おばあちゃんをハッキングせよ:難易度は「楽勝」

ウチにはハッキングされるものなんてない!・・・そんなことはありません。ある実験で、ハッキングの不安はないと豪語していた年配女性の持ち物から、善意のハッカーたちが大量の個人情報を入手しました。

grandma-hacked-featured

サイバー世界の諸悪の根源はテクノロジーにあり、最先端のスマートデバイスを使わなければ、恐ろしいサイバー脅威はどこかへ行ってくれる。Wi-Fi接続の(または無線スイッチや管理機器に接続された)スマート冷蔵庫やスマート洗濯機がなければ、安全なはず。そう思っている人も多いことでしょう。ですが実際は、ハッキング可能なモノを誰でも持っています。

米国人の年配の女性、パッツィー・ウォルシュ(Patsy Walsh)夫人は、HakcerOneの最高経営責任者(CEO)であるリード・ローデン(Reed Loden)氏と、共同創立者のマイケル・プリンズ(Michael Prins)氏の実験に協力することに同意しました。そして、夫人の身の回りのものをハッキングできるかどうか2人の善意のハッカーに試してもらいました。ウォルシュ夫人によれば、ハッキングされるものなど1つもありません。今回の実験では、記録係としてNew York Timesの記者も招かれました(英語記事)。

ウォルシュ夫人は、いわば「進歩的なおばあちゃん」です。6人の孫がおり、ラップトップ、友人や家族と近況を報告しあうためのFacebookのプロフィール、衛星テレビ、車を持っていました。お気付きでしょうが、先ほどの宣言とは裏腹に、ハッキングできるものは山ほどあったのです!

まずハッカーたちは下準備にかかりました。ウォルシュ夫人のFacebookページを訪れたところ、最近change.orgの活動に参加していることがわかりました。そこでリサーチャーはchange.orgになりすまし、夫人が住むカリフォルニア州マリン郡の土地所有権に関する活動への署名を求める偽メールを10分ほどで作成し、送信しました。

「進歩的なおばあちゃん」は案の定、メールを放っておくことができず、署名することにしました。しかし、メールのリンク先はchange.orgではなくフィッシングサイトです。こうしてハッカーたちはウォルシュ夫人のパスワードを入手しました。なお、このパスワードは後で夫人が認めているように、別のサービスでも使い回されていました。

結局、たった1本の偽メールでウォルシュ夫人のデジタル人生は完全に乗っ取られました。これがホワイトハッカーではなく悪意あるハッカーの仕業だとしたら、どうなっていたでしょうか。夫人のデータは不正な活動に利用されていたはずです。

その後、HackerOneチームはウォルシュ夫人宅を訪れ、1時間半足らずでガレージの簡単なデジタルロックに対する総当たり攻撃をやってのけました。それからもう少し時間をかけてDirecTV衛星テレビをハッキングし、夫人をアダルトチャンネルに加入させてしまいました。

次に、2人は夫人のラップトップを掌握しました。パスワードをすべてメモした付箋がホームルーターに貼ってあったので、ハッキングはあっという間に完了です。ラップトップに侵入後、社会保障番号、PayPalのパスワード、航空会社のマイレージアカウント、保険プランなどの個人情報を入手。さらには、委任状までも入手できたのです。

しかも、ホワイトハッカーたちはウォルシュ夫人のデジタル世界に足を踏み入れたのは自分たちが初めてではないことに気付きます。夫人のラップトップはいくつもの悪意あるプログラムに感染しており、中には別のマルウェアのインストール、ブラウザー履歴の追跡、悪意ある広告への情報提供などを行うものがありました。デジタルリテラシー(ネット常識力とも言いましょうか)の低い人が持っているラップトップは保護レベルが低く、攻撃者にとって格好の標的となるのです。

それでも、夫人はこのハッキングの実験から得るものがありました。1つ目は、サイバーセキュリティの基本を早めに学べたこと。そして、ガレージのロックを新調し、Webサービスごとにそれぞれもっと複雑なパスワードを使う必要があることも。

2つ目は、ハッカーたちが11月の感謝祭の頃に再訪し、夫人のラップトップからマルウェアをすべて除去すると約束してくれたこと。結局のところ、この実生活の例からもわかるとおり、本人がハッキングされるものはないと思っていても、ネット常識力が高くない人のデジタル生活はいとも簡単に奪われてしまいます。

そのうち、私たちの周りはハッキング可能なモノだらけになります。誰もがPCを使い、ほとんどの人はスマートフォンを手放せません。ルーター、スマートウォッチ、ゲーム機、スマートテレビを持っている人は大勢いて、これらのデバイスはどれもサイバー犯罪者の標的になりかねません。

上で列挙したモノはハッキングされにくいと思われていますが、こうした製品の保護レベルは、昔からPCよりはるかに下です。ガレージのロックが良い例です。総合衛星ナビシステムを搭載し、渋滞情報をリアルタイムでダウンロードできる車は?ハッキング可能です。衛星ナビを搭載していなくても、キーレスエントリーに対応している車はどうでしょうか。もっとハッキングしやすいです(英語記事)。


それに、デジタルデバイスを持っていなくてもハッキングは可能です。個人に関する大量のデジタルデータは、病院、地方自治体、航空会社、銀行、店舗、保険会社など、さまざまな行政機関や民間企業のデータベースに保存されています。

こうしたデータもハッキング可能です。ハッキングされたとしたら、想像を絶する被害をもたらします。最近の調査発表によると、一部の西側諸国では何もハッキングしなくても、任意の人物を「死亡」データベースに登録できることがわかりました。標的となった人物は、事実に反することを証明するのに苦労することでしょう。

こうした脅威から完全に身を守ることはできません。今乗っているボートが何かの拍子に転覆する恐れがあるのと同じです。とはいえ、外出前に天気予報を確認し、一通りの航海術を身に付け、ライフジャケットを着用していれば、脅威による被害は最小限に抑えられ、快敵な時間を過ごせるかもしれません。

サイバーセキュリティ問題にも、同じことが言えます。どうやってデータに不正アクセスされるのかを知り、できるだけそんなことが起きないように手立てを講じましょう。強固なセキュリティ製品を使うのはもちろんです。それと、パスワードをメモした付箋をルーターに貼り付けたりしないでくださいね。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?