ウィリアム・ギブスンが未来を描いた短編小説にインスパイアされた、1995年の映画『Johnny Mnemonic』(邦題『JM』)。この中に描かれた世界は、まさに典型的なサイバーパンクです。最先端で、危険で、ものすごく進んでいて、とてつもなくテクニカルで。映画の舞台が2021年初頭であることから、実際の2021年の様子と比べつつ、サイバーセキュリティの観点からこの映画を分析することにしました。
※例によって、この後はネタバレを含みます。
映画の舞台
映画の舞台は、複数の巨大企業によって支配され、Nerve Attenuation Syndrome(NAS)と呼ばれる神経衰弱の疫病がまん延する、かなり陰鬱な感じの世界です。この疫病の原因は、登場人物の言葉を借りると「情報過多!周りにある電子機器は全部、電波を汚染している」こと、つまり電磁波による環境汚染です。
巨大企業、感染症の世界的流行、新テクノロジーの展開をめぐる陰謀論(英語)。何だか聞き覚えがありませんか?ただ、当たっているのは一部分だけです。この映画に描かれる2021年では、ギガバイト級の情報を格納できるマイクロチップを人間の脳に埋め込むことが可能です。一方の現実は、イーロン・マスク氏の努力にもかかわらず、そこまでには至っていません。1980年代や1990年代の映画にありがちな奇抜な仮想現実世界としてのインターネット描写については、あえて深く突っ込みませんが、あれは、少なくとも2021年時点のインターネットではありません。
巨大製薬企業「ファーマコム」
さて、NASの治療法は存在しますが、大手製薬会社ファーマコムはその存在を隠しています。人類をこの疫病から解放するよりも、症状に対処する方がはるかに大きな利益になるのです。同社の一部社員はこれをよしとせず、同社の医療情報を盗み、社内のデータを破壊します。
ファーマコムのセキュリティシステムに、大きな問題が多々あることは明らかです。
- 同社の研究者に与えられたデータアクセス権限が寛容すぎる。薬の開発に携わる人間が運用情報を読むためにアクセス権が必要なのはそのとおりですし、サーバーに書き込む権限も必要です。しかし、機密情報を永久に削除する権限まで与えているのは一体どういうことでしょうか?
- 同社はデータのバックアップを取っていない(少なくとも、オフラインのバックアップは無い)。映画のストーリーの大半を占める「記憶の運び屋」を執拗に追う描写は(詳しくは後述)、この企業がどうしてもそのデータを取り返す必要があったことを示しています。バックアップがあれば、ファーマコムはただデータを復旧し、流出した情報と運び屋を始末するだけで済んだのです。しかしバックアップは無かったので、ジョニーの頭部に埋め込まれたデバイスに損傷を与えることなく首を持ち帰らねばならない事態に追い込まれたのでした。
このほか、ファーマコムのネットワーク内に創設者の意識のデジタルコピーがあったことにも触れておくべきでしょう。このAIは自由意志を持つだけでなく、同社が異常に巨大化していくやり方とは意見を異にする傾向があります。
レジスタンス集団「ローテク」
レジスタンスとして登場するのが「ローテク」と呼ばれるグループです。原作の小説では反テクノロジーの集団ですが、映画ではかなり現代的です。彼らと生活を共にしているジョーンズは、サイボーグのイルカで、価値ある情報をハッキングして取り出すスキルを持っています。取り出した情報は、ローテクのメンバーによって、ハイジャックしたテレビジョン信号を使って送信されます。ローテクのシェルターの中心には、電線やブラウン管テレビなどのがらくたが山をなしています。
こうした行動にもかかわらず、ローテクに注意を払う者は(その居場所を知るものすら)、彼らがジョニーと接触するまでいませんでした。
オンライン通信
ジョニーは知り合いと連絡を取ろうとしますが、その中で、ヤクザと通じているファーマコムのエキスパートたちがジョニーの通信をトラッキングしていたことが明らかになります。ファンタジー世界の2021年では、現実の2021年よりもプライバシー事情がよくないようです。
ハッカーでもあり情報の密かな運び手であるジョニーだったら、オンラインでの匿名性を保てそうではあります。しかし、ジョニーの通信のことは皆が知っていましたし、情報セキュリティのエキスパートたちはすぐにジョニーの存在を嗅ぎつけ(彼は、まったく新しい、盗んだコンピューターから、何らかの秘密のモジュールを使ってオンラインになっていたのですが)、彼の居場所をピンポイントで特定しました。
その途中でファーマコムは「ウイルス」を発動し、ジョニーの通信を妨害します。映画ではよくあることですが、「ウイルス」という言葉はかなり緩い定義で使われています。この映画の場合、実際のコンピューターウイルスというよりはDoS攻撃ツールのようなものを指すようです。
記憶の運び屋
さて、ここからが本作のメインテーマです。主役の職業を考えると、情報セキュリティと直接的な関連があるテーマなのが分かります。記憶の運び屋であるジョニーは、文字どおり、自分の頭の中にデータストレージを持っています。ジョニーのような運び屋は、インターネットに委ねるわけにはいかない非常に価値の高い情報を密かに運搬するために利用されます。組織に反逆する研究者たちは、ファーマコムから盗み出した医療データを米国ニューアークにいる医師たちの元へ届ける運び屋として、ジョニーを選んだのでした。
埋め込みデバイスの仕組み
ここに関与するテクノロジーがどういったものかは、よく分かりません。データは脳に直接格納されます。データを入れる空きを作るため、ジョニーは子どものころの記憶をほとんど犠牲にしなければなりませんでした。通常の容量は80GBですが、外部のボックスに短時間接続することで160GBにまで拡大できます。ただし、その2倍の320GBにまで拡張することも実際には可能です。そうすると脳が圧迫されるため、運び屋はてんかんのような発作に見舞われたり鼻血が出たりすることがあり、運ぶデータにもダメージが及ぶ恐れがあります。
映画の中では、埋め込みデバイスの検出は難しくありませんでした。例えば、国境を越えるときには全身をスキャンされるので、データを保管するデバイスが見えてしまいます。しかし、スキャンはうわべだけのものらしく、脳に埋め込まれたデバイスは失語症対策用デバイスだと判定されます。このようなデバイスを見ても国境警備員が怪しまないのはなぜか、今ひとつはっきりしません。
データ保護
データ保護の方法は独創的です。データのアップロード中に、送り手はテレビ画面のスクリーンショットを無作為に3枚作成します。これらの画像は「データ内に溶解」し、「ダウンロード用の鍵」の役割を果たします。画像がないと、データをダウンロードできないばかりか削除することもできません。したがって、同じ画像を受取人にも送らねばなりません。この様子からして、この保護手段はデータ暗号化に関与していますが、埋め込みデバイスへのアクセス手段にもなっています。
データをアップロードして間もなく、研究者たちはファーマコムに雇われたヤクザに襲撃されます。銃撃の中で画像のうち1枚が破壊され、1枚はジョニーの手元に残りますが、もう1枚は襲撃者の手に渡ります。
鍵の送信
さて、この「鍵」はFAXで送信されます。当時としては、そんなにおかしいことではありません。現実の2021年ではFAXが廃れていますが、FAXは電話網を直接利用するためインターネットを使って送信するよりも安全なので、FAXで送るのにはそれなりに意味があります。ただ、FAX送信だと画質が落ちます。しかも、この映画の中では、FAX機はどれもインターネットから利用できるようになっていました。それでは意味がありません。
ヤクザから逃れたジョニーは、失った画像を取り戻そうとします。ジョニーは、画像の送信に使われたFAX機とそのログが、とあるホテルの情報システム内にあることを突き止めます。アクセスに必要なパスワードは、総当たりをかけた3回目のトライで判明しました。ということは、大して強力なパスワードではなかったのです。この点も、現実の2021年と完全に一致していると言わざるを得ません。多くのホテルでは、セキュリティといえば、ドアの前に立つ警備員のことなのです。何にせよ、ジョニーは受取人のFAX機のアドレスを何とか手に入れました。
そのFAXへの接続には、認証は不要でした。それだけでなく、リモート接続することでバッファーから誰でもデータが読めるようになっていました。FAXを使った情報伝達は、機密データのやりとりにはまったく不向きです。
鍵がない状態でデータを取り出すには
状況は絶望的でした。鍵となる画像がない以上、ジョニーは自分の頭の中にあるデータをダウンロードすることも削除することもできず、許容量の2倍以上のデータを抱えたままです。ジョニーは間もなく死ぬでしょう。そして、疫病を治癒するための情報は失われてしまいます。
いや、鍵が無くても、情報を取り出す方法はいくつもあります(もたらされる結果の深刻さはさまざまですが)。
- ヤクザは、ジョニーの首をはねて頭を持ち帰り、「量子干渉探知器」なるものにかけてデータを取り出そうとしていたはずです。
- デバイス埋め込みの専門医は、何らかの「復号コード」を持っています。運が良ければ、これを使ってデータを取り出せたはずです。このときはうまくいきませんでしたが、あらゆるものが「時にはうまくいくときもある」と示唆しているように見え、この暗号アルゴリズムの信頼性には多大な疑問が生じます。
- その医師は、外科的な手段でデータと埋め込みデバイスを取り出すことを提案しました。患者の生命にとって(もちろん健康上でも)大きなリスクであるのは確かですが。
- イルカのジョーンズは、敵の潜水艦をリモートハッキングする訓練を米海軍で受けていました。ジョニーの頭に対してそのテクニックを試すこともできたはずです。
- ヤクザの手先は、データをダウンロードして削除した後でも、「記憶センサー」でデータの残痕から復元可能だと述べています
結論
記憶の運び屋を利用しても意味がありません。この情報伝達方法は、どうやら対称鍵暗号(共通鍵暗号)方式を使っているようです。この方式では、鍵の複雑さにかかわらず、データの受信者に鍵を渡す必要があります。この運び屋式伝達方法は、保護されていない通信経路で鍵を伝送しますし、埋め込みデバイスへデータを過剰にロード可能なことで安全規制違反が生じ、運び屋の健康とデータの完全性の両方が脅かされています。しかし、この方法の一番のウイークポイントは、鍵が無くてもデータを取り出す方法が多数存在する点にあります。
それだけでなく、画像が2枚しかなくても、海を駆ける親友に助けられながら、ジョニーは自分の脳をハッキングして3枚目の画像を取り出しています。これでいくと、暗号化されたデータの中に鍵が格納されていても、安全性には大いに問題があるということになります。
実際の2021年では、インターネットを通じてデータを送る場合には、信頼性の高い非対称暗号(公開鍵暗号)方式を使ったほうが簡単です。データを送ったという事実を隠すことはできませんが、相手に確実にデータを届けることができます。それから、現実の2021年の尺度では、320GBというボリュームは大した大きさではありません。
現実になったこと、ならなかったこと
現実の2021年は、映画制作者たちが思い描いたほど荒涼とした世界ではありません。少なくとも、映画制作者たちが思い描いたような方向の荒涼ぶりではない、と言いましょうか。サイバーセキュリティは、長き道のりをやって来ました。では、ここまで見てきたもののうち、現実となったのはどれだったか、答え合わせすることにしましょう。
- 現実の2021年には、マルチテラバイト級の機密情報が、ワクチンデータを含め、しょっちゅう流出しています(リンク先は英語)。ファーマコムのデータ漏洩事件はもっともらしい出来事であり、大いにあり得ます。
- 内部関係者による攻撃や妨害工作も、珍しいことではありません。最近の事例も医療関連でした。
- 人工知能、すなわち自己認識する生きたオンラインの存在は、(少なくとも私たちの知るかぎり)まだ存在しません。
- ハッキングのスキルを持ったサイボーグイルカは、少々現実離れしています。多くのSFで予想されたのに反し、イルカは人間の情報を理解するに至っていませんし、電子機器も使っていません。
- 一方で、電波ジャックは現実にあります。ただし、実行規模は一般に小さく、侵入者はすぐに特定されます。
- 特定アドレスからの接続に基づいてオンラインで個人を特定することは、実際にあります。しかし、特定するには大がかりな下準備が必要です。
- 2つのネットワーククライアント間の通信に対するDoS攻撃は、現実にあります。ただし、ウイルスを使うのではなく、通信チャネルを無効化するという形で行われます。
- 脳へのチップ埋め込みは、まだ実現していません。最近の実験では、データ格納ではなくコンピューターとの通信用の神経インターフェイスに焦点を当てています(英語記事)。
- 人間の運び屋の脳にデータを送り込むことでデータを転送するというのは、非現実的なだけでなく、無意味でもあります。暗号化のおかげで、私たちはインターネットを介してデータを簡単に、そして安全に送信することが可能なのです。