年末年始には家族揃って映画を楽しむことにしている、そんなご家庭は多いのではないでしょうか。クリスマスがらみのコメディ映画を必ず見るとか、超大作をじっくり鑑賞するとか、お決まりの何かがあるかもしれませんね。私の場合、クリスマス映画と言えば『ダイ・ハード』です。ジョン・マクレーンがテロリストに遭遇するのは60%くらいの確率でクリスマスイブですし、このアクション映画とクリスマスを結び付けて考えるのは私だけではないはずです。
『ダイ・ハード4.0』では、重要インフラのサイバーセキュリティに焦点が当たっていましたが(これについてはまたいつか)、第1作も、よく見るとサイバーセキュリティの好例・悪例がたくさんちりばめられているのが分かります。
何と言っても、事件の舞台となるナカトミ商事は、当時最新鋭のテクノロジーを使用していました。東京に置かれた複数サーバーと同期するメインフレーム、金庫を施錠する電子錠、ロビーにはタッチスクリーン式の情報端末まで置いてありました(これが1988年であることをお忘れなく)。
例によって、以下はネタバレを含みます。ここから先は、映画を楽しんだ後に、どうぞ!
ナカトミプラザの物理的セキュリティ
セキュリティの問題は、冒頭から飛び出します。我らが主人公のジョン・マクレーンは、同社のビルに入ると、警備員に、自分の妻に会いに来たと言って妻の名前だけを伝えます。名前も名乗らず、身分証も提示しません。ただし、妻の名前を告げても入館させてもらえませんでしたが。彼らの結婚生活は破綻しかけていて、妻は仕事で使う名前を旧姓に変えていたのです。
さて、この警備員は侵入者を問いただすのではなく、情報端末のある場所とエレベーターのある方向を示しただけでした。これなら、基本的に誰でも入館できます。それだけでなく、ストーリーが進行する中で、パスワード保護されていないコンピューターを館内で何度も目にすることになります。どれもこれも、悪意あるメイド攻撃に対して無防備です。
館内システムの掌握
ほどなくして、テロリスト一味が館内に侵入します。彼らは警備員を殺し(クリスマスイブのこの日、任務に就いていたのは2人だけでした)、ビルの制御を握ります。ナカトミプラザ内のシステムはすべて、入口のすぐ隣にあるセキュリティ室内の1台のコンピューターから制御されていたのでした。
この一味の中には、テオというハッカーがいます。テオがいくつかキーをたたくと、エレベーターとエスカレーターは停止し、駐車場は閉じられてしまいます。例のコンピューターはすでに電源がオンになっており(その部屋には誰もいなかったのに)、不正アクセスに対して何の保護も講じられていませんでした。スクリーンロックすらかかっていなかったのです!企業に勤める人間が(それもセキュリティ部門の人が)スクリーンをロックせずにその場を離れるなど、言語道断です。
ネットワークセキュリティ
ナカトミ商事の社長に対してテロリスト一味が突きつけた最初の要求は、同社のメインフレームのパスワードを教えることでした。彼らは何か情報を探しているのだと考えたタカギ社長は、ナカトミ商事のセキュリティ慣行に関する興味深い情報を漏らします。いわく、東京に朝が来れば君たちが入手したデータはすべて変更される、脅迫しても無駄である、と。ここから、私たちは2つの結論を導き出すことができます。
- 東京にあるナカトミ商事の情報システムは、誰がいつ何にアクセスしたのかを常に記録している。これはなかなか良いセキュリティ運用です(タカギ社長がはったりをかけている可能性も当然あります)。
- タカギ社長の頭の中には、時差の概念がまったくない。ロサンゼルスでは、ちょうど夜が来たところでした(一味は夕暮れ時に侵入しており、この会話が交わされているとき、窓の外は暗くなっています)。そうなると、東京は少なくとも翌朝10:30にはなっているはずです。
ナカトミ商事のワークステーションのセキュリティ
一味は、自分たちは正確にはテロリストではない、用があるのは金庫であって情報ではないのだ、と言います。タカギ社長は、東京へ行って運試しするといいと述べてコードを渡すことを拒否し、殺されてしまいます。
興味深いのは、タカギ社長のワークステーションがクローズアップされるシーンです。画面からは、このワークステーションのOSが「Nakatomi Socrates BSD 9.2」であることが見て取れます(明らかに、Berkeley Software Distributionの想像上の後継です)。また、ログインするには「Ultra-Gate Key」と「Daily Cypher」、2種類のパスワードが必要なことが分かります。
その名が示唆するとおり、前者は固定のパスワード、後者は毎日変更されるパスワードです。これぞ、2段階認証の輝かしきお手本です(少なくとも、1988年の水準では)。
金庫へのアクセス
さて、金庫は7つの錠で守られています。1つめはコンピューター化された電子錠、残りのうち5つは機械的な錠、最後の1つは電磁錠です。テオの言うことを信じるなら、最初の錠のコードを解読するのに0.5時間、機械錠を破るのに2時間から2.5時間が必要です。最後の錠は、その時点で自動的に作動しており、ローカルで回路を切ることはできません。
大きな疑念はありますが(私の物理学の知識は多少さび付いているかもしれませんが、電気とは普通電線を通じて供給されるもので、電線は切ることができるものでは…)、それはさておき、次の明白たる欠陥に移りましょう。金庫のセキュリティシステムが錠を作動させる信号を送信可能なのであれば、なぜ、不正侵入の試みがあったと警察に知らせることができないのでしょうか?少なくとも、警報を鳴らすとか?確かに、犯人たちは電話線を切断しましたが、火災警報器は911番(日本の110番、119番に相当)に信号を送ることができたはずです。
そこを無視したとして、テオがコードを解読する様子も興味深いところです。最初に手を付けたコンピューターでは、不可解にも、同社グループ役員(名前は明かされていません)の個人ファイルにアクセスすることができ、そこにはその人物の軍歴に関する情報が含まれていました。思い出してほしいのですが、1988年当時、今の私たちが知っている「インターネット」は存在していません。したがって、この情報はナカトミ商事の内部ネットワークにある共有フォルダーに保管されていたと考えられます。
このファイル内の情報によると、この人物は1940年に「赤城」(実在した日本の空母)で任に当たっており、真珠湾攻撃を含むいくつかの軍事作戦に関わっていました。なぜ、このような情報が、企業ネットワークの共有の場所に保管されているのでしょうか?実に妙です。特に、この空母が金庫のパスワードを解くヒントであるとあっては。
このコンピューターは、頼もしいことに、「赤城」を「Red Castle」という英単語に翻訳します。これがなんと、パスワードなのです。たぶんテオは山ほど試して運良くここに行きついたのでしょうが、理論的に考えても猛烈に早く解読できています。自分が0.5時間で解読できることをどうして前もって分かっていたのか、理由は定かではありません。
それから、脚本家の皆さんは、毎日変更される第二のパスワード、「Daily Cypher」のことをすっかり忘れていたに違いありません。このパスワードがなくても、ロックは解除されます。
ソーシャルエンジニアリング
この犯罪者一味は、警備員、消防、警察に対してソーシャルエンジニアリングをたびたび繰り出します。サイバーセキュリティの観点からいくと、特に注目なのは911番へ通報するシーンです。マクレーンは火災警報器を鳴らしますが、侵入者たちは機先を制して911番に電話をかけ、自分たちは警備員だと名乗り、警報を取り消します。
その少し後、ナカトミプラザに関する情報(具体的には、電話番号と、火災警報取り消し用と思われるコード)が911のコンピューター画面に現れます。一味が消防隊の出動を撤回できたということは、このコードをどこかから手に入れたのでしょう。警備員たちはすでに殺されていましたから、コードは手近なところにメモされてあったに違いありません(取り消しの素早さから考えるとそうなります)。これは、セキュリティ上よろしくありません。
具体的な教訓
- たとえクリスマスイブであったとしても、素性の明らかではない人を中に入れないこと。貴重な情報を保管するコンピューターが館内のあちこちにあるなら、なおさらです。
- 従業員に対し、自分のコンピューターをロックするように、定期的に呼びかける。少し時間が経ったら自動的にロックがかかるようにシステムを設定しておくとよいでしょう。
- パスワードのヒントを含むドキュメントは共有しない。また、共有の場所に保管しない。
- 非常に価値の高いデータへのアクセスに関しては、ランダムに生成された、推測するのが難しいパスワードを使用する。
- パスワードは(それから警報解除用のコードは)、紙にメモするのではなく、安全に保管する。
あとがき
私たちは当初、同シリーズのクリスマス関連エピソード2本を題材とする予定でした。しかし『ダイ・ハード2』を見直し終わったとき、これは空港の情報インフラの構造に存在する基本的な欠陥の話だという結論に至りました。テロリストたちは近隣の教会の下を走る管路を掘り出し、空港の全システム(管制塔も)の制御を握りますが、1990年当時、こうしたシステムの一部はまったくコンピューター化されていませんでした。作中のあれこれを事細かに説明しないと物事の真相にたどり着けないことが判明したので、忙しい年の瀬ということもあり、第1作に絞ってお届けしました。それでは、よいお年を。