真実
童話『雪の女王』は、何を描いたストーリーだと思いますか?勇敢な少女が冬の化身(そして、死)と戦って幼なじみの少年を救い出す話? いえ、もう少し考えてみてください。
本当のところは、新進気鋭の情報セキュリティエキスパートのゲルダによる、カイが如何にして高度なマルウェアに感染したのかを追跡する調査を、サイバーセキュリティの専門家たるハンス・クリスチャン・アンデルセンが詳述したレポートなのです。この、世の人が言うところの「童話」は、調査の各段階に対応する7つの話で構成されています。
第1の話:鏡とそのかけら
Securelistに掲載されているエキスパートの記事(あるいは、その道の優れた情報セキュリティ調査レポート)を読んだことのある人ならお分かりだと思いますが、調査レポートはだいたい、インシデントの経緯を説明するところから始まるものです。この点はアンデルセンも同じです。最初の話は、カイの事例の、そもそもの起源を掘り下げたものとなっています。
ある日のこと、とある悪魔が魔法の鏡を作り出しました(アンデルセンのデータによる)。人間の善い性質や美しさを減退させ、悪く醜い面を誇張する力を持った鏡です。この鏡は悪魔の弟子たちのせいで何億もの破片に砕け、人々の目や心臓に入ってしまいました。現実をゆがめる力はそのままに。大きなかけらを窓ガラスにした人もいて、それを通じてものを見る人々の視野をゆがめました。かけらを使ってめがねを作った人もいました。
昔話の語り部が鏡を広い意味での「画面」の比喩によく使うのは、『白雪姫』の事例でも見たとおりですーテレビだったり、タブレットだったり、スマートフォンだったり。
そこで、アンデルセンの言葉を例え話から散文に置き換えると、次のようになります。強大なハッカーがWebサイトを変形させる組み込み型ブラウザーを備えたシステムを作成した。これに続き、ハッカーの弟子たちがソースコードの断片を使って大量のMicrosoft Windowsデバイスに感染し、眼鏡型の拡張現実デバイスにまで感染を広げた。
実際のところ、この現象は珍しくありません。EternalBlueエクスプロイトの漏洩がまさにそれです。このエクスプロイトがWannaCryとNotPetyaの大流行につながり、同様に、そこまで壊滅的ではないその他ランサムウェアの流行につながったのです。話がそれました。童話に戻りましょう。
第2の話:少年と少女
アンデルセンは第2話で、被害者の一人と最初の感染経路について詳しく説明しています。アンデルセンのデータによると、カイとゲルダは隣接した窓(すなわち「ウィンドウ」)を通じてコミュニケーションを図っていました(要するにWindowsベースの通信です)。ある冬のこと、カイは自分の家の窓から、薄くてふわりとした白い服をまとった、奇妙な、美しい女性を見ました。カイがこのハッカーに初めて遭遇した瞬間でした。このハッカーは「雪の女王」のハンドル名で知られていたので、これ以降はハンドル名で呼ぶことにします。
それからしばらくたった後、カイは心臓に突き刺すような痛みを覚え、目にチクリとするものを感じました。これは、アンデルセンが描くところの感染の瞬間です。悪意あるコードがカイの心臓(カーネル)と目(データ入力デバイス)に入り込むと、外部刺激に対するカイの反応は劇的に変化し、入ってくる情報がすべてゆがんで見えるようになりました。
その後しばらくして、カイは完全に家を出ていってしまいます。雪の女王のそりに、自分のそりを結びつけて。なぜかカイは雪の女王を信頼し、自分は分数でも暗算できること、どの国がどの大きさで人口がどれくらいかを知っているのだということを話します。ささいな描写に見えますが、話が進んでいくと、このハッカーが興味を示したのはまさにここだったのだと分かります。
第3の話:魔法を使う女性の花園
ゲルダは自力での調査を開始し、その中で偶然、とある女性に出会います。この老婆はどういうわけか、ゲルダの調査を妨げます。第3話の中で私たちが一番興味を引かれるのは、この魔法使いがゲルダの髪の毛を櫛でとかし、カイのことを忘れさせるくだりです。
この老婆は、何らかの方法で、調査に関連するデータを破損させたのです。彼女が選んだツールは「櫛」でしたが、櫛についてはグリム兄弟も『白雪姫』の中で触れていました。継母が白雪姫をロックする際に、やはり櫛が使われていたのです。偶然でしょうか?それとも、この2つのインシデントには関連があるのでしょうか?
ともかく、白雪姫のときと同じように、櫛によるロックは永久的ではありませんでした。データは復旧され、ゲルダは調査を継続します。
第3話の終わりの方で、ゲルダは魔女の庭に咲く花たちに、カイを見なかったかと尋ねます。これはおそらく、古きメッセンジャーのICQの暗喩でしょう。ICQのロゴは花でしたから(ステータス表示も花でした)。ゲルダは自分の知る連絡先にあたりながら、追加情報を探し求めたのでした。
第4話:王子と王女
調査の第4段階は、物語の筋に直接関係ないように見えます。ゲルダは、カイの情報を政府のデータベースで調べようとして、政府のビル(お城)へのアクセス権をくれるカラスと知り合いになります。
結果として得られるものはありませんでしたが、ゲルダは律儀にも、情報セキュリティ上の脆弱性となっているカラスのことを政府に知らせました。王子と王女は、カラスに対して「お前たちのことは怒ってはいないけれど、二度とそんなことをしないでおくれ」と伝えることで脆弱性を修正しました。彼らがカラスを罰することはせず、シンプルにふるまいを改めるように求めた点は、注目に値します。
王子と王女は、報酬としてゲルダにリソース(馬車、暖かい衣服、召使い)を提供しました。脆弱性を報告したリサーチャーに対して組織が取るべき対応の好例です。この報酬がこのとき限りではなく、正式なバグ報償金プログラムに発展したことを願いましょう。
第5話:追いはぎの娘
この話の中で、ゲルダは追いはぎの手に落ちます。この例え話でアンデルセンが表現したのは、前段階で調査が袋小路に入ったために、ゲルダが、いわゆる法に従っているとは言えない勢力に頼らざるを得なくなったということでした。
このサイバー犯罪者(追いはぎ)の娘を介して、ゲルダは情報提供者たるハトに接触します。このハトは、カイの件の黒幕が誰なのか知っていました。ゲルダはまた、有益なダークネットのコンタクト先を知るトナカイとも接触しました。ただし、代償は小さくありませんでした。前話で得たリソースのほとんどを、ゲルダは失いました。
この若きリサーチャーの品位を損ねないために、アンデルセンは、サイバー犯罪者との取引を「やむを得ないこと」だったと説明付けようとしています。最初に彼らがゲルダのものを奪い、後に彼女を哀れに思って情報を提供した、と言うのです。ただ、あまり説得力はありません。むしろ、お互いにとって利益のある取り決めであったように見えます。
第6話:ラップランドの女性とフィンランドの女性
この話では、追いはぎから得たダークネットのコンタクト先を通じ、調査に必要な情報収集の最終段階を迎えます。トナカイはゲルダをラップランドの女性に引き合わせます。ラップランドの女性は、次の情報提供者であるフィンランドの女性に宛てて、推薦文を干し鱈に記します。
フィンランドの女性は、これを受けて「雪の女王の庭」(これは明らかに指令サーバーの名前です)のアドレスをゲルダに提供します。ここで、ちょっとしたできごとがありました。干し鱈に記されたメッセージを読んだ後、フィンランドの女性は干し鱈をスープの中に投げ込んでしまったのです。彼女は、不要な痕跡を残さないことの実際的重要性をよく理解していたので、OPSEC(運用におけるセキュリティ)のルールに従ったのでした。彼女がベテランであることの現れです。
第7話:雪の女王の城で起きたことと、その結果
第7話では、そもそもなぜ雪の女王がカイを必要としたのかが、ついに明かされます。カイは氷のかけらを組み合わせて「Eternity」(永遠、の意)という言葉を作ろうとしていました。どうかしている?いや、そんなことはありません。仮想通貨マイニングについての過去記事を読めば分かります。仮想通貨の採掘者は、ハッシュを得るためだけでなく、最も「美しい」ブロックを算出するために、情報のブロックを組み直しているのです。
カイは、「Eternity」という言葉として表れるハッシュを得るために、情報の断片を組み直そうとしているのでした。この段階で、アンデルセンが第2話でカイの演算能力に注目していた理由が明らかになります。これこそ雪の女王が求めていたものであり、カイは仮想通貨マイニングの目的でマルウェアに感染させられたのでした。また、雪の女王が北方と寒さに異常にこだわる理由の説明にもなっています。高性能なマイニングファームは非常に熱を発するので、とにかく冷却が必要なのです。
ゲルダはカイの凍り固まった心臓を涙で溶かし(さまざまなツールを使って悪意あるコードを除去してシステムカーネルのコントロールを取り戻し)ます。それからカイはわっと泣き出しますが、これは内蔵のウイルス対策機能(カーネル内の感染モジュールによってブロックされていたもの)がアクティベートされ、第二の悪意あるコードを目から除去したことを表します。
レポートの結びの部分は、現代の常識から見ると少々変わっています。これから出てくるかもしれない被害者へ向けたアドバイスやシステム侵害のIoCなど有益なヒントを残すのではなく、アンデルセンは二人が帰郷する様子を長々と描写しています。おそらく、19世紀には、情報セキュリティレポートはこうやって締めるものだったのでしょう。
以前も述べたように、童話の語り部は、ビジネスにおける最古のサイバーセキュリティ専門家です。雪の女王の事例は、そのことを新たに裏付けています。ここまで見てきたとおり、この物語は複雑なインシデントの調査を詳細に説明しています。このほかにも、有名な童話に関する分析を公開していますので、ぜひご一読ください。
ヒント