[SECURITY] ほこたて 6/9放送のハッカー対決

フジテレビの人気バラエティー番組「ほこたて」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティプログラム」対決があまりにも酷い構成であった。
防御側の状況も分からず、攻撃側の侵入方法も分からず、しかも放送されていた部分は誤った表現を使っていて、メチャクチャだったらしい。
「らしい」というのは、防御側のネットエージェント社社長、杉浦氏のツイートによる裏側の詳細説明によってわかったから。
攻撃側の楽天ハッカーたちからの弁明はまだ無い。

まず、番組中にネットエージェントの最強セキュリティプログラムとして紹介されたのは「防人」というツール。これはメールに添付されたウィルスを無効化するソフトで、侵入の一部を防御するツールに過ぎない。それ以外に何をもって防御していたのか一切が不明。
防御対象のシステムがどのような条件であったのか一切不明。

常識的に考えると、番組も「最強」を言う以上、可能な防御の最大限だと思ってしまうだろう。ところが、それが全く違っていた。

防御側からすると、最低限Firewallを噛まして、IPSももちろん導入、OSは最新バージョンの最新パッチ適用済み、無駄なサービスは停止、セキュリティ対策ツールは当然インストールするというのが最低ラインだろう。ところがそうではなかった。

杉浦氏のツイートによって分かったことは次の通り。

・Stage1は、SP無しのWindows2000 Server (SSH/RDP有効で、パスワードがユーザ名と同じという大きすぎる穴)
・Stage2は、SP無しのWindowsXP (SSH/RDP有効で、パスワードがユーザ名と同じという大きすぎる穴)
・Stage3は不明

ルールとしては1枚の写真を3分割して、それぞれのステージのPC内に隠し、それを不正侵入した楽天ハッカーが見つけられるかというもの。

スタートして30分後、あっさりと楽天ハッカーは侵入に成功する。
ところが、楽天ハッカーの侵入方法は番組中では詳しく説明されなかった。

防御側の前提条件を知らずに番組を見ていて思ったのは、「メールに添付されたマルウェアから防御する『防人』なのに、無人のPCでどうやって防人を突破したのだろうか? メールが届いたら全部自動的に開封し、添付ファイルお自動的に開くような設定にしてあったのだろうか? それとも防人の脆弱性を突いて突破したのか?」という疑問であった。

実際には13年以上前のOSで、脆弱性もたくさん残された素のWindows2000である。技術的に侵入できないのがおかしい。
ところが楽天ハッカーたちは不正侵入ツールを試して脆弱性を突いて攻略したが、不正侵入まではできなかったらしい。
「30分であっさり侵入」というのは、嘘であった。

そこで楽天ハッカーたちは番組ディレクターに「ソーシャルエンジニアリング」をかける。
要するに答えを知っている番組ディレクターを騙して答えを聞き出したわけだ。
番組構成上、ソーシャルエンジニアすらでなく、ディレクターが意図的に不正侵入を成功させた可能性もあるが、それは個人の感想。

杉浦氏のツイートによると「(楽天ハッカーたちは)侵入できるまでに2回心が折れて、ディレクターにソーシャルエンジニアリング仕掛けてやっと成功。」とのこと。

侵入後の動きも怪しい。

目的の写真を探すとき、まるで思いついたかのように「三分割されているということは、縦長になってるんじゃないか」と言い出した。
でも、普通は三分割=縦に切るというわけではない。もしかしたらパノラマ画像だったかもしれないし、横に切ったかもしれない。技術者的には単純にファイルをぶった切ったと考えるのもありえる。
よって、この部分もいわゆるソーシャルエンジニアリングという番組スタッフからの楽天ハッカーたちへの重要なヒント情報だったのかもしれない。

Stage2でターゲットの画像を隠すために、防御側は「ファイル名を変更」したとある。これも番組構成上の嘘であった。
実際にはファイル名変更ではなく、TrueCryptというツールによる暗号化であった。
ファイル名を変更しただけなら、Stage1で見つけた画像のサイズや比率、および両端部分の画像パターンから比較して機械的に探すことは容易だったはずだ。

楽天ハッカーたちが「ルール内では無理」というのは、暗号解読だけでもタイムオーバーになってしまうのは確実だったために、何も手を出せずにギブアップしたというわけだ。

総じて、「不正侵入をして情報を盗み出す」という勝負については守る側がとても強い。それに対してフジテレビが連れてきた「最強ハッカー」には凄く期待したのだが、楽天の社員と紹介されて「アレレ?」と思った。本当に最強なのか?

意図的に大きな侵入経路を用意してあげるとか、答えを知ってるスタッフが答えを教えてあげるとか、実際の攻防ではありえない条件があって、とても酷いバラエティ番組であった。
攻守の能力のバランスが悪く、番組企画的にも成立していなかった。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です