お気の毒ですが、あなたの財産は消えてしまいました。

第7話 あなたの欠点はこれ！性格診断アプリ

今日は火曜日、事務所の営業日だ。

火曜日というのは、仕事があまり来ない。

最も仕事が来るのが金曜日の夜から土曜日の朝にかけて、

次が月曜日となっている。

火曜日は月曜日に仕事の依頼があれば徹夜明けになることも珍しくないし、

仕事がないわけでもない。

ただ単に仕事が追加で来ない日なのだ。

と、フラグめいたことを考えてしまったせいで、

仕事がやってきたようだ。

ビルへ近づく人間を察知し、監視カメラが作動する。

もちろん、ビルに入る人間が、すべて仕事を持ってくるわけではないが、

厄介ごとを持ってくる可能性はかなり高い。

ただ仕事が来るくるのを待つだけなら、

事務所の前のインターホンが押されるのを待てばいい。

だが、都市から離れた偏狭の地は治安が悪く、

犯罪目的でビルに侵入する輩も少なくない。

そういう場合に侵入者はインターホンを押さないし、

部屋の前に来る前に撃退の準備をしなくてはならない。

ネットワークを見張るためにIDS、侵入検知システムを設置するように、

このビルにも侵入検知システムは、必要不可欠なのだ。

ちなみに、IDSは検知するだけで防御はしない。

防御がしたければIPSという便利なものがある。

こちらは悪意のある通信を自動的に遮断してくれる。

では、なぜIDSが存在し、使われているのか。

このビルに導入してあるのもIPSではなくIDSである。

システムは人間の作るもの。だから、不具合が当然起きる。

重要な通信を危険と判断することも起こりうるのだ。

お金のやり取りがネットワーク上で当たり前に行われているこの時代、

振り込んだはずの料金が届かなかったり、

受け取るはずの料金が受け取れなかったり、

そういうことがあってはならない。

だからIDSを導入するところもある。

同じようにビルにIPSを導入して、自分が不審者と間違われて攻撃されるという

間抜けなことになる可能性もある。

これがIPSを設置した本人なら笑い話ですむが、

他人に危害を加えてしまった場合、

傷害罪で、もしくは殺人罪で、牢屋に隔離される可能性もある。

そういうわけでこのビルはIDS方式。

侵入者が危険かどうかは人間が判断する。

・・・なんだ縛戸か。

脆弱性の塊をくっつけてきているのは気になるが、

表情を見るにあれは仕事を連れてくるときの顔だ。

そして、機嫌が悪いときの顔でもある。

ほどなくして、事務所に二人が到着した。

「すみませーん。今日は平日ですよね？」

「・・・また来たのか。」

「ちょっと調べてほしいんですけど、このゲームがですね。」

『帰ってくれ』という、声には出さないが、こちらの主張を無視して、

いや、空気を読むということができないんだろうな、こいつは・・・、

加茂井は一方的に話してくる。

「仕事の依頼か？」

「仕事・・・になるんですか？」

「そのゲームがお前の作ったものだと言うなら、

　脆弱性診断という仕事になる。

　わかりやすく言えば、不正できるかどうかの確認だ。」

こういう外部に公開するWebサービスは、

特にセキュリティに関して素人である事業主が外部に公開するWebサービスは、

犯罪者にとって格好の標的である。

それがどんなサービスであってもだ。

金になるなら、どんな些細な情報でも、犯罪者は欲しいと思っている。

情報の秘匿化が進んだ今の時代、情報は金になる。

クレジットカードのセキュリティーコードはもちろん、

名前、メールアドレス、顔写真、何でも売れば金になる。

では、金になるものが全くなければ攻撃されないのか。

当然ながら違う。

情報がなければ、情報が得られるように作り変えればいい。

要するにWebサイトの改ざんである。

何の変哲もないWebページを見ただけでマルウェアがダウンロードされるように

作り変えてしまうことだってできるのだ。

もし、そうなった場合、誰が責任を取るのか。

通常、窃盗事件があった場合、盗みを働いた犯人が責任を取る。

盗んでおいて何のお咎めもなしということにはならない。

だが、ネットワーク上の出来事となると勝手が違う。

盗まれたものを預かっていた人間が責任を取るのだ。

盗んだ犯人が非難されるケースは少ない。

なぜそうなるのか。

それは、人間が責任の所在をはっきりさせたいからである。

サイバー攻撃の犯人は、地球上のどこかにいる。

だが、誰だかわからないので、責任を取らせられない。

しかし、サイバー攻撃の被害者は何処の誰かはっきりしている。

だから責任を取ってもらおうということになるのだ。

これだけ聞くとおかしな話に聞こえるだろうが、

責任を取らせようとする側は必死に理由を考える。

崖の上から落ちて怪我をした人がいたとする。

普通なら危ない崖の上に登れば落ちて怪我をするのは予想できる。

だから自業自得といえる。

だが、危機管理のなっていない子供が崖から落ちた場合、

危険な崖を危ないまま放置した土地の持ち主が悪くなるのだ。

普通なら危ない崖の上に登れば落ちて怪我をするのは予想できる。

しかし、子供にはそんな簡単なこともわからないから、

周りの大人が危ないときは止めなければいけない。

顧客というのは、子供のような存在だ。

だから何も対策をしなかった企業が悪いと言えるだろう。

というわけで、セキュリティ上の欠陥のあるWebサービスに、

何も知らないまま預けてしまった個人情報を盗まれたら、

当然、Webサービスの提供元が悪いということになっている。

だから、Webサービスに欠陥がないか確かめるため、

脆弱性診断というものを行うべきなのだ。

正直、Webサービスでゲームを提供する場合注意しなければならないのは、

攻撃者からの個人情報の窃取を防ぐ以前に、

顧客がチートツールを使う行為である。

不正にゲームをプレイされないように努めるべきなのだ。

泥棒は犯罪だと理解しやすいと思うが、

ゲームを有利に進めるために不正をすることが悪いことだと、

下手をすれば訴訟問題につながる犯罪だと、理解できる人間は少ない。

自分のやっていることが悪いことだと思っておらず、

自分が犯罪者であることを誇らしげに言いふらす人間はいくらでもいる。

こんな時でさえ、非難されるのはゲームの提供側。

不正されるようなゲームを提供するほうが悪いという理論だ。

そういうかわいそうな事態に陥る前に、

我々セキュリティに詳しい人間たちがチェックを入れてあげようじゃないか。

例えそれが、二度とかかわりたくないような馬鹿が相手だとしても。

「あ、私そこまで頭良くないので。」

そうだな。馬鹿ならゲームを作ること自体無理だな。

最近はプログラミングができなくてもゲーム制作はできるが、

こういう根本から駄目な人間は道具を試そうともしない。

「であれば、また、人様の環境に乗り込み勝手に調査することになるが。」

と、ここでゲームの名前に見覚えがあることに気づいた。

このゲームは、制作会社が何かと問題を起こして噂になった、

あのゲームではないか。

個人の発信した情報がネットワーク上に溢れかえるようになった今の時代、

ゲームの評価はテレビや雑誌で判断されることは少なくなった。

人柱となるべくプレイした人の感想を聞いて、

よさそうならやってみようというのが賢いゲームの選び方。

言い換えれば、いくらCMで宣伝して取り繕っても、

悪い噂はネット上に拡散してしまっているということだ。

要するにこのゲーム、ネット上でいわく付きの、

情弱しかやらないだろうという非常に運営側に有利なゲームなのだ。

正直、ネットの情報だけ見ていれば誰もやらないと思うのだが、

どういうわけか流行ってミイラ取りがミイラになるように、

続々とユーザーを増やしていった金魚の糞のようなゲームだ。

だが、ユーザーも馬鹿ではない。

面白くもないゲームに課金なんてしないため、

利益は徐々に減りつつあるという、内部情報が漏れている。

そんなゲームの糞運営が何をしたかというと、

仮想通貨のマイニングプログラムによる強制料金徴収の実装である。

仮想通貨とは、今や一般的にやり取りされている電子マネーの一つであり、

国が管理している正式な通貨ではなく、

特定の組織が管理している通貨である。

国が管理している電子マネーは、世間にどれくらい出回っているか、

国が管理しているため勝手に増やすことはできない。

しかし、仮想通貨は定義した組織の指定する方法で、

利用者が勝手に増やすことができるのだ。

一般的な増やし方は、単純な計算を行う対価として得られるというもので、

鉱山から金を掘り当てる採掘に見立ててマイニングと呼ばれている。

マイニングプログラムとは、仮想通貨を増やすためのプログラムである。

これでどうやって料金を徴収するのか。

マイニングを行った場合、本来なら仮想通貨は行った本人のものになるのだが

、

自動的に仮想通貨を送信するようにプログラムを作ってあるので、

マイニングプログラムを提供したゲームの開発元が仮想通貨を得るのだ。

ユーザーが課金をしなくても、ゲームをインストールさえしてくれれば、

裏で勝手にマイニングを行い、利益にすることができるというわけだ。

これはサイバー攻撃によって端末にマルウェアを送り込む手口と

大して変わらないので賛否両論ある。

ゲームの提供側は、ゲームをインストールした時点で合意したものとみなし、

マイニングプログラムをインストールしているのだから問題ないとしている。

だが、ユーザにとっては、

スマホをゲーム以外のことに勝手に使われているので、もの凄く不評なのだ。

そんなゲームを持ってきたのだから、

さて、どうしたものかと真剣に考えていたのだが、

これがよくなかった。

「もしかして、興味湧いてきちゃったりしましたか！？」

俺がこのゲームに興味を持ったように見られてしまった。

確かに興味はあるぞ。

どうやったらこのゲームを叩き潰せるかという点ではな。

ここははっきりと伝えてやらなければならない。

「このゲームは、最近流行りのやつだな。

　悪質な仮想通貨のマイニングを利用料金徴収に採用した、

　情弱しか喜ばないゲームだ。」

「・・・はい？？」

「どうするぅ？続ける～ぅ？

　今なら不戦敗で済むんだけど、ねﾞぇぇ？」

なるほど、縛戸の奴、また友人をカモにするつもりか。

普通なら友達は大切にするべきだという心理が働くが、

縛戸にとって友達は、好き放題攻撃していいサンドバックなんだな。

「ま、まだわからないし！

　調査します！調査すればはっきりするんでしょ？」

そして、簡単にのせられるこいつもこいつだ。

少しは友人のことを疑ってみてはどうだ？

だが、これはチャンスでもある。

ネット上の情報というのは所詮は噂、絶対に正しいとは言えない。

本当に正しいかどうかは自分の目で確かめるしかない。

しかし、何でも確かめられるわけではない。

都合の悪いことをわざわざ公開するだろうか。

そういう情報は機密情報としてしっかりと管理され、

暴こうという人間には制裁が加えられる。

ところが今回は、セキュリティ診断という名目で、

噂の極悪企業のゲームを調査することができるのだ。

またとないチャンスである。

「そうだな。俺も一度調査しておきたいと思っていたところだ。」

「えっ？じゃあ。」

「・・・金はもらうぞ？仕事だからできる調査だからな。

　興味本位でハッキングなんて犯罪と変わらない。」

口ではこう言っているが、俺は興味本位で調査する。

サイバー攻撃は、攻撃の前に攻撃対象を調査する。

何か脆弱性が見つかった時に、攻撃すれば犯罪者だが、

相手に教えてしまえば、余計なお世話だが、脆弱性診断である。

さて、前回同様契約書を取り交わすわけだが、

加茂井は、今回は熱心に内容を確認している。

「・・・今回はちゃんと目を通すんだな。」

「学習しました。

　同じ手は二度と通用しないです。」

俺が悪いみたいな言い方をしているが、

悪いのは内容もよく読まずに契約した、お前だからな？

こちらとしては騙すつもりは、そんなになかったのだから。

「よし、この内容なら問題なさそう。

　さあ、彩！」

「えっ。何、私ぃ？」

「今回は彩が契約して！」

「・・・・はぁー？」

これは意外だった。

今回もカモられるだけかと思ったが、

どんなに出来が悪くても、学習する機能だけは人間に備わっているらしい。

「だって、このゲームが怪しいって言ってるの彩だよね？

　私は調べなくても怪しくないって思ってるから調査する必要がないし、

　そもそも、ここに行こうって言った言い出しっぺは彩だし。」

形勢逆転だな。

今回ここに来たのは、縛戸の疑問を解決するため、ということらしい。

であれば、加茂井がわざわざここに来る必要はなかったのだが、

それが、友情というものなのだろう。

「そうか・・・。学習したな。

　で、どうする？俺は構わん。」

「くっ・・・！」

問題があるとすれば、縛戸の性格。

自分の損をそのままにしておくようなことはしない。

いや、今回は必要経費だと思うのだが、

論理的ではなく、感情的に処理するのが縛戸。

心の中で他人に払わせると密かに決めていたなら、

どんな過程があっても他人が払わなければならない。

この損は、損ではなく必要経費なのだが、

加茂井は、倍以上にして、返さなければならないだろう。

「私が払う。一旦は、ね。

　その代わり、このスマホゲームが黒だったら、

　昼ごはんおごってもらうからね？」

「え？うん。いいけど？」

「焼肉・・・。」

何を買わされるかわからないのに、承諾してはならない。

リアルの買い物とネット上の買い物の一番の違いは、

買うと決めてから料金を手渡すまでの時間だと思う。

ワインを買う場合を考えてみよう。

ワインのボトルを持って、レジに並び、代金を支払う。

もし、ワインの値段を一桁間違えていたら、

レジを既に通過していて、返金が不可能だとしても

待ったをかけることがリアルなら可能である。

ネット上では、『支払』を押してしまったら、

待ったをかけることなど、できないに等しい。

身に覚えのない請求であっても、

『支払』を押してしまったらそれで成立する。

プログラムに温情というものは存在しないのだ。

そして、同じく縛戸にも、温情というものは存在しない。

「焼肉？」

「奇妙天、一度行ってみたかったし。」

繰り返すが、縛戸に温情というものは存在しない。

普通、飯を食いに行くなら、食べたいものを食べる。

もちろん、値段と相談して決めることもあるが、

食べたくないものをわざわざ食べたりしない。

縛戸は、高いものから注文して食べる。

それが、脂しかない真っ白な肉であっても。

あんな肉の味のしないものを高い値段で取引してどうする。

牛脂なら無料でもらえるじゃないか。

しかも焼いてしまうから、ほとんど網の下に落ちることだろう。

贅沢と廃棄は違うぞ？

もったいないの精神を忘れるな。

「これね、脆弱性診断。

　無料でやるところもあるけど、

　何かあるって決まってるなら初めからやれるところに頼むべき。

　診断はするけど対策はできないという会社に頼む価値はない。

　脆弱性診断の目的は発見ではなく対策。

　できないと言われたら別の会社にまた診断からしてもらわないといけない。

　結果、見せたくもない内部情報を複数に見せることになる。」

俺は脆弱性診断を有料でやっている。

診断にはいろいろと準備が、出費がかさむのだ。

無料でやるところもあるが、それは次の段階が約束されているからである。

家の壁に穴が開いたまま安心して過ごせるだろうか。

穴を見つけたら塞ぐまでが一連の流れだ。

脆弱性を見つけたら、対処方法を提示し、

問題ないようにするまで話が進むことが予想される。

だが、あまりにもひどい脆弱性が見つかると、

もしくは、様々な要因で脆弱性の対処ができない状況であると、

相談を受けても対処しきれない場合がある。

対処できないのであれば、そこから先に商談が進むこともない。

診断するだけ損というもの。

だから俺は診断までということにして、有料で行っている。

個人経営では完璧な対応を行うのはさすがにきつい。

それに、俺としては脆弱性をなくすことより、

よその会社のセキュリティを見るほうが目的なのだ。

「差し出されているのは、救いの手ではなく、財産を受け取る手。

　相手の立場に立って考える。

　知らない人間の弱みをなくして何を得る？

　弱みは握るものである。握らせてはいけない。」

つまりは、そういうことだ。

俺は医者ではない。

他人を助けることに使命感なんて持っていない。

そもそも医者は人間の心を持っているのだろうか。

まともな人間が、死と隣り合わせの現場に、

まともな精神状態でいられるのだろうか。

一番気に入らないのは、医療系のシステムが、

セキュリティの理念とは程遠いところにあるところだ。

人命を優先して、一切のパッチ適用、アップデートができない。

法律でそう決まっているらしい。

とにかく、相手の弱点を知っているということは、

交渉もこちらが主導権を握りやすくなるということ。

話を終わらせるのも、値段を吊り上げるのも、こちらの自由だ。

「最も安全なのは、自分で脆弱性の対策をすること。

　扱い方も知らない兵器をため込む軍隊がどこにある？

　兵器の使い方がわかれば、兵器の危険性もわかり、防衛も的確になる。

　破壊できる者は、守れる者。

　守れる者は、破壊できる者。

　敵も知らず己も知らない者が今世生き残れるかというと」

というわけで、一番重要なのは、

どうやったら脆弱性を狙って攻撃できるか考えることである。

魚を猫から守ることを考えてみよう。

猫が狙っているということしかわからないなら、

魚の周りの防御を固めるしかなくなる。

硬い檻を作ったり、罠を仕掛けたり、

その前に、魚が腐らないように対策も必要だ。

猫が何をしてくるか知らなければ無駄に防御を固めるしかないのだ。

だが、猫というものを理解していれば、

魚を缶詰にするだけで割と安心できる。

猫が缶詰を開けられる力を持っていないことを知っているからだ。

同じように、常に脆弱性がないか探していれば、

どういうところが危ないか大体わかってくる。

守ることだけを考えていると、どうしても対応が後手に回ってしまい、

ゼロデイという未知の脆弱性におびえなくてはならない。

ちゃんとした企業が作っているならば、

未知の脆弱性なんて頻繁に見つからないのだ。

故意に脆弱性を作りこむ企業もあるにはあるが・・・。

「・・・彩、そろそろ押そう？ね？」

「あ、ごめん。

　ほら、これでいいでしょ？

　さっさといつもの始めちゃって」

さて、問題のスマホゲームの調査に入ろう。

まずは、アプリをインストールするところから調査せねばなるまい。

昔に比べれば、インストールは簡単に終わるようになったと思う。

一つゲームを遊ぶにも、ライブラリをかき集めて、

設定を変更して、楽しむためにプレイヤーが苦行を行うことが、

当たり前のようにあった。

ライブラリというのは文字通り機能という本を並べた図書館のようなものだ。

絵を一枚表示するために専用の機能が必要な場合は、

図書館に行ってやり方を探してくる。

それを行うために必要なファイルのことを言う。

図書館がなければ、アプリとしてもやり方がわからないので、

動きを停止せざるを得ない。

昔はそのライブラリをユーザが自分で探しに行き、

アプリに使い方を教えてやる必要があったのである。

今では、ダウンロードしたファイルを、

いわれるままにインストールするだけでよい。

インストールと簡単に言うが、

スマホの中ではいろいろなことが起きている。

設定値が書き換わったり、必要なファイルをダウンロードしたり、

またはファイルを作成したり、

ユーザーの見えないところでいろいろ行っている。

裏で何をやっているか、気になる人もいるとは思うが、

正直、そんなものを逐一見せられても面白くもなんともないので

見せないのは正解だと思う。

これからゲームという架空の楽しい世界へといざなうのに、

レジストリやライブラリの文字列の羅列を見せられたら、

現実世界に引き戻されてしまうだろう。

ユーザには、インストールのボタンと、

完了の表示さえ見ることができればよい。

とはいえ、今からやるのは調査という仕事であり、

遊びではない。

インストールによってスマホの何が変わってしまったのか、

インストール前の正常な状態を記録しておく必要がある。

こういう作業はツールを使ってごそっと採るようにしておけば間違いはない。

ファイルに書き出しておけば、後で差分を、

これまたツールで出してやればよい。

ストアにおいてある例のスマホゲームをダウンロードし、インストールを行う

。

ものの数分もたたないうちに、

スマホの中身はすっかり書き換えられてしまった。

よくあるのは、正規のアプリとともに、

不要なアプリもインストールさせる手法。

だいたいは広告を表示するソフトウェアであり、

アドウェアと呼ばれるグレーゾーンのソフトウェアだ。

ユーザからしてみれば、毎回広告が表示されるのはうっとおしい。

その程度の影響しかない。

だが、ユーザの意図しない迷惑行為であるのでグレーなのだ。

やめてほしければ課金しろという話にする場合もあるし、

広告の代わりにマルウェアを送り込むページを出してくる場合もある。

明らかに悪い行為だがグレーなのだ。

もしくは、仮想通貨を採掘するアプリを勝手に入れ込み、

自動的に金銭を受け取ろうとする場合もある。

こちらはユーザーの目につかないので、自発的に調べるしかない。

大体そんなところだろうと見当をつけ、

インストール後の端末の中身を調査する。

ところが、ダウンロード自体は通常のものらしく、

目的のアプリ以外に端末に入ってきた様子はない。

インストールもゲーム用のアプリだけの最小限。

これはいったい・・・。

「えﾞ？何も変わったところないの？」

「ほらぁ！やっぱり問題ないじゃん？」

縛戸は、トンビに油揚げを、稲荷寿司製作に使われたような顔をしているが、

焦るな焦るな。

まだ白と決まったわけではない。

「待て。もしかするとだが、

　例外中の例外だが、」

入ってきたのがアプリだけということは、

入ってきたアプリに問題があるということだ。

通常、配信されているアプリは、当然のことだが、

不具合がないことを企業が事前に確認している。

もちろん、不具合が発見されて修正・再配布、

ユーザーにお詫びを配ることもあるだろうが、

不具合が見つかっているのもかかわらず、放置されることはないはずだ。

ユーザーの意図しない別のアプリがダウンロードされるのは、

間違ったダウンロード先に誘導されたり、

そもそもダウンロードに指定されてるファイルが違ったり、

何か別の要因がないと発生しない異常な状態。

何かが起きているということである。

アプリのインストール時にダウンロードの挙動を監視していたが、

ダウンロード先は正しかった。

つまり、アプリそのものが置き換えられて、

ユーザーにマルウェアがダウンロードさせられているということになる。

攻撃者は、配信されているアプリの配置されているサーバーに不正アクセス、

読んで字の如く、他人の領域に勝手に入り込むことによって、

配信するアプリを差し替えていたに違いない。

Webサイトを勝手に書き換えられるWeb改ざんは監視する企業がほとんどだが、

ほとんどであると信じたいのだが、

ファイルを勝手に置き換えられていないかどうか、

監視している企業が多いとは思わない。

利益追求を第一とする企業ならセキュリティも甘いだろうし・・・。

「ないとは言い切れないか・・・。」

というわけで、サーバーに侵入できるかどうかテストする。

勝手にやっているので犯罪といわれてしまえばそれまでだが、

妙なアプリをインストールさせられた被害者がいるのだ。

調査しないで放置するわけには行かないだろう。

ちなみにこの侵入テスト、ペネトレーションテストという。

サーバーに不正に侵入できるかどうか、実際に攻撃することで、

安全性を検証するテストだ。

こういうテストをするためのツールはいくつか用意されている。

どれを使うかは人によるが、使いこなせるかも人による。

環境が違えば侵入方法も違うため、完全に自動化できないからだ。

つまり、テストできる能力があれば商売ができる。

今回のように脆弱性がないか診断してお金を得ることも、

侵入したサーバーから情報を抜き取って売りさばくこともできる。

セキュリティの一番難しいところは、やはりここだろう。

というわけでツールを動かすと、意外と簡単に侵入できた。

本来なら、環境に合わせないと効果的に働かないツールだが、

デフォルトでも侵入できる脆弱なサーバーは世界中を探せばいくらでもある。

だからこそ、攻撃者はツールを使って24時間365日攻撃しているのだ。

おそらく今回の企業は、運悪く攻撃者の侵入テストに引っかかり、

攻撃者に侵入されたばかりか、犯罪の片棒を担ぐことになったのだろう。

マルウェアをおいたのは、サーバーを攻撃した人間だが、

マルウェアを配布したのは、このサーバーを所有する企業である。

マルウェアの作成者が逮捕できない以上、

すべての責任は、マルウェアの配布元の企業がとらなければならない。

被害者面をしたところで許されることはないだろう。

さて、ここで俺ができる行動は二つ。

親切にもマルウェアの配布元になっていることを伝えるか、

マルウェアの配布元になっていることをネタに脅迫するか、

どちらかである。

前者はいいことをしているようで、かなりリスクがある。

攻撃者がわからない以上、被害者は報告者に思いをぶつけるしかない。

取引先で理不尽な要求を吹っかけられたのにもかかわらず、

帰社して報告すると、何故か相手は咎められないのだが、

困っている社員が一方的に怒りをぶつけられる。

そんな展開が待っているのだ。

後者は悪いことをしているようだが、低リスクである。

要するに攻撃者になるということだ。

無視されたら放置すればいい。

相手を信用させるためにいろいろとしなくてもよいのだ。

そこまでして助ける必要はないのだから。

というわけで、一般的な人間はどちらの行動もとることができず、

侵入できるサーバーは、そのまま放置され続ける。

だから、自分の管理するサーバーは、

自分の責任でペネトレーションテストをするべきだ。

「あれ？この名前って・・・」

ペネトレーションテストの結果を横から見ていた加茂井が呟いた。

何か変わったものでも映ったかと思って画面を見る。

今映し出されているのは、C&Cサーバーの一覧だ。

C&Cサーバーとは、攻撃者が標的に感染させたマルウェアに

命令を出すときに使うサーバーのことだ。

マルウェアと攻撃者の間には、このC&Cサーバーがいくつかある。

これから犯罪をやる人間が名前を書いた看板を掲げたりするだろうか。

サイバー攻撃をするときも、同様に身元は隠すのだ。

レンタルサーバーなのか、乗っ取ったサーバーなのか、

特に決まりはないが、簡単に追跡できないようにしておく。

また、同じ国のサーバーを使うことで、相手を油断させる効果もある。

サイバー攻撃は、サイバー戦争でもある。

『サイバー攻撃は、自分の国をよく思っていない外国がやっている。』

そんな先入観がある場合は、自分の国から攻撃が来るとは思わない。

世界中から不審な通信が来ている状態で、すべての通信を調査できないなら、

自分の国にあるサーバーを候補から外すだろう。

そんなC&Cサーバーの一覧の中に、加茂井の知っているものがあったらしい。

よく見ると、「kamoi」の文字があった。

確かに加茂井と読める。

「この会社がどうかしたか？」

「それ、私のパパの会社・・・。」

これは面白いことになった。

加茂井のスマホにマルウェアを送り込んだのは、加茂井の親だったのだ。

いや、もちろん加茂井の親の会社が持っているサーバーが、

攻撃者に乗っ取られている可能性はある。

日の本の国を攻撃するために日の本の国のサーバーを使うのは、

攻撃者からすれば普通のことだ。

だが、そんなことはお構いなしに容赦なくゆすりをかける奴がいる。

「ねぇ、はるにゃん。これ、何の一覧かわかるぅ～？

　これはねぇ、マルウェアを使ってサイバー攻撃をしている犯人の

　容疑者の一覧だよぉ！

　これがどういう意味か・・・。

　分かる？

　ねﾞぇﾞぇﾞぇﾞ？」

そう、先ほどから反撃の機会をうかがっていた縛戸だ。

加茂井がセキュリティに疎いことをいいことに、

サーバーが乗っ取られていないことを前提として、

これからの人生に大きな影を落としかねない事実を

それとなく気がつかせようとする。

しかし、相手は加茂井である。

その事実に気がつくまでに数分。

それはカップラーメンにお湯を注いで待つ時間より、

はるかに長い時間に思えた。

「え、つまり・・・。

　パパの会社がサイバー攻撃してる！？」

どうやら伝えたいことは伝わったようである。

さて、ここからとるべき行動は二つ。

一つは、契約の範囲の調査を終えたということで、

縛戸が焼肉を食べられるように送り出してあげること。

もう一つは、加茂井の父親の会社に行って、

本当にサイバー攻撃をしているのか、

それともサイバー攻撃の踏み台にされているのか、

調査に行くことだ。

どんなに秘密を隠すのが上手な人間であっても、

その子供から秘密が漏れ出てしまうことはよくある。

子供は親を見て育つ生き物だ。

基本的に学校で教えないことは、親の真似をして学ぶ。

要するに、学業以外の悪い部分は、親譲りというわけだ。

子供を育てない親のもとに生まれた子供は、子供を育てられない。

義務教育では、子供の作り方は教えられていても、

子供の育て方は教えられることがない。

転職を薦めない親の下に生まれた子供は、転職ができない。

労働の義務は理解しているのだが、

会社を辞める方法を知らないからだ。

その理論から行くと、加茂井の親はセキュリティに対する意識が低い。

多少なりともセキュリティの知識があれば、

スマホを持たせるときに最低限のことは教えるはずだ。

ろくに考えもしないで契約のボタンを押してしまったり、

人気だというだけでアプリをインストールしたり、

そんな危ない行為はしないように教育しているだろう。

それがこの程度であることから考えると、

加茂井の親はサイバー攻撃の加害者であることはありえない。

サイバー攻撃の被害者である加茂井の親から、

同じく金を巻き上げることが可能だ。

おそらく縛戸は、このあと加茂井が払えないような額の肉を食べる。

いや、食べないで炭にして遊ぶかもしれない。

払えない場合は、加茂井が借金をすることとなる。

それが親にばれたら、スマホは没収されるだろう。

今の時代、スマホは生活必需品であり、学生には生命線である。

スマホがなければ友達もできないだろう。

・・・スマホがあるからといって友達ができるわけではないが。

だから、スマホを人質に、加茂井に俺の会社を親に紹介してもらうのだ。

実に自然な流れである。

セキュリティの仕事は、売り出すのが難しい。

突然、家に泥棒が入りそうだからと言われて、

知らない人間を家に入れてしまうようなことをする人間は少ない。

いくらサイバー攻撃を受けていることを説明しても、

簡単に調査や対応をさせてくれたりしない。

しかし、泥棒が友達や恋人など信頼できる人物なら、

勝手に冷蔵庫をあけてアイスを持っていくような人間だとしても、

簡単に家に入れてしまうように、

何かしら面識のある相手であれば仕事の話も進みやすい。

結局は信頼関係が重要なのだ。

というわけで、奇妙天には同席させてもらおう。

そもそも、学生が行くような場所ではない。

保護者同伴のほうが怪しまれないだろう。

保護者がいるだけで安心してしまうのは人間の脆弱性である。

今回の事象も、人気であるアプリということに安心し、

一緒に入ってくるマルウェアに気がつかなかったのが原因だ。

見返りを求めない人間なんていない。

無料で配布されているものは、金こそかからないが、

金には換えられない大切なものをいただこうとしているのだろう。