お気の毒ですが、あなたの財産は消えてしまいました。

第9話 至急！セキュリティに問題があります。

さて、あれからしばらくして、

加茂井春子の親が経営する神威株式会社の内部調査をする機会が巡ってきた。

どうやら加茂井はうまく話を取り次いでくれたようだ。

この神威株式会社、何をしている会社か調べたところ、

どうやら運送をメインに活動している会社らしい。

ネットワーク社会がいくら高度に発達したとしても、

物理的に物を運ぶ必要性はなくならない。

メールにコーヒーを添付して相手に送るなんてことは不可能だ。

世の中が便利になるにつれて衰退していく産業がある一方で、

物流系の仕事というのはなくなることがない。

また、物流系の仕事は、特に知識がなくてもできるというのも、

衰退しなかった理由の一つだろう。

もちろん、車を運転するなら交通ルールを知っておかないといけないが、

物を運ぶというのは、言ってしまえば子供でもできる作業だ。

ネットワークが発達して高度な知識が必要になると、

やはり、高度な知識を持たないものが取り残されてしまう。

最近の子供がパソコンを使えなくなっているという話もあるが、

それとはまた別の方向で時代についていけない人間が出てくる。

神威株式会社は、そんな時代に取り残された人間を集めて運営している、

実に昔ながらな仕事をしている会社なのだ。

この会社の門を見てみよう。

通常、会社の入り口というのは、自動ドアや電子ロックなど、

機械制御のセキュリティが敷かれているものだ。

監視カメラが設置されているのは当たり前で、

赤外線のセンサーで侵入者を検知したり、触れた人間の指紋を採取したり、

迂闊に近づけないようになっている場合がほとんどだ。

しかしこの会社は、守衛の人間が手動で開閉作業を行っている。

機械制御できることを、人の手でやることの利点とはなんだろうか。

やはり、融通がきくということだろう。

門の前まで来て、IDカードを忘れたことに気がついたときに、

今どきの電子制御のゲートは通過できない。

泣く泣く家まで取りに戻らないといけないし、

遅れた時間はしっかりとシステムに記録されてしまう。

もちろん、指紋認証になっている場合や、

忘れたときのための救済措置がある場合もある。

だが、セキュリティというのはいくらでも固くすることができるため、

最新の技術を取り入れた会社ほど、めんどくさいことになっている。

何事もそうだが、セキュリティもバランスが大切だ。

使いやすさを維持しつつ、防御を固めなくてはならない。

この会社のように人間がチェックをしていると、

すべてを機械制御するよりは柔軟な対応が可能となる。

もちろん、人件費はかさむし、一人で24時間対応はできない。

体調不良とか、冠婚葬祭とか、不測の事態もある。

それでもこうして体制を維持していられるのは、

それなりの需要があってのことのだろう。

守衛の人に軽く挨拶をしつつ、訪問理由を話す。

紙をめくり何やらチェックをしていたが、程なくして中に入る許可を得られた。

こんな作業は十分機械制御できる。

タッチパネルのようなものを設置して、メニューから順番に選べば、

数秒で中に入れるシステムの構築は容易い。

だが、こんな無機質な対応は受け入れられないという人間もいる。

経営者目線と顧客目線では意見が異なる場合があるのだ。

ありとあらゆるものが電子制御されると、

そこまでの道のりが長く険しいものであったはずなのに、

昔に戻ろうという活動が出てくる。

そんなときに受け皿となり成長したのが、この神威株式会社である。

「ちょっとボーッとし過ぎなんじゃないの？

　これから犯罪者のオンドコに乗り込むっていうのに。」

「少し、思うところがあってな・・・。」

いつの間にか縛戸が来ていた。

例によって縛戸も、今回の調査に同行させている。

勝手のわからないネットワーク環境の調査を行う場合は、

とにかく人手をかき集めて臨んだほうが良い。

なんでもそうだが、仕事には期限というものがある。

ネットワークの調査の場合、

ネットワークに負荷をかけて業務が停止する可能性を考慮し、

わずかな制限時間の中で調査を終えなければならない。

もし、未知のネットワークに遭遇し、診断の準備が思うようにいかず、

何もできないまま時間切れとなってしまったら、

まったくもって無駄なことを双方が行ったことになる。

そうならないように、人海戦術で診断に挑むのが普通だ。

といっても、俺の事務所には人員がいない。

連れていけるのは縛戸ただ一人というわけだ。

それでも、一人よりは二人のほうがいい。

人によって見方が違えば、対応も違う。

ネットワークという見えない森の中でゴールを探すなら、

一人は駄目でも、もう一人はできる、という状況になることもある。

で、肝心の縛戸のセキュリティに関するスキルのほうだが、

学生にしてはできるほう、というレベルである。

正直、俺が駄目なら縛戸も駄目だろう。

だが、縛戸の長所は、対人系のスキルが群を抜いているところだ。

簡単なコミュニケーションなら誰でも取ることができるが、

相手の心の隙間に入り込む会話ができる人材はそんなにいない。

もちろん、ツールに頼むこともできない。

セキュリティ技術の発展とともにツールも進化しているが、

人間とコミュニケーションをとる部分は、依然として自動化できていない。

すべてがマニュアル化された仕事であっても、

対人関係の部分は、一番差が出るのだ。

これは攻撃者においても同じことが言える。

最初期のサイバー攻撃というのは、注意深い人間がいれば、

簡単に防げてしまうものだった。

一番わかりやすい例がマルウェアを添付したメールのばらまき。

うっかり添付ファイルを開いてしまったらアウトという形式だ。

そもそもマルウェアの侵入経路なんてパターンが限られていて、

メール経由で感染するか、Webサイト経由で感染するか、

どちらかだと考えてよい。

USBなど外部媒体を物理的につながない限り、

パソコンにマルウェアは入ってこないからだ。

では、不特定多数にマルウェアが添付されたメールを出したとしよう。

被害者がメールを開くと次のような文章が書いてあるとする。

『Hello, customer!!』

こんなメールでは、即座にごみ箱へ捨てられるだろう。

これが言語の壁といわれる、標的の使っている言語を使わなければ、

簡単には攻撃が成功しない、という安全神話である。

もちろん、よくわからないから添付ファイルを開いてみたという、

馬鹿みたいなことをする暇人が大量にいるから、いずれ攻撃は成功する。

だが、常識的に考えて、よほど間抜けな人間でなければ、

『なんだこれは。おかしいな？』

という疑問によって、知らないうちにセキュリティが硬くなるはずなのだ。

だからといって、言語を相手に合わせれば、攻撃は成功するといえるのか。

次の文章をマルウェアを添付するメールに書いてみよう。

『こんにちは！君さま。』

何様だという感じである。常識的に考えて。

日ノ本の人間は、こんな馴れ馴れしい文章を初対面の人に送ることはない。

そもそも『君さま』とは何だ。『あなた様』ならまだわかるが、

こんな日本語のなっていない文章のメールを見れば、警戒もするだろう。

この例を見てわかるように、コミュニケーションをとるスキルというのは、

サイバー攻撃を行う側にとっても必要不可欠なのだ。

最近のサイバー攻撃は、相手の国の言語はもちろん、

その国特有の文化も、もっと言えば会社特有の作法も踏まえて行われる。

例えばこんな感じだ。

『お世話になります。丸々大学の何某です。

　御社の採用試験を受けたく思います。

　履歴書を送付しますので、ご査収お願いいたします。』

こんなメールが新入社員を採用する時期に送り付けられる。

何百、何千もの本物のメールの中に紛れ込んでいるのだ。

もはや、言語の壁という安全神話は崩壊した。

特に上記の例のような、ふざけたメールを送り付けてくるのは、

社会のことを何も知らない失礼な学生である。

多少敬語の使い方が不適切でも、文法がなってなくても、

受け取った人間は不審には思わないだろう。

『学生にとって学校は、友達を見つけて遊ぶ場所であり、

　礼儀作法を身につける場所ではない。

　学校が社会のルールを教えることを軽視し、

　テストの点をあげるだけの場所になっている』という、

社会人の共通認識があるのは攻撃者にとって好都合だ。

そのうえ、採用担当は添付ファイルを開かざるを得ない状況なのだ。

添付ファイルを開いて普通に履歴書が表示されれば、

裏でマルウェアがダウンロードされていても気が付かないだろう。

マニュアル対応しかしていないならなおさらだ。

メールを開いた本人は不注意でマルウェアに感染したわけではない。

普通に仕事をしていたから感染したのだ。

不審なメールを開かないように指導されていても、

届いたメールが不審だと思わなかったら意味がない。

もっと言えば、直接マルウェアを送り付けるのはまだわかりやすいほうで、

最近の流行は『やりとり型』と呼ばれる手法だ。

まず、マルウェアを送り付けたい相手とコンタクトを取る。

仕事でも趣味でも何でもいい。話しかけるところから攻撃は既に始まっている。

攻撃者は相手とやりとりを何週間か続ける。

そうすることで、攻撃者は他人から知り合いになる。

次に、友達となった時点で壊れたファイルを送り付ける。

当然、ファイル見れないと文句を言ってくるので、

今度は、壊れていないマルウェアを送り付ける。

いくら普段からセキュリティに気をつけている人間だとしても、

友達から送られたファイルを開くことが目的になっているので、

割と簡単にマルウェアの感染を許してしまうのだ。

コミュニケーションスキルがいかに大切かおわかりいただけただろうか。

現状、セキュリティの知識なんかなくても、

セキュリティをよく知る人とコンタクトが取れれば、

攻撃ツールなんていくらでも提供してもらえるため、

サイバー攻撃は簡単に実行できる状態にある。

学校形式で能力を測れば特別ではない縛戸だが、

対人能力を考慮すると、俺よりセキュリティの知識があることになるのだ。

この事実に気が付かずひたすら己の能力を磨き続ける人間は哀れだ。

セキュリティの知識を持っていながらサイバー攻撃が失敗続きだったのも、

己の能力を十分に発揮することばかりに目が行き、

サイバー攻撃を受けた相手の気持ちを理解しようとしなかった点にある。

物を売るときに王様気分で顧客と接する奴がいるだろうか。

『なんだこいつは』と思われてしまったら商売にならない。

そういう勘違い人間から知識を買い取る人間がいたからこそ、

サイバー攻撃はビジネスとして発展していったのだ。

「じゃあ、入館の許可ももらったし、

　この会社を自由に見学させてもらうからねぇ～♪」

「おい、依頼人に挨拶はしないのか？」

「そのうち出会うでしょ？

　その時しておくから今回はパスで！

　私がいるってことだけ伝えておいてね～！（ノシ）」

というわけで、縛戸はこれより会社の中を勝手に歩きまわる。

コミュ力お化けを放置するとどうなるか。

次に縛戸に会うときには、この会社の情報を、

外部に漏らしたくないことまで知ることができるだろう。

ソーシャルエンジニアリングというサイバー攻撃の手法がある。

人間の心理や行動のミスに付け込んで情報を抜き取るやり方だ。

サイバー攻撃は、ネットワーク世界で攻撃をしているわけだが、

実際は攻撃を始める前に現実世界においても情報収集を行っている。

サーバーに入るためのパスワードが欲しいから

管理者に直接教えてもらいに行くようなことをするわけだ。

もちろん、馬鹿正直に本人に聞いてみるようなことはしない。

例えば、管理者がパスワードを入力しているときに後ろから覗き見る、

ショルダーハッキングと呼ばれる手法を使ったり、

管理者がごみ箱に捨てたパスワードを書いたメモを回収する、

ガーベジコレクションと呼ばれる手法を使ったり、

管理者より上の役職の人間になりすましパスワードを聞き出したり、

やり方なんていくらでもあるのだ。

人間というのはセキュリティがなっていないのでやりたい放題。

4桁のパスワードをつけたファイルのほうが安全だったりする。

そのファイルが人間の言葉を理解して自ら行動できるなら話は別だが、

ファイルは人間とコミュニケーションを取らない。

言われるまま64桁のパスワードをうっかり渡してしまう人間より優秀だ。

では、コミュ力がある人間はセキュリティが弱いのかというと、

そういうわけではない。

２４時間絶えず話し続けていたとしても、

相手に話してはいけないことを理解して、話さなければいいのだ。

別に相手に嘘を教えてはいけないというルールはない。

セキュリティを守るためには、真実と違うことを話しても何ら問題はない。

その観点から考えると、コミュ力のない人間は危険だ。

相手の信頼を得るために、何でも情報を漏らしてしまう可能性がある。

ソーシャルエンジニアリングの被害を受けやすいということだ。

『友達なんだから』と言われて会社の内部情報を持ち出してしまうような、

人付き合いの下手糞な人間は要注意である。

頼みを断って離れていくような友達は、

自分が友達だと勝手に思い込んでいるだけの他人。

いいように利用されているだけである。

一番安全なのは誰とも会話しないことだが、それは無理だろう。

友達がいないことや独身でいることが恥とされる世の中で、

誰ともかかわらないという生き方ができる人間はいない。

そもそも外に出れば誰かしら人間と接触するのだから

人間とかかわらない生き方というのが、まず無理だ。