真実
世の中には、サイバーセキュリティ文化の浸透を妨げる誤解が浸透しています。その一つ、「ハッカーはとても頭が切れるので対抗するだけ無駄」という誤解は、四半世紀前に公開された米国映画『サイバーネット』で広まりました。大ヒットしたこの映画で使われた台詞のいくつかは、今でも決まり文句として映画業界で使われています。
確かにこの作品では、社会からはみ出した主人公の高校生ハッカーたちと、その敵役となるエリングソン・ミネラル社の情報セキュリティエキスパートのプレーグは、どんな情報システムでも脆弱性を見つけて侵入することのできる、すご腕のコンピューターマニアとして描かれています。
たとえば、主人公たちは学校のデータベースにもケーブルテレビのネットワークにも簡単に侵入します。そのうちの一人であるファントム・フリークは、まったくお金を払わずに公衆電話からベネズエラへ国際電話をかけます。グループ最年少で、ハッカーとしての経験が最も浅いジョーイでさえ、エリングソン・ミネラル社のスーパーコンピューター「ギブソン」にアクセスしています。どれも(1995年当時としては)かなりの手腕に見えますが、彼らが成し遂げたことは実際どうなのか、詳しく検証してみましょう。
※この映画(主人公の一人はアンジェリーナ・ジョリー)は日本では劇場公開されていないので、見たことがない人も多いと思います。ここまで読んでこの作品に興味が出てきた皆様、以降は壮大なネタバレとなりますので、見終わった後にまた戻ってきていただけますと幸いです!
テレビ局への侵入
主人公のデイド(ハンドル名:クラッシュ・オーバーライド)は、テレビ局のネットワークに侵入して、つまらない番組をもっと面白い番組に差し替えようとします。デイドは経理担当の社員になりすまして夜間警備員に電話をし、自分のコンピューターにアクセスしなければならないのだと言ってダイヤルアップモデムの電話番号を読み上げさせます。
これは、基本的なソーシャルエンジニアリングです。一方で、テレビ局側があまりに軽率でもあります—この運の悪い警備員のふるまい以前の話です。なぜ、経理担当のコンピューターが放送管理用のネットワーク上にあるのでしょうか?なぜ、モデムは常に着信を待機しているのでしょうか?そもそも、なぜモデムに電話番号が書いてあるのでしょうか?
デイドが侵入を試みている間に、この会社のネットワークにはすでに別のハッカーが侵入していたことが判明します。ケイト(ハンドル名:アシッド・バーン)です。彼女はどうやって侵入したのでしょう?たぶん、着信待機中のモデムを備えたコンピューターが、ほかにもあったのでしょう。
スーパーコンピューターのハッキング
新米ハッカーのジョーイは、スーパーコンピューター「ギブソン」に侵入します。ジョーイは自宅から、エリングソン・ミネラル社の広報部長のパスワードを使って、モデムを通じてログインしたのです。広報部長が自分のアカウントに使っていたパスワードは「god」。この映画の中では、最もよく使われているパスワードが「love」「secret」「sex」「god」だということを、登場人物全員(この広報部長も、そして同社のセキュリティ責任者であるプレーグも)が知っていたのですが。それだけでなく、この広報部長は、なぜかスーパーユーザーの権限を持っていました。結局、ハッカーたちが成し遂げた「すごいこと」は、創意工夫の結果というよりも、会社の無能さによるものでした。
プレーグの不正行為
ストーリーは、エリングソン・ミネラル社で勤務するプレーグというハッカーの抜け目ない策略を中心に展開していきます。プレーグは、自社で取引が発生するたびにそこから少額を抜き取るマルウェアを作成し、得た利益をバハマの秘密口座に送金していました。この映画の12年前に公開された『スーパーマンIII』でも、似たような手口が使われていました。映画の中ではこのマルウェアのことを皆「ワーム」と呼ぶのですが、このマルウェアが感染を広げたり自己複製したりした話は出てきません(そういうことをするのがワームなのですが)。
プレーグは天才的なサイバー犯罪者ということになっていますが、本当にそう考えてよいのでしょうか?大いに疑問です。彼は情報セキュリティ部門を率いる立場であり、彼以外は誰も、会社のセキュリティのことを分かっていません。しかもプレーグは広報部長と共謀しており、自由裁量を与えられているも同然です。これはインサイダー攻撃です。サイバーセキュリティ上の問題というより、会社人事の問題です。
「ダビンチ」ウイルス
この「ワーム」の一部をジョーイが偶然ダウンロードしたとき、プレーグは「ダビンチ」という名前のウイルスを放ちます(これも、実際にウイルスなのか、それとも1995年当時ほとんどの映画ファンにとって初耳の「ウイルス」という言葉の響きを脚本家が気に入っただけなのか、よく分かりません)。このマルウェアは、標的たるエリングソン・ミネラル社の石油タンカーをリモート制御し、バラストタンクに水を注入して転覆させる能力を持っていました。しかし、この「ウイルス」は実は目くらましだったのです。
プレーグがこれを使ったのは(a)横領を続けている「ワーム」から注意をそらすため、(b)ジョーイと仲間たちを会社へのハッキング容疑で訴え、最終的には「ワーム」の罪をなすりつけるため、そして(c)ジョーイたちをシークレットサービスに引き渡した上で、ジョーイのコンピューターにアクセスして、どの情報が漏洩したのかを突き止めるためでした。もちろん、マルウェアが少しでも多く横領できるように時間を稼ぐためでもあります。
実際のところ、このような「ウイルス」は、当時としては飛躍しすぎでした。そもそも1995年の時点では、航海中の船舶が運航会社のナビゲーションシステムに常時接続しているという発想自体が論外です。第1に、当時も今もナビゲーションにインターネットは必要ありません。当時すでにGPSが完全稼働しており、民間でも利用が可能でした。
第2に、1990年代中期に船舶が常時オンラインだという設定は、事実をゆがめています。その当時、衛星を使ったデータ転送は存在しませんでした。常時オンラインであるためには、音声回線を介した常時モデム接続が必要で、それには桁違いの費用がかかったはずです。
さらに、タンカー(重要インフラに分類してよいでしょう)には、バラスト水の注入をコントロールする予備の手動システムなど存在しません。注水は完全にコンピューター制御になっています。さらに言うと、コンピューターにエラーを起こさせることは、マルウェアがなくても十分に可能です。そうなると、「ダビンチ」ウイルスを機能させるには、船の設計段階から長い時間と手間をかけて、商船に対する破壊工作の下準備を進める必要があったことでしょう。
最終対決に向けた準備
主人公たちは、卑劣なダビンチウイルスを停止し、「ワーム」のコードをすべて手に入れて横領金の行方を突き止めようと決心します。彼らの覚悟については完璧なのですが、映画はこの辺りから迷走し始めます。
シリアル・キラーというハッカーは、電話会社の社員になりすまして米国シークレットサービスの建物に侵入し、盗聴器を仕掛けます(プロフェッショナルであるはずの従業員が、誰一人として腰パン姿のティーンエイジャーを見とがめないのは謎です)。
デイドとケイトは、エリングソン・ミネラル社のごみ箱をあさり、書類を盗み出します。この場面は少しリアリティがあります。今でも、ごみがどこへどのように捨てられるのかをモニタリングしていない企業はありますから。しかし、ごみ箱から拾った書類を詳しく調べたところ、都合のいいことに、会社のシステムへの侵入に使えるパスワードが50個見つかりました。これでは、漏洩というよりダダ漏れです。
ギブソンをめぐる最終決戦
主人公たちはハッカーコミュニティに助けを求め、スーパーコンピューターに対して皆で一斉にウイルス攻撃を仕掛けます。この時点で、映画はついに現実との接点を失います。残念ながら、エリングソン・ミネラル社の情報システムの構造が分からないので、大勢のハッカーたちがどのようにしてギブソンに同時に接続し、さまざまなウイルスをアップロードし、例の「ワーム」をダウンロードできたのか、解き明かすことはできません。
インターネット経由で接続したのか、それとも何らかの方法で社内のモデムに直接接続したのか。それすらもはっきりしません。何にせよ、プレーグはどうにかして攻撃の起点を突き止めます。
ここで、「複数のGPIウイルスとFSIウイルス」という興味深い台詞が耳に入ります。GPIはGeneral Purpose Infectorの略で、今ではほとんど聞かなくなりましたが、実行ファイルに埋め込み可能なウイルスのことです。FSIはFile Specific Infectorの略で、特定のファイル形式を狙うウイルスです。つまり、このセリフは、セキュリティ部門が大量のウイルスを目の当たりにしていることを表しています。
国際電話
映画の中では、ファントム・フリークという名前のハッカーが公衆電話を無料で使うシーンが出てきます。2020年の観点からは嘘っぽく見えますが、実際には一番もっともらしいシーンです。当時は、「フリーキング(電話システムへ侵入すること)」がハッカーカルチャーの中心でした。ファントム・「フリーク」というハンドル名も、そこに由来しています。
ファントム・フリークは、ただで電話をかけるとき、電話機にコインが投入された音を模したトーンを発するデバイスを使います。公衆電話はコインが投入されたと認識して、何分間利用できるかの情報を請求システムに伝達するのです。これが「レッドボックス」です。実際に通用した手法であり、インターネット以前の時代から、ハッカーコミュニティの間ではその手順が広く知られていました。
1995年の時点では、レッドボックスはすたれつつありました。電話会社がこの脆弱性に気づき、周波数フィルター、デジタルチャネルによる多重化、あるいは投入されたコインの枚数を物理的に数える方法など、さかんに対策を講じていたからです。それでも、映画公開当時には、レッドボックスはまだ使われていました。
装備
特に注目に値するのは、ハッカーたちの装備です。裕福な家庭の出であるケイトが使うのはノートPC「P6」で、本人いわく「Pentiumの3倍速い」。ここで言うPentiumとは、Intelのx86系マイクロプロセッサの第6世代であるPentium Proを指しています。当時としては確かに最高性能のチップで、映画と同じ1995年に登場したばかりでした。そして、ケイトのモデムのクロック周波数は28,800 kbps、これも当時としては最速です。
ただしよく見ると、公衆電話ボックスから接続するときに主人公たちは音響カプラーのような装置を使っています。音響カプラーは、音響信号をデジタル信号に変換する装置です。通信速度1,200 kbpsどまりという非常に心もとない装置で、すでに1995年の時点で相当な時代後れです。見た目のインパクトはありますが。
純粋なファンタジー
想像力が極限まで試されるシーンは、ほかにもあります。中でも気になるのは、シークレットサービスの1人を追い詰めようとするときの主人公たちの行動です。
- クレジットカードを停止させる
- 交通違反の前科をでっち上げる
- シークレットサービスのデータベースに、その人物が死亡したとの情報を記録する
どうやったのか具体的な手口は描かれませんが、ここでも明らかなのは、ハッカーたちの創意工夫というより、銀行、警察、シークレットサービスの無能さです。ハッカーたちが仕掛けた手口で唯一説得力があるのは、出会い系サイトにわいせつな広告を投稿することくらいです。しかしこれも、求められているのはハッキングのスキルではなく、独特なユーモアのセンスだけです。
そしてクライマックスでは、このヒーローらしくない主人公たちが信号機をハッキングして大混乱になるという、お決まりのドタバタ劇が展開されます。
結論
映画に登場するハッカーも、超人ではありません。単に人のミスや愚行につけ込んでいるだけです。それに、現実世界の攻撃者のほとんどは、映画の中のハッカーのような「万能さ」を持ち合わせているわけではありません。現実世界のハッカーがどういった手段で私たちのデータを手にしようとするのかを知り、対策を学ぶことは、起きるかもしれないサイバー攻撃の被害から自分や自分の会社を守るためにとても重要なことだと、私たちは考えます。Kaspersky Dailyでは、最新のセキュリティニュースやテクノロジーの紹介、セキュリティのヒントをお届けしています。
ヒント