USBを拾わせ…合法ハッカーが明かす最新ハッキング術 〈AERA〉|AERA dot. (アエラドット)

AERA dot.

USBを拾わせ…合法ハッカーが明かす最新ハッキング術

このエントリーをはてなブックマークに追加
AERA

 草場英仁氏はハッカーである。ただし契約企業の了解を得て、その企業のシステムを攻撃、弱点と強化策をアドバイスする「合法的」ハッカー。三井物産系セキュリティー会社と東京大学に籍を置くハッキング技術の専門家なのだ。

 都内のコーヒーショップで取材に応じた彼は、持参したパソコン(無線LAN機能つき)を立ち上げ、グーグル検索画面に文字を打ち込んだ。すると大量の個人や企業の履歴ファイルの山が画面を埋めた──。

*  *  *
 見てください。これ、何かの雑誌の非公開ユーザーリストです。公表不可のパスワードも出ています。企業や個人が不用意に残したデータをグーグル検索機能を使って集める。「グーグル・ハッキング」と呼ばれ、秘匿データを見つける様々な検索キーワードがネットで公開されています。大手芸能事務所への問い合わせ内容が丸ごと見つかったこともありました。最も初歩的な攻撃法ですけどね。

 はやりなのは「本人に地雷を踏ませる方法」。企業のホームページの「採用情報」宛てに、データ流出機能を持たせた悪性の「就職希望メール」を送る。担当者がファイルを開くと即感染。いろんなデータを盗み出せる。社員行きつけの店で、悪性ファイルを仕込んだUSBメモリーを拾わせ、社員が会社で開けると感染──なんて手もある。

 もっと簡単に侵入されやすいのはスマホ。スマホは携帯ではない。電話のできる「小さなパソコン」です。でもパソコンよりウイルス撃退力は低い。しかもガラケーの携帯よりつけ込まれやすい。ガラケーのアプリには厳しい制約がありますが、スマホのアプリは便利さ優先で作られているため、いくつものアプリと連動する。アプリ間の「壁」が低いのです。つけ込まれる余地がいろいろある。

 スマホ利用者に悪性のハッキング・アプリを使わせるため、「面白いゲームがある」とネットで宣伝するとか、アダルト系のサイトを装うとか、いろんなやり方で誘う。インストールさえさせればメアドやメールの中身、電話帳、スマホの個体番号である「端末識別番号」まで何でも取れる。悪いアプリの中には電話の通話をライブで「盗聴」できるものもあります。

「*#06#」と入れると画面に数字の組み合わせが出る。それが端末識別番号です。スマホは本人認証の仕組みが甘い。日本の携帯販売大手の中には、回線情報に加え、この番号だけを本人認証のIDに使い、パスワードを必要としないところがある。この番号をもとにいろんな情報が簡単に盗める。本人に成りすまし、メールや買い物、LINEやカカオトークなど大量の個人情報を盗み取るのが可能になるのです。

AERA 2013年8月5日号


トップにもどる AERA記事一覧

続きを読む

おすすめの記事おすすめの記事
関連記事関連記事

あわせて読みたい あわせて読みたい