殺意認証

在塚遥香の分析

　なんなのこのサイト⁉

　私はスマートフォンでとあるＷＥＢサイトを操作しながら、その不可解な挙動に驚愕した。何とかその挙動を論理的に解釈できないものかと、しばらく思考を巡らしてみたものの、結局行き着いた結論はこうだった。

　こんなのありえないでしょ！

　私こと在塚遥香（ありづかはるか）は今ちょっと混乱している……確実に。

　数時間前、同じ部門のベテラン職員である矢島繁（やじましげる）さんに呼び出され、新規案件の説明会に参加することになった。会議室にはすでに２名が来ていて、仲が良さそうに談笑していた。１人は同僚で、先輩でもある芳賀健介（はがけんすけ）さんだ。そしてもう１人は、私が所属する内閣情報調査室の国内部門を担当している情報分析官の藤堂幸一郎（とうどうこういちろう）さんだった。芳賀さんと藤堂さんは私たちが入室すると軽く会釈をしてそれぞれの席に戻った。

　４列並んだ二人が座れる程の長テーブルには２つずつ資料が置いてあり、矢島さんは一番先頭の席に座った。芳賀さんはその後ろの席に着いている。私は二人とは少し離れた別のテーブルの席に座った。私たち全員が着席すると、正面のホワイトボードの前に置かれたシングルテーブルの芳賀さんが口を開いた。

「参加者はこれで全員でしょうかね？」

「そうだ」

　矢島さんが短く答える。

「では、始めさせていただきます。あ、前置きしておきますと、この案件は次長発事案ですので、優先度は高めでご対応いただけると助かります。お忙しいところすみませんが、よろしくお願いしますね」

　藤堂さんはペコリと頭を下げた後、本題に入った。　

「今回の総理の件について、とあるＷＥＢサイトの関与を示唆する投書が多数ありました――」

　昨日、記者会見中の総理大臣が急死するという事件があった。その事件の後、内閣官房のホームページに大量の投書が寄せられ、それは今も続いているらしい。投書はどれも同じような内容で「総理大臣の急死に『殺意認証』なるＷＥＢサイトが関与しているようだ」というものなのだそうだ。ばかばかしいわね。総理大臣の死因は急性心不全と伝えられているし、ＷＥＢサイトが心不全を誘発させたとでも言うのかしら？　そんなことできるわけがないじゃない。私は藤堂さんの話を聞きながら心の中で失笑する。

「――まずはお手元の資料をご確認ください」

　促されるままに私は資料をパラパラとめくっていく。『事前調査内容』と書かれたページの内容が目に留まった。そこにはこのＷＥＢサイトに関わる挙動などが一覧化されていた。

『認証者の正しい名前を入力しないと認証ボタンが有効化しない。正しい名前の表記については日本語・カタカナ・ひらがな・ローマ字等、多様な表記が許容される』

　どういうこと？　認証者名をどうやって判別しているのかしら？

『対象者および認証者は同姓同名、同一表記であっても認証後に適切に区別される』

　ふぅん……認証される時に名前以外の個人情報も抜き取られている可能性があるわね。

『認証者のスマートフォンには、対象者の死亡が確定・公表される前に死亡を示唆する旨のプッシュ通知が届いた』

　これは……通知の発信者は石田首相の救急搬送に関わった関係者ってこと……？

『ＰＣでのみ認証を行った認証者のスマートフォンにもプッシュ通知が届いたという未確認情報が多数あり』

　え、さすがにこれはありえないわ……勘違いじゃないの？

　荒唐無稽な内容のオンパレードに半ば呆れながら、もしこれが事実だとしたら、どうやっているのだろうかとも考える。いいえ、わざわざ私たちに調査させる程のことなのだから、一部は事実なのかもしれない。だとしたら、自分が知らない未知の技術が関与している可能性があるわね。少し好奇心がかきたてられる。

　その後、矢島さんによって担当が決められた。

　私は技術調査の担当になった。とは言っても、利用者目線での調査範囲に限定されるのであまり深くまでは分析できない。サイト自体の解析はＮＩＳＣ（内閣サイバーセキュリティセンター）に依頼するとのことで、ちょっと残念ね。できれば私もやりたい。まぁ、ＥＵ圏内にホスティングされているサイトみたいだし、ＮＩＳＣを経由でもしないと通常経路の情報開示請求は通らない可能性があるわね。そう考えると、この案件って結構大がかりなものになるかも……。

　よし、ちょっと面白そうな仕事じゃない。

　最近は世の中に広く公開されている情報の収集（オシント）や、人伝を使った情報収集（ヒューミント）ばかりやっていて、刺激が少ない日々を送っていたので、良い気分転換になるかもしれないわ。

　散会した後、自分の業務スペースに戻って来た私は、早速ＰＣを起動した。

　まず、通称『殺意認証サイト』と呼ぶことになったＷＥＢサイトのＵＲＬをウィルススキャナにかけてみる。特に問題は検出されなかった。次に各種セキュリティ機関のレポートを検索して『殺意認証サイト』のドメインやＵＲＬが報告されていないかを調べていく。こちらも大丈夫だ。通信プロトコルも暗号化されているし、とりあえずアクセスするだけで危険なサイトってわけではなさそうね。

　ならば……私はＷＥＢブラウザを立ち上げ『殺意認証サイト』にアクセスしてみた。

　黒い背景に少し大きめな白い文字で『あなたの殺意を認証します』との見出しが書かれている。その下に２つの入力欄と同意を求めるチェック項目、そして背景に溶け込むような無彩色の『認証する』ボタンが配置されていた。ページの一番下には『スタック』と書かれたリンクも見える。一見すると、よく見馴れたネット上の何かのサービスのログイン画面のようだ。異質なのが、入力欄のラベルや同意内容を説明するテキストの内容である。『殺意の対象者』とか『殺意が実行された場合』など不穏な表現が含まれている。

　ふぅん、確かにこれだけだと誰かが悪ふざけして作ったネタサイトにしか見えないわね。

　……では、試しに私も触ってみますか。

　まずは殺意の対象者か。うーん、調査のためとはいえ、他人の名前を書き込むのは躊躇（ためら）われるわね……。とりあえず、自分の名前にでもしておこうかしら。私は『殺意の対象者』の入力欄に自分の名前を入力した。

　次に私の名前ね……対象者と同じでも大丈夫なのかしら？　あ、確か偽名とかだと受け付けないよね。じゃあ……と、私は入力欄に〝あ〟とだけ入力してみる。

　そして、その下の同意項目にチェックを入れてみるが、『認証する』のボタンの色は変わらない。試しにボタンを押してみると、『あなたのお名前』の入力欄の枠が赤く変わった。これはそこを修正しろってことよね。まあ、〝あ〟だけじゃ弾かれるってのは良くある処理だしね。それなら通信系のテストで凡用的に使われるダミー名〝アリス〟は……これもダメか。その後、アリスの前に私の苗字〝在塚〟を付けてみたり色々なパターンを試してみたけど、どれも弾かれてしまった。

　それではと、私は満を持して自分のフルネーム〝在塚遥香〟を入力してみる。すると『認証する』のボタンが青色に変化した。

　……⁉

　私は目を瞠（みは）ってしばらく沈思してしまった。事前調査内容で報告されていた動きなのだけど、いざ目の当たりにすると心が平穏ではいられない。

　……これは裏で何かしら私を特定する情報を取得していなきゃできない挙動よね……？　でもこれってスマートフォンじゃなくＰＣよ……ＷＥＢページ側からＷＥＢブラウザの制限を越えてＰＣのＯＳ（オペレーティングシステム）にアクセスする方法なんて聞いたことがないわ。そうなると、まだ検知できない新種のウィルスかマルウェアが仕込まれているということぐらいしか考えられない。私の心に焦りの感情がぞわぞわと湧き立った。業務用のＰＣでやってみたのは失敗だったかも……ちょっとだけ後悔しながら、私はセキュリティソフトウェアを起動してＰＣをスキャンしてみた。

　問題なし……か。ふぅ、良かった。

　続いて『認証する』ボタンを押してみたいが、ウィルス感染の可能性を考慮すると少し気後れする。まぁ、感染したらしたで逆に調査が進むし良いのか……よし、女は度胸よ！　私は意を決して『認証する』ボタンを押した。

『あなたの殺意は認証されました』

　ＷＥＢページにそうポップアップが表示された。

　これが『殺意認証』……。

　ほどなく画面が切り替わり、殺意対象者と認証者の一覧が表示された。対象者と認証者の名前はともに私である。これってまるで自殺志願者って感じね……私は小さく自嘲した。

　念のため、再びＰＣのウィルススキャンを行ってみるが、異常はなかった。認証することでウィルスに感染するといったこともなさそうね。私は胸をなでおろした。

　認証画面に戻った私は、ＷＥＢブラウザの開発者モードを起動してＷＥＢページのソースを覗いてみた。名前の入力を検知して実行されている処理を追っていく。最終的にネットワークに接続して裏方のプログラムが呼ばれている。こうなると、これ以上追跡するのは無理だった。おとなしくＮＩＳＣの解析結果を待つしかないってことか……なんか歯がゆいわね。

　……いえ、ちょっと待って。私は何か見落としている気がした。

　あ！　私の使っている業務用ＰＣに私の個人名って登録していたかしら？

　私はＰＣのシステムプロパティやレジストリを確認してみる。やはり個人名などは見当たらなかった。内閣情報調査室の職員に貸与されているＰＣには職員ＩＤのみが登録されていて、そのＩＤに紐づく職員の個人情報はイントラネットのデータベース内で管理されているのだから当然だ。では『殺意認証サイト』はどうやって私の名前を取得しているのか？　まさか、ＰＣを中継してイントラネットに接続し、その先にあるデータベースまでもハッキングしている⁉　そう想像して私はゾッとした。そんなことになっていたら大問題どころの話じゃない。

　いや待て、落ち着け私……。

　イントラネットの構成なんてそれこそ千差万別なのよ。そんな環境依存を克服しながら器用に辿って、しかもデータベースのセキュリティまで突破してデータを抜き出すなんて、そんなことどう考えたって出来るわけないじゃない！

　……じゃあ、どうやって名前の正誤判定をしているっていうの？

　ダメだ、わからない。頭が混乱して来た。

　ひ、ひとまず、この問題は保留……落ち着いてからもう一度考えた方がいいわね。そう自分に言い聞かせると、私は一息入れるため席を立った。

　部内の自動販売機で買って来たロイヤルミルクティーを飲みながら、私は藤堂さんの資料に再び目を通した。糖分を採ったからか、少し気分が落ち着いている。

　次はプッシュ通知について調べてみることにした。

　まず昨日の石田首相の事件に際して、通信キャリア側から利用者へプッシュ通知が行われたのかを確認しておく必要があった。通信事業者の管轄は総務省だが、そちらを経由すると時間がかかるので、私は直接それぞれの通信キャリアの窓口に連絡していった。定常業務（ヒューミント）でよく行っている情報収集手段なので、もはや手慣れた作業だ。

　結果、当時どの通信キャリアもプッシュ通知は行っていなかった。

　スマートフォンへのプッシュ通知はそれに対応するアプリがインストールされている場合に可能となるのが普通だ。『殺意認証サイト』は単なるＷＥＢサイトなので、アプリを経由してのプッシュ通知はできない。そうなるとブラウザを介して行われる『ウェブプッシュ通知』という方法が使われているのだろう。確かに先ほどＷＥＢページのソースを覗いたときに、それらしき通知を行うためのサービスワーカーの記述を見かけた気がする。それならば、スマートフォンで一度でもあのサイトにアクセスすれば、プッシュ通知を受け取ってもおかしくない。うん、これは技術的に問題なさそうね。

　……でも、ＰＣでしかあのサイトにアクセスしたことがない人のスマートフォンにもプッシュ通知が届いたっていうのは不可解ね。単にその人がスマートフォンでも『殺意認証サイト』にアクセスしたことがあるのを忘れているだけだといいんだけど……。それにしては、ＰＣでしか見てないのに通知が来たと言っている投書の数がけっこうな数あったのが気になるわね。全員が忘れているなんてことあるかしら？

　もしも投書の内容が事実だとしたら……アクセスしたＰＣの接続元ＩＰアドレスから契約しているプロバイダを特定……？　そしてプロバイダのデータベースをハッキングして契約者の携帯電話番号を取得する……とか？　でも、携帯電話番号がわかったって、プッシュ通知用のサービスワーカーをどうやってスマートフォン側に仕込むのよ……。

　あぁダメね、頭が回ってないわ。そんなのおとぎ話レベルの話じゃない……あり得なさ過ぎるわ。そんなことできる技術が発明されていたら、プライバシー保護なんか全壊しちゃうじゃない。

　うーん、やっぱりバックエンドで動いてるプログラムを解析しないとどうしようもないわね……。私もあのサイト解析させてもらえないかしら。というか、そもそもあのサイトのバックエンドのソースって開示してもらえるのかしら。今のところ犯罪性は見当たらないし、いくらＮＩＳＣの依頼だったとしても個人情報保護にうるさいＥＵ側が協力してくれるかは微妙よね……。

　あぁ、また混乱して来たわ。一旦休憩しよう。

　私は部門内で連絡ツールとして使われているチャットアプリを開いてみる。まだ、今回の案件用のグループは作成されていなかった。

　その後も休憩を挟みながら、『殺意認証サイト』の挙動を確認して行った。それにしても不可解な点が多い。多過ぎる。妄想レベルの推測しか思いつかないような動作を見つけるたびに、自分の無力さを痛感させられてイライラする。同時に疲弊感が半端ない。

　そんな時、部門内チャットに『殺意認証サイト』のグループが作成された。説明会が終わってからもう５時間も過ぎている。もう遅いわよ、藤堂さん。

　待ってましたとばかりに、私は藤堂さんにメッセージを送った。

『調査対象のサイトですが、不可解な挙動が多すぎて、ありえません。ＮＩＳＣからの解析結果はいつ来ますか？』

　……藤堂さんからの反応がない。

　仕方ない、直接伝えに行こう。私を散々に戸惑わせ、悶々とさせているこの状況を聞いて欲しい。ちょっと愚痴が混じってしまうかもしれないけど……。そして、私にもサイトの解析をさせてくれないかお願いしてみよう。

　私は勢いよく椅子から立ち上がった。