愛のメッセージ


 さて、安否確認システムにログインしましょう。今回は別人になりすまします。まあ、私だと怪しまれますからね。とりあえず、ここはあの忌々しき人事部長の社員番号と生年月日でログインします。


 そして、まずは安否情報に罠を仕掛けましょう。クロスサイトスクリプティングの脆弱性を使ってscriptタグを仕込みます。そのJavaScriptの処理内容は、次の通りです。


 まず、非表示のiframeタグを作ます。その中にBigBrotherに偽造リクエストを送るためのformタグを仕込みます。そして、そのformを送信(submit)する。


 それだけです。


 これで、人事部長の安否情報を閲覧した人は、気づかないうちに、BigBrotherに偽造リクエストを送信してしまうことになります。


 しかし、その攻撃が通用するためには、閲覧者がBigBrotherで管理ユーザーとしてログイン状態になっている必要があります。常にあのシステムにログインしているのは、人事部長かその取り巻きぐらいなものでしょう。サボっている人がいないかどうかを調べるために。


 つまり、このメッセージを人事部長に開かせることができれば……。ですが、安否メッセージを閲覧するのは総務部のヒラです。


 頭を抱えました。


「どうすれば良いか……」

「さっきまでのドヤ顔はどうしたの?」

「いや、私は人を動かすのは専門外なんですよ」

「元課長がよく言う」


 高槻さんはそう言って、逃げるようにベッドに寝転がりました。一番人使いが荒い人が、これですからね。人を動かすことの難しさが分かるというものです。


「ねえ、アカネ……監査役」


 と、アカネBが身を乗り出してきます。


「なんですか? 急に改まって」

「……いや、仕事だからそっちの方が良いのかなって。でも何か呼び慣れなくて」

「呼び方なんていつも通りで良いんですけどね。で、何か提案でも?」

「安否確認システムってさ、自分の送ったメッセージは閲覧できないんですか?」

「もちろんできますよ?」

「だったら、総務部の人が人事部長に連絡して、人事部長が自分で確認するよう仕向ければ良いんですよ」

「例えば?」

「例えば、人事部長のアカウントで『重傷です』という安否情報を登録して、総務部に通知メール飛ばすとか」

「却下」

「ですよねー」 


 そりゃ心配して電話するでしょうけど、ちょっとそういうのは私の良心が許しません。本当に災害で重傷を負い、まだ職場復帰できない仲間がいるのですから。


「まあ、基本的なアイデアは使えそうですね。そんな回りくどいことはしなくて良かったんです」


 総務部のアカウントなら、安否情報の登録依頼を送信することができます。それで、人事部長一人に対して登録依頼を送れば良いのです。


 今度は総務部の人のアカウントでログインしました。このアカウントだと社員一覧が閲覧できるのですね。氏名、部署、生年月日、緊急連絡先。こんな簡単なパスワードで閲覧できるのは問題ですね。指摘事項に加えておきましょう。


 さて、社員一覧から人事部長を探し、安否情報登録依頼を送信します。


「これは訓練です。安否情報の登録をお願いします。」


 さて……。



 その数時間後、全社員のパソコンに「人事部長からのメッセージ」が表示されたのです。



――みなさん、業務に励みましょう🍋



 我ながら、何と愛に満ちたメッセージでしょうか。人事部長が送りそうなメッセージです。


 人事部長にとっては身に覚えのないメッセージですから、サイバー攻撃の可能性を考え、まずシステム課に連絡しなければなりません。しかし、自分が送ったことにして黙っていることもできます。つまり、人事部長の行動が問われるのです。


 ま、メッセージが表示された瞬間を直接確認できなかったのが、残念ですけどね。


  • Twitterで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます

新規登録で充実の読書を

マイページ
読書の状況から作品を自動で分類して簡単に管理できる
小説の未読話数がひと目でわかり前回の続きから読める
フォローしたユーザーの活動を追える
通知
小説の更新や作者の新作の情報を受け取れる
閲覧履歴
以前読んだ小説が一覧で見つけやすい
新規ユーザー登録無料

アカウントをお持ちの方はログイン

カクヨムで可能な読書体験をくわしく知る