首からぶら下げたIDカードは格好の標的

セキュリティ対策が徹底しているかに見えるアメリカ軍基地が、なりすましの手口を使ったチェックに対して無防備だった実例を紹介しておこう。いずれも米海軍特殊部隊SEALsの対テロ部隊チーム6(現DEVGRU、デブグルー、特殊戦開発群)が実施したものだ。

チーム6は1985年6月、コネチカット州ニューロンドンの弾道ミサイル原潜基地に侵入、弾道ミサイル原潜の発令所、原子炉区画、魚雷室に模擬爆薬を仕掛けた。さらに同年9月には、カリフォルニア州ポイント・マグー海軍航空基地にレーガン大統領が大統領専用機エアフォースワンでやってきたとき、模擬爆薬を積んだ兵器運搬車を大統領専用機の近くに移動し、エアフォースワンを爆破した。

どちらも海軍の軍人やジェネラルダイナミクスの社員が集まる酒場に行き、身分証明書、車両認識票などを抜き取リ、本人になりすました侵入作戦だった。

ネットワーク・セキュリティについても、同じ手口に備える必要があることは明らかだろう。IDカードを首から下げて、食事に行ったり電車に乗ったりしている人を見かけるが、これはなりすましの材料を提供しているのに等しい。ICタグの情報は、数メートル離れた場所からでも読み取られてしまうことを自覚しなければならない。

天才ハッカーと日本人研究者の戦い

ソーシャル・エンジニアリングを語るとき、忘れてはならない伝説のハッカーがいる。ケビン・ミトニック。1995年2月15日、カリフォルニア大学サンディエゴ校のスーパーコンピュータセンターに侵入し、データの改ざんなどを行って逮捕された。

Kevin Mitnick
写真=Wikimedia Commons
Kevin Mitnick(写真=Luiz Eduardo/CC-BY-2.0/Wikimedia Commons

ミトニックを追い詰めたセンターの研究者・下村努氏は、2008年にノーベル化学賞を受賞した下村脩博士の息子だ。その逮捕劇は映画『ザ・ハッカー』(邦題)にも描かれている。

アメリカのハッカー出身者たちの評価は「ミトニックはソーシャル・エンジニアリングに優れている」という点で一致している。システムの隙間から技術的に侵入するのとは異なり、特殊詐欺のように巧妙な騙しのテクニックを駆使して管理者パスワードを盗み、そこから侵入していくのである。ミトニックは2023年に59歳で亡くなるまで、自分の特技を逆手に取ってセキュリティ会社を経営していた。

日本では、そうしたソーシャル・エンジニアリングへの対策が後手に回っており、技術レベルも高いとは言えない。この現状に対する自覚が生まれない限り、政府が鳴り物入りで進める能動的サイバー防御も絵に描いた餅に過ぎない。ミトニックくらいの詐術ハッカーを雇うくらいの取り組みを進めなければ、安全と繁栄を実現できる国に生まれ変わることは困難だろう。