が改竄されて、情報の出所がわからなくなってしまう。
     これをうまく使って、人をミスリードしたりデマを故意に発生させることもできるみたい。Bが記憶力のいい人だと、お前、その話前にしたじゃないか、ということになるが、たいていの人は元々の情報を誰に聞いたか覚えていないという。
     IT技術と思想や社会運動が切っても切れない関係にあり、プログラムコードを書くことによって社会変革をしよう、というサイファーパンクという運動があることなども語られる。
     いわゆるSNS、ソーシャルネットワークサービスはもともと個人情報や生活習慣や思考を共有するためのサービスなので必然的に個人情報が漏洩する可能性質が他のサービスより高くなるとも。

    第4話 パスワードの身代金
     主人公の孫娘は、WEB制作会社の社長である。主人公はこの会社の顧問のような感じで、セキュリティ関係の案件が発生したときに仕事をするようになっている。セキュリティ関係の社員は主人公一人だけなので、WEB制作側の営業社員がサポートについたりする。孫娘は祖母の事を案じつつも、生きがいである仕事を奪うことはせず、そうした仕事を請けることを許容している。嫌いではないのだが、性格が似すぎていて長く一緒にいるとケンカになってしまうため相談したり、一緒に行動したりはしない。

     WEB制作の仕事を孫娘の会社に発注している取引先が、顧客情報を盗まれる。犯人はそれを美女のグラビア写真の画像データに埋め込み、暗号化してネットに公開する。美女のデータはあちこちで大勢にダウンロードされる。この画像データを顧客情報に変換するパスワードをネットで公開されたくなければ、金をよこせ、という脅迫メールが入る。
     パスワードは2つあり、片方を使うと顧客データが削除され美女のデータだけが残る。もう一つは逆である。フィンランドの人が作った暗号ソフトらしい。

     取引先のデータベースは監視ツールに不備があって、アクセスログが不定期に記録されなくなる。盗まれた顧客情報はIDとパスワードだけで、クレジット決済はやっておらず、怪我の功名でデータ悪用の恐れは低いが、Kマーク申請中であり公にはしたくない。

     もともとは顧客に郵送する商品の宛名印刷を前程としたシステムでIDとパスワード以外の顧客氏名や住所などのデータベースは外部ネットとは直接接続されていないので、外部犯の可能性はほとんどない。内部犯行と思われる。古参の会社なので、社内システムの一部はコボル言語で書かれている。主人公は懐かしさを感じる。つまりこの会社にはJAVAとコボル両方がわかる社員がいる。

     彼女は資料を借り受け、今は亡き夫の残してくれた人脈(夫の元部下や教え子たち。夫はIT界で評判のよかった人物らしい)を駆使してこれを解析する。
     その結果、システムを最初に開発してメンタナンス契約もしていた会社が年4回の脆弱性検査をしていたにもかかわらず、ルーターは自分たちの業務範囲外として調べも顧客に忠告もせず、そのため3年以上アップロードもメンテナンスもされないルータが残っており、ここが弱点になっていた。主人公はリニューアルキャンペーンを理由にIDとパスワードのリセットを行って盗まれたデータが無効にするように提案する。

     主人公は犯人を突き止めるが、動機がわからない。状況証拠しかないので本人が認めないと立証もできない。そこで本人を一か八か呼び出してみる。とても悲しい動機がわかる。

     主人公は戦争の時、東京大空襲に遭遇し、見知らぬ人に命を救われた経験がある。だから自分も誰かを助けようと思っている。この犯人は、どうしても主人公にとっては助けねばならない人物だった。

     主人公はさっそうと生きて仕事をしているわけではなく、夫のことを思い出しては涙ぐみ、自分の先行きに不安を感じ、身体の衰えを恐れる弱者でもある。なんとか働かなくてもいいだけの資産はある様子だが、人助けができるほど多くもない。だが無為な毎日を送りたくはないので、自分にできる仕事をする。だが犯罪は決して無くならないし、狡猾な犯罪者の心情を思うと空しくもなる。パソコン画面を見続ければ目も痛くなり、身体もきつくなる。

     実写ドラマにするなら、八千草薫さんみたいな人が演じるといいかも。

     著者のことはよくわからないけど、経営コンサルタントやインターネットブロバイダ会社の重役経験もあるらしく、そういう業界で仕事してきた人みたい。現在は作家専業でカナダ在住みたい。
     作中には、技術力はあっても対人スキルに問題があるIT技術者がしばしば登場する。間近で観察したものが反映されているのかもしれない。

     ご本人のサイト。
    http://ichida-kazuki.com/

     
     
    広告
    コメントを書く
    コメントをするには、
    ログインして下さい。