現役ハッカーに直撃!

 ハッカーが本気になったらできること

杉浦隆幸さん/日本ハッカー協会 代表理事

1975年生まれ。大学を中退し2000年にネットエージェントを設立。’04年に当時問題となっていたWinnyの暗号解読を行うなどホワイトハッカーの第一人者。現在は日本ハッカー協会の代表理事として、ハッカーの地位向上に努める。

実はハッカーってたくさんいるんです

「国内の大手ゲームメーカーがハッカーに脅迫され約11億円を要求されたというニュースが世を騒がせましたが、これは氷山の一角にすぎず、ある統計によれば無作為に抽出した企業すべてがサイバー攻撃を受けていたという驚きのデータもあります。  悪者のイメージが強いハッカーですが、実は公然とハッキングを行うホワイトハッカーのほうが割合として多いんです。ホワイトハッカーの主な仕事は、最新セキュリティ情報の収集や公開前のWebサイトの脆弱性調査など多岐にわたります。近年では報奨金制度を導入し、自社Webサービスの調査をホワイトハッカーに委ねる企業も増えてきて、職業として社会的に広く認められつつあります。自分もそんな合法的なハッカーなのでご安心を(笑)。  情報こそがいちばんの価値をもつ現代。それを守るためには攻撃側のことを知らなくてはなりません。ハッカーたちがどのような方法で情報を入手しているのか、ご紹介していきましょう」


パスワードは速攻で突破できる

一度パスワードが流出してしまうと、アカウントの乗っ取りは想像以上に速い
「まずハッカーたちは専用のツールを使って、あなたのアドレスとパスワードが過去のハッキングですでに流出していないかを確認します。もしそこで情報の流出がわかり、さらにパスワードの使い回しを行っていれば、ほかのサイトにもその情報は適用できるので、簡単に乗っ取ることができるのです。あるいは暗号化されたパスワードでも、フリーで手に入る解析コードと、計算速度の速いCPUを使って時間をかければ解読することができます。例えば企業間でよく使われるパスワード付きのZIPファイルは、照合に100億回/秒もチャレンジ可能で、どんなパスワードでも2〜3日で解読できます。電話でパスワードを教えても無駄なんです」

「上記はハッカーたちが使用している『Intelligence X』というサイト。すでに情報が流出していた場合、メールアドレスを入力するだけで、それに対応するパスワードが何か、すぐに調べることができるんです」

パスワードって簡単に
わかるんですよ


Wi-Fiを使ってデータを盗める

Wi-Fiスポットを偽装して、中身を閲覧

「街の至るところで飛び交うWi-Fi。飲食店やホテルなどで利用できる、誰でも使えるWi-Fiはセキュリティが低く、使用者がアクセスしているサイトを特定するのは容易です。また、ターゲットの行動パターンが絞り込めている場合は、下記の画像のような偽のフリーWi-Fiのログイン画面を作成して相手を騙すこともできます。狙いたい相手がよく使うカフェなどで、実在のWi-Fiと同じ名前のアクセスポイントを仕かけて、こちらが作った偽のポイントに誘導。そこで普段使っているメールアドレスやパスワードを入力するように仕向けます。そうしてログイン情報を入手し、もし相手が使い回しを行っていた場合、ほかで使っているサービスへも入れるため、SNSでのプライベートなメッセージや写真、買い物などの履歴をのぞくことができるというわけです」(許可なくやると犯罪です)

「こちらは私が実験的に作成した偽物のWi-Fi画面。普通の人では偽物だと見分けがつかないでしょう」


SNSから個人情報を読み取れる

たった一枚の写真から、自宅が判明してしまう

例えばこの写真から….

「専門的な知識と経験があれば、SNSに公開されている写真から、その人の行動範囲やパターンなどいろいろな個人情報を読み解くことも可能です。例えばプロであれば、このタピオカが写った一枚の写真を手がかりにして、撮影された場所を特定することができます。

実はこの写真、タピオカの表面にヤシの木が写り込んでいるので、容器の特徴などと一緒にリサーチすれば、上記の場所が簡単にわかるのです。場所を絞り込めたら、撮影時の影の位置などから、時間帯もさらに細かく特定することができます。このように、家がわかる写真をアップしていなくても、インスタグラムやフェイスブックなどの投稿を見れば、住所や部屋番号が特定できることは多いです。何気ないSNSへの投稿が、空き巣やストーキングに悪用されることもあるので注意したほうがいいですね」



Photos:Kanta Matsubayashi
Comic&Illustration:Shoulderkatami 
Text:kinmasataka