2017年10月18日

ドラマ『Mr. ROBOT』で学ぶセキュリティ

ヒント

米国のドラマ『Mr. ROBOT』(ミスター・ロボット)は、世界中で人々の心をわしづかみにしました。このドラマは情報セキュリティの世界を魅力的に描き出すと同時に、私たちの誰もがサイバー攻撃に対して脆弱であることを知らしめてもいます。主人公のエリオットとハッカーグループ「f・ソサエティ」が、普通の人のアカウントはもちろん、あらゆる企業をハッキングしていく姿を見ると、どこにいても何であっても安全ではないように感じられてきます。

しかし、注意深く見ていると、各シリーズに登場したハッキング被害者の多くが自分の無知や不注意が原因で自分自身を危険に晒していることに気づきます。彼らのどこに問題があったのか、いくつか検証して対策を見ていくことにしましょう。ガイ・フォークスのマスクを被った誰だか分からない人物にデータを奪われ、犯行声明の動画を呆然と見つめるようなことにはならないようにするためにも。

『Mr. ROBOT』は、セキュリティ専門家の間でも、登場するハッキング方法のリアリティが非常に高いと評価されています。

強いパスワードを使うこと

エリオットは苦もなく知人や他人のアカウントをハッキングし、情報にアクセスします。彼が使うのは、狙ったアカウントのパスワードと一致するまで一致しそうな文字の組み合わせを延々とプログラムに試させる「ブルートフォース」という手法、または、ブルートフォースの簡易版である「辞書攻撃」です。よく使われる単純な文字や単語の組み合わせたパスワードであるほど、正解にたどり着く時間は早くなります。

以降、シーズン1のネタバレあり!注意! 

パイロット版の中で、エリオットはセラピストのクリスタのアカウントをハッキングします。パスワードは「Dylan_2791」、好きなアーティストの名前と自分の誕生年を逆にした数字の組み合わせです。SNSに書かれているちょっとした個人情報と公開情報だけで、エリオットには十分でした。

エリオットはまた、同僚のオリー・パーカーのアカウントのパスワードが「123456Seven」であると突き止めます(オリーがサイバーセキュリティ企業に勤めていることを考えると、こういうパスワードを選ぶという描写は示唆的です)。オリーのアカウントを1つ突き止めた後、エリオットはその他のアカウントにも簡単にアクセスしています。

インターネット上にあるものはすべてつながっていることは、みなさんもご存じのとおりです。こんな事態に陥らないよう、適切なパスワードを使いましょう

自分のデバイスに関しては他人を信用しないこと

フードを被った見ず知らずの人物に携帯電話を貸すことはないと思いますが、自分のデジタルデバイスは誰にも渡さないでください。前述のパイロット版エピソードで、エリオットは、電話をかけたいからと言ってクリスタのボーイフレンドに携帯電話を借ります。エリオットは自分の携帯電話に電話をかけて彼の電話番号を手に入れ、最終的には彼に関する膨大な情報へアクセスすることになります。

エピソード3では、E CorpのCTOであるティレル・ウェリックが、従業員のAndroidスマートフォンのroot権限を入手する(事実上、スマートフォンのシステムを制御下に置く)シーンがあります。従業員が数分ほど席を離れた隙に、アイコンが表示されないようになっているアプリを使って自分自身を特権ユーザーに追加設定するというのが手口です。

携帯電話やPCを、置きっ放しにしたり他人に渡したりして目の届かないところにやらないこと。また、デバイスにどんなアプリがインストールされているかを確認し、非表示になっているソフトウェアを検知するセキュリティ製品を使って定期的にスキャンしましょう。もちろん、どのデバイスも漏れなくパスワードロックを設定するのをお忘れなく。

個人情報は他人に教えないこと

秘密の情報は、特に電話越しで誰かに教えないでください。ほとんど知らない人物(クリスタのボーイフレンド)の電話番号を入手したエリオットは、ソーシャルエンジニアリングを使います。エリオットは、銀行員のふりをしてクリスタのボーイフレンドに電話をかけ、彼のアカウントにセキュリティ上の問題があると伝えます。そして、問題の解決を名目に、秘密の質問の答えなど具体的な情報を引き出しました。

会話の終盤には相手も不審に思い始めるのですが、エリオットは、すでに十分な情報を手に入れていました。想定される単語をパスワードハッキングプログラムの用語集に追加し、辞書攻撃を使ってわずか数分でアカウントをハッキングしてしまいます。

パスワードのセキュリティについては先に解説したとおりですが、それ以外にも、心に留めておきたいことがあります。たとえ銀行員を名乗る人物からの電話であっても、秘密の質問など重要な情報を電話越しに教えてはなりません。

正体不明のリムーバブルメディアをPCで読み込まないこと

エリオットはオリーのことを間抜けだと思っていますが、それには理由があります。オリーは基本的なサイバーセキュリティがなっていないのです。単純なパスワードを設定するという失態の後、オリーはさらに深刻なミスを犯します。ストリートミュージシャンのラッパーらしき人物から渡された音楽CDを、PCで読み込んでしまうのです。

実はこのラッパー、ハッカーグループのメンバーでした。ディスクからインストールされたソフトウェアは、Webカメラを通じてオリーの行動を監視し、システムのコントロールを握ります。個人的なファイルもハッカーの手に落ち、脅迫材料となってしまいます。

もう1つ例を挙げましょう。エピソード6で、エリオットは刑務所の駐車場でUSBメモリをわざと落とすのですが、それを拾った警備員は業務PCに挿してしまいます。警備員にとっては幸いなことに、アンチウイルス機能が作動してUSBメモリに入っていたマルウェアの起動は防ぐことができました。

インターネットに投稿する情報には気をつけること

オンラインで共有した情報は、誰もが見ることができるだけでなく、あなたを攻撃する材料として使われる可能性もあります。エピソード2で、エリオットは麻薬の密売人を警察に突き出しますが、証拠としたのが密売人たち本人のツイートでした。

『Mr. ROBOT』は、日々の生活の中でなぜサイバーセキュリティの基本を知っておくべきなのか、その理由をフィクションの形で描き出す優れた作品です。データやプライベートな日常を守るために実際に直面する課題を、現実的で有益な形で目の前に展開してくれます。

ちなみに、シーズン3は間もなく放映開始です。お楽しみに!