【天下布武！】名前を奪いに来た転校生

２０２ HelloKitty×暴露

「二〇二二年の主流（しゅりゅう）になっとる、二重（にじゅう）脅迫（きょうはく）型の身代金要求プログラム（ランサムウェア）の手口（てぐち）を編（あ）み出したのは、Maze（メイズ）乱波（らっぱ）。活動時期は二〇一九年一一月から二〇二〇年五月。一段階目は、暗号化（あんごうか）。復号（ふくごう）する見返りとして、身代金（みのしろきん）を要求（ようきゅう）する。二段回目は、窃取（せっしゅ）情報（じょうほう）の暴露（ばくろ）」

「やで、身代金（みのしろきん）を支払（しはら）って解決（かいけつ）するんやね」

「寝とるん？　解決（かいけつ）しいへんて。身代金（みのしろきん）を支払っても、復号（ふくごう）出来る保証（ほしょう）はあらへん。復号（ふくごう）出来たとしても、窃取（せっしゅ）されたデータが暴露（ばくろ）されるリスクは残り続（つづ）けるやろ」

「あ……そうやね。リスクは残り続（つづ）ける」

　データ復旧（ふっきゅう）にだけ気を取られ、バックアップをしっかり取っていれば、被害（ひがい）は無いのだと思（おも）い違（ちが）いをしていた。

「暴露（ばくろ）リスクについては、HelloKitty（ハローキティ）乱波（らっぱ）の事案（じあん）がわかりやすいわ。HelloKitty（ハローキティ）乱波（らっぱ）が標的（ひょうてき）にしたのは、コメ合衆国SonicWall（ソニックウォール）屋（や）製の汎用型（はんようがた）トンネル、SMA100（エスエムエーひゃく）シリーズを使っとるところ。SQL（エスキューエル）インジェクション不具合（脆弱性）CVE-2019（　）-7481や（　）CVE-2021（　）-20016（　）を使（つか）って、認証（にんしょう）を回避（かいひ）して侵入（しんにゅう）する。中に入りさえすれば、データは取り放題（ほうだい）になる。つまり、認証情報（にんしょうじょうほう）の窃取（せっしゅ）も可能（かのう）ということ。正規（せいき）の手順（てじゅん）で認証（にんしょう）して入れば、堂々（どうどう）とデータを窃取（せっしゅ）し続けることが出来る。ちなみに、侵害（しんがい）の有無（うむ）は、通行（アクセス）履歴（ログ）から管理人室へのリクエストを検索し、その履歴（ログ）の前で/__api__（　）/v1/logon（ログオン）要求（リクエスト）が成功（せいこう）しとるかを見ればわかる。要求（リクエスト）が存在せんかったら異常（いじょう）や」

「そもそも、SQL（エスキューエル）インジェクションを許容（きょよう）しとるトンネルがおかしいね」

　認証には、マイナンバー（ユーザーアカウント）とパスワードを使う。 SQL（エスキューエル）インジェクションとは、例えばパスワード記入欄に'or'1'=1（必ず満たせる判定文） を入力することで、認証されたものとして通過させる手法（しゅほう）。

　正常（せいじょう）なシステムでは、'（シングルクオート）や;（セミコロン）等の記号を、別の文字列へ置換（ちかん）する。エスケープという処理。しなければ、先程の例ではpassword='（　）'or'1'=1（必ず成功すること） が判定条件になり、or'1'=1（もしくは、一は一である）を成立させてしまう。これでは認証（にんしょう）の体（たい）を成（な）せない。

「そう。そんな物を完成品（かんせいひん）として流通（りゅうつう）させることが、そもそも異常（いじょう）。それはさておき、これから紹介（しょうかい）するのは、こういう不具合（脆弱性）に起因（きいん）し引き起こされた事案（じあん）」

―――　資料始（はじめ）

　二〇二一年一月。

　HelloKitty（ハローキティ）乱波（らっぱ）の攻撃を初確認。

　二〇二一年二月。

　ペーランド共和国のCDPR屋（ゲーム開発メーカー）を攻撃。ゲームの設計図（ソースコード）や社内文書を窃取（せっしゅ）。

　二〇二一年二月九日（ここのか）。

　身代金（みのしろきん）要求に対し、CDPR屋（ゲーム開発メーカー）側が交渉（こうしょう）しないと声明（せいめい）を発表。

　ルシア帝国で窃取（せっしゅ）データの競売（きょうばい）開始。

　二〇二一年二月一〇日。

　データが本物であると証明（しょうめい）するため、窃取（せっしゅ）した開発データの一部と開発者向けのテストコードを公開。

―――　資料終（おわり）

「未リリースゲームの設計図（ソースコード）の開始価格は一百万ドル、即決価格は七百万ドルが設定されとったね。ゲームの開発データに関心（かんしん）を持つ層（そう）、例えばゲームマニアやとハックして、ジェイルブレイク出来るようになる。競合他社（きょうごうたしゃ）なら自社ゲームの品質向上（ひんしつこうじょう）に活用（かつよう）出来る。乱破（らっぱ）の目的（もくてき）は金銭（きんせん）。需要（じゅよう）があるデータを切り売りすれば金（かね）になる。売却益（ばいきゃくえき）だけやなくて、企業価値（きぎょうかち）を下げることでも、利益（りえき）を得ることが出来る。ズル出来るゲームなんて、面白（おもしろ）くないって感じるユーザは離れるし、データ流出した事実は、投資家（とうしか）の信頼（しんらい）に影響（えいきょう）する」

「エグいね」

「一段階目の脅迫に応（おう）じるか否（いな）かを問（と）わず、乱波（らっぱ）は困（こま）らん。二段階目の暴露（ばくろ）リスクが残り続ける以上、被害（ひがい）に遭（あ）ったら、乱波（らっぱ）を壊滅（かいめつ）させて、資産（しさん）を押収（おうしゅう）せん限（かぎ）り、脅威（きょうい）は無くならんちゅうこと。バックアップから復元（ふくげん）出来るで問題無いって、高（たか）を括（くく）って強気（つよき）に出とると、痛い目に遭（あ）うよ」

「リークサイトと、競売（きょうばい）の併用（へいよう）か……乱波（らっぱ）は闇市（ダークウェブ）の使い方、上手いね」

「奪ったデータをどう使えば金（かね）になるか。そんなことも知らんコンサル屋の、机上空論（きじょうのくうろん）が、糞（くそ）の役（やく）にも立（た）たんってわかるやろ」