連載:ハッカーの系譜②ケビン・ミトニック (1/6) 史上最悪の「ダークサイド・ハッカー」の誕生

牧野武文

July 13, 2015 13:00
by 牧野武文

今から20年前、1995年の『ニューヨーク・タイムズ』の紙面には、全米中のコンピューターから数百万ドルから数億ドルに相当する企業情報と2万件以上のクレジットカード情報を盗み、きわめて重大な社会的脅威になっている存在として、ケビン・ミトニックの名が記されている。さらにケビンは、NORAD(北米防空総司令部)のコンピューターもハッキングし、米国を核戦争にまきこむことも可能な技術を持ち、イスラエルの諜報機関モサドとも繋がりがあり、ハッキングで得た国家機密を提供している可能性のあるハッカーだとその記事は伝えている。

また、ケビンはハッキング技術も超一流だが、それに加えてソーシャルハッキング技術の達人であるとも報道されている。ソーシャルハッキングとは、コンピューター技術を使ってハッキングするのではなく、人対人の心理的な隙をついてハッキングを行うことを指す。パスワードを辞書攻撃などで解析するのではなく、内部の人間のふりをして電話で聞きだすことに長けているという。今日では、例えばメールを使ってトロイの木馬を侵入させるのに、相手がうっかり開いてしまうようなメールに偽装をすることは当たり前になっているが、これもソーシャルハッキングの一手法だ。

ニューヨーク・タイムズの記事には、ケビンは暗号化されたパスワードファイルを盗み出して解析をする必要などなく、直接本人の目を見て、一言、二言喋るだけで、相手は催眠術にかかったように、重要なパスワードを口にしてしまうといったニュアンスで書かれている。まさに、現代に蘇った怪僧ラスプーチンか魔術師メフィストのような報道ぶりだ。これらがすべて事実であれば、危険極まりない「史上最悪のダークサイドハッカー」ということになる。

そのケビンは現在、セキュリティコンサルタントとして活躍をしている。いわばホワイトハッカーになったのだ。すると、これは悔い改めるダークサイドハッカーの物語になるのだろうか? ケビンは確かに法に触れるハッキング行為を行い、逮捕されている。しかし、史上最悪のダークサイドハッカーというイメージを作ったのは当時のマスメディアであり、社会だった。その意味では、ケビンも被害者であるといえなくもない。ニューヨーク・タイムズの記事から20年。改めてケビンの本当の物語を紹介したい。

最悪だった家庭環境

ケビンは、1963年8月6日、ロサンゼルス郊外のサンフェルナンド・バレー地区にあるパノラマ・シティーで生まれた。父アランは20歳、母シェリーは19歳という若い両親だった。パノラマ・シティーは、第2次世界大戦後すぐに開発された住宅地で、当時は高級住宅地として人気もあったが、それ以降は荒廃するばかりだった。しだいに企業、商店が、老人の歯のように欠けていき、その代わりに麻薬ディーラーたちが隠れ家を求めて入りこんできた。

当然ながら、治安は最低のレベルだった。現在はだいぶ改善して、小さな映画スタジオがいくつも建っているが、そのほとんどすべてがポルノ映画の撮影スタジオだ。このような場所にふさわしく、ミトニック家は底辺の家庭だった。底辺といっても、貧困にあえいでいたわけではない。中流の下といったところだが、生活費以外の余裕は全くない。ただ毎日労働をし、冷凍食品を温めて食べ、壊れかけたベッドで寝る。楽しみといえば、安い酒を大量に飲むか、夫婦の間での夜の営みぐらいしかなかった。

そんな家庭に生まれた男の人生は、あらかじめ決まっているようなものだ。公立高校に進むも中退。大学に行く経済的余裕はないから、電気工事の仕事でもし、訪問した家庭の中年未亡人に男としての喜びを教えられ、あとは酒とドラッグに溺れ、ドラッグに身体を蝕まれた女の子とくっつき、若くして子どもを作り、妻と子どもに暴力をふるい虐待する。最後は、刑務所に入るか、野垂れ死ぬか。ケビンの人生にも、それぐらいの選択肢しか用意されていなかった。

家庭環境も最悪だった。ケビンが3歳になる前に両親が離婚。母のシェリーはファミレス「フロミンズ」でウェイトレスをし、生活を建てた。母はケビンが5歳のときに15歳年上の男性と再婚した。しかし、それはケビンの新しいお父さんではなく、”お母さんの恋人”でしかなかった。幼いケビンは自分が家庭の中で邪魔者であることを自覚していたし、新しい母親の恋人も露骨にケビンを邪魔者扱いした。それだけでなく、性的虐待も行ったという。

この新しい恋人はわずか1年で去っていった。翌年、母は別の男性と結婚するが、すぐに離婚。ケビンは、物心がつくころには3人の父親または母親の恋人と出会っていた。アメリカの標準的な家庭のように、庭とガレージがある家に住んだこともなかった。いつもねずみの穴のようなアパートで、母親と”恋人”の性行為から漏れてくる声に耳をふさぎながら寝ていた。父親に手を引かれてリトルリーグのチームに入ったこともない、湖のキャンプにつれていってもらったこともない、自転車の乗り方やキャッチボールのしかたを教えてもらったこともなかった。11歳のころには、ADHD(活動過多症候群)と診断され、毎週、瞑想と薬物を使った治療を受けることになった。

バスターミナルだけが唯一の心の救いだった少年

そんなケビンは、心を閉ざした少年に育っていった。中学、高校に進学しても、普通のティーンエイジャーが夢中になる音楽や映画、ダンス、サーフィン、ドライブといったものには全く無関心だった。友だちといえる同級生は一人もいなかった。女の子は大の苦手で、廊下ですれ違うだけでも、反対側の壁に身を寄せて、息をとめて通りすぎるほどだった。

そしてジャンクフードばかり食べていたので、醜い太り方をしていた。ケビンには、過去と未来は存在しなかった。現在だけが存在し、現在の連続がなるべく早く通りすぎるようにいつも心のなかで祈っていた。同級生たちは、そんなケビンの存在を忘れた。ケビンなんて同級生はいないものだと誰もが思っていたし、同級生がそう思っていてくれたからこそ、ケビンはなんとか毎日学校に通うことができた。同級生たちは、学校の中で、ケビンがだれかと一緒にいるところを見たことがないと口を揃える。いつも一人だった。

ケビンは、いつも自分ではない別の存在に生まれ変わりたいと願っていた。それが叶わないのであれば、どこか遠くへ行ってしまいたい。小学生の頃から、学校が終わると、外の世界への窓口であるバスターミナルに行っては、ケビンがまだ知らない場所へ旅立っていくバスの群れを眺めていた。

最初のハッキングは「バスチケット」

12歳のとき、ケビンは人生で初めてのハッキングをする。それはバスの乗り継ぎチケットを悪用するものだった。当時のロサンゼルス地区のバスは、窓口でチケットを購入するのが基本だったが、車内でも乗り継ぎチケットを購入することができた。運転手に行き先を告げると、運転手はバッグの中から未使用のチケットの綴りをだしてきて、専用のパンチで、日付と行き先の箇所に穴を開ける。これが乗り継ぎチケットとなる。

勤務が終わった運転手は、余ったチケットの綴りを事務所に返さず、ターミナルのゴミ箱に捨ててしまうのがいつものことだった。未使用のチケット綴りを捨てても問題はなかった。なぜなら、専用のパンチは特殊な形状をしていて、普通の人が手に入れることはできない。そのパンチで穴を開けていなければ、乗り継ぎチケットは有効なものにならないからだ。

ケビンはターミナルのゴミ箱を漁った。いとも簡単に未使用のチケット綴りが大量に手に入った。あとはパンチを手に入れるだけだ。ケビンは大胆にも、親切そうな運転手を選んで、素直に「このパンチャーはどこで売っているのですか?」と尋ねた。バスの運転手がどう思ったのかは分からない。しかし、12歳の内向的な少年の姿を見て、悪人ではないと思っただろうし、バス好きの少年だと思ったのかもしれない。あるいは中学校の課題かなにかで知りたがっているのだと思ったのかもしれない。その運転手はいとも簡単にパンチャーを売っている店を教えてくれた。

ケビンがその店にパンチャーを買いにいくと、身分証明を提示する必要もなく、なぜ少年がバス会社専用のパンチャーを買うのかと不審がられることもなく、これまた売ってくれた。ケビンはバスの自由を手に入れた。自分でパンチすれば、どこにでも行ける。ケビンはあっという間に、すべての路線と発着時刻を暗記してしまった。誰もつれていってくれなかった峠のビューポイントや湖にも一人で行ってみた。そして、そのままどこか遠くに行ってしまいたいと思った。

しかし、ケビンが手に入れたバスの自由は、ロサンゼルス限定でしかなかった。その乗り継ぎチケットは、ロサンゼルス地区限定のもので、長距離バスのチケットは窓口で買うしかなかったのだ。結局、ケビンはロサンゼルスの外にでることはできなかった。

アマチュア無線に自分の居場所を見つける

ケビンはバスのチケットを偽造して、ロサンゼルス地区のあちこちを旅した。特にロングビーチがお気に入りだった。毎日、一人でバスに乗るケビンに気がついた運転手がいた。この運転手は、ケビンがチケットを偽造していることをうすうす気がついていて、チケットを受け取らず、無料でケビンを乗せてやるようになった。少年であったケビンに違法行為をさせたくなかったのだろう。初めて、ケビンに理解を示した大人だった。

ケビンは、その運転手になかなか話しかけることができなかったが、あるときその運転手のTシャツに「CBは見えないパワー!」とプリントされているのに気がついた。CBとはシティズンバンド(市民ラジオ)のことで、一定の出力以下であれば免許なしで交信ができる無線機のことだ。ケビンは、スーパーの駐車場で商品を車に積み終わった客に声をかけて、カートを戻すのでブルーチップスタンプを何枚かほしいと頼みこみ、もらったブルーチップを商品券に替えて、自分のほしいものを買うという小遣い稼ぎをやっていた。商品券が貯まるとケビンはCB無線機を買った。

無線では色々な人と話ができるが、ケビンにとっては、どのような人物にもなりすますことができるのが魅力だった。10代のなんのとりえもない太ったのろまではなく、30歳の聡明なエンジニアにもなれたし、25歳の有能なビジネスマンになることもできた。「ぼくもCB無線をやっています」と、ケビンは運転手に話しかけた。すると、その運転手は「ハムを知っているか?」と尋ねた。ハム=アマチュア無線は、資格を取得する必要があるが、条件がよければ電波が数百kmも飛ぶことがある。CBよりもずっと遠くの人と話をすることができるのだ。

ケビンは、運転手からアマチュア無線のことを教えてもらい、中古ショップへ行って参考書を買い、独学で資格を取得した。そして、自分のコールサインを得て、中古ショップで無線機を買い、アマチュア無線を始めた。身体はロサンゼルスの外に出ることはできないが、声は海外にまで飛ぶことができる。しかも、いくらでも自分を装うことができる。電波の中では、ケビンは孤独なのろまではなかった。

ソーシャルハッキングに目覚める

ケビンは、あるときアマチュア無線の交信でつまらない喧嘩をしてしまった。その時、ケビンに味方をしてくれるアマチュア無線士がいた。彼はルイス・デペイン。ケビンよりも3歳年上で、アマチュア無線だけではなく、電話やコンピューターに詳しかった。それも、タダがけや他人のコンピューターに無断で侵入するというハッカーだった。

ケビンは、デペインの話に夢中になった。無料で国際電話を掛け、海を越えたいたずら電話をかけて楽しむ。別のコンピューターにダイアルアップ接続し、他人のコンピューターの中を漁る。ケビンもすぐにデペインの真似をして、初歩的なハッキングを始める。ケビンにはそれが楽しかった。初めて自由を手に入れた気分になれたのだ。といっても、ケビンとデペインの二人に高いハッキング技術があったわけではない。電話のタダがけは、企業が契約しているクレジットコールの暗証番号を勝手に使うというものだった。企業向けには、公衆電話からでも特定の番号にかけ、暗証番号を入力すると通話ができ、通話料は会社に請求されるというサービスがあった。この暗証番号を盗み、勝手に使っていただけのことだった。ケビンたちは通話料は支払わないが、企業に請求がいっているだけのことだった。

コンピューターへの侵入もパスワードを盗むだけのことだった。当時はまだインターネットの商用利用も始まってなく、パソコン通信の時代だった。セキュリティ意識は低く、アカウントとパスワードを入力すれば、簡単に中に侵入できる。デペインは、このような暗証番号やパスワードをどうやって手に入れていたのか。ソーシャルハッキングの最も初歩的な手法を使った。目星をつけた企業の社屋の裏側に回って、ゴミ箱を漁ったのだ。ゴミ箱に捨てられている書類、請求書あるいはメモなどに注目すると、数字や文字の羅列が書き留めてある。それが暗証番号だったり、パスワードだったりした。

さらに、ケビンは新しいソーシャルハッキング手法を編みだした。会社に電話して、直接担当者に聞いてしまうという方法だった。ときには至急システムを復旧しなければならないエンジニアのふりをして、ときには横柄で物忘ればかりしている上司のふりをして、暗証番号やパスワードを聞いてみると、意外にもあっさりと教えてくれる。アマチュア無線で、さまざまな職業の人の会話を耳にしたり、他人のふりをしたりした経験がおおいに役立った。

ケビンとデペインが得意にしていたのは、電話カードの紛失窓口の電話番号を別の電話に転送してしまう手口だった。トーンダイアラーを操って、電話の転送設定のやり方を覚えた二人は、電話カードを紛失した顧客がかけてくる電話を、公衆電話などで受ける。「こちらパシフィックベル、顧客サービス係です…」。顧客が紛失したカード番号を教えてくるので、「わかりました。使用を今から停止いたします。新しいカードの発行につきましては、明後日以降、お近くのパシフィックベル窓口へ」。今日と明日は、その電話カードの番号が使い放題になる。

逆らうやつには電話の制裁を

サイバースペースで、自由に行動ができるようになったケビンは、しだいにエゴが肥大化していった。自分の弱さを隠すため、他人に対してきわめて攻撃的になっていったのだ。ケビンに喧嘩を売ったアマチュア無線士は、突然、電話会社から3万ドルの電話料金を請求された。ケビンが電話会社のコンピューターに侵入し、ある病院の電話料金すべての請求先を、そのアマチュア無線士のものに書き換えたのだ。ケビンを怒らせた別のアマチュア無線士の自宅には、朝から晩までピザの注文電話が入るようになった。ケビンに逆らうものは、電話による制裁を受けるのだ。

17歳になったケビンは、デペインとともに大きな仕事にとりかかっていた。それは地域電話会社であるパシフィックベル社のメインコンピューターに侵入することだった。しかし、何度もパシフィックベル社のゴミ箱を漁っても、パスワードらしき情報を見つけることはできなかった。そこで、二人は大胆にも社屋の中に忍びこんで、直接書類を漁る計画を立てていた。

二人は、いつもシェーキーズへいって、ピザを食べながら作戦を練っていた(なぜなら駐車場と壁ひとつ隔てて、パシフィックベル社のゴミ置き場があったからだ)。デペインの横には、スーザン・ヘッドリーという女の子が座っていることが多かった。スーザンは、中学2年生のときに不登校になり、街で男に声をかけては、男子トイレでひざまずいて奉仕をすることで、小遣いを稼いでいた。スーザンも居場所が電話回線の中にしかなかった。パーティーラインやツーショットラインの中でだけは女王様になれる。電話会社の職員に彼女なりの奉仕をすることで、タダ電話のかけ方を聞きだし、いっぱしの電話フリークとなっていた。

スーザンは同じ電話フリークであるデペインと知り合い、それ以来デペインを尊敬し、付きまとっていた。デペインも都合のいい女として、横に座らせていることが多かった。ケビンは、このスーザンに理不尽な憤りを感じていた。デペインとの冒険をするのにはスーザンが邪魔だったし、なにより彼女はデペインには従順であるのに、ケビンのことは相手にもせず、見下していたことに腹を立てていた。スーザンにしてみれば、ケビンは年下の冴えない男で、しかも太った身体を隠そうと、よれよれでサイズの大きすぎるチェック柄のシャツをだらしなく着ているやつだ。男としての魅力は全くない。一方でケビンにしてみれば、売春婦まがいのことをやっている女にバカにされているという事実がプライドを傷つけた。

そして、ケビンはスーザンの後をつけ、自宅の場所を探しだす。スーザンが街で客を見つけては、自宅に連れこんで”ビジネス”をしていることも突き止めた。郵便箱から郵便物を盗み、スーザンの電話番号や社会保障番号などの個人情報も集めた。ケビンは手始めに、電話会社のコンピューターに侵入し、スーザンの家の電話の支払い情報を未納に書き換え、電話を止めてしまう。さらに、スーザンが自宅に客を連れこんだ時に、繰り返し電話が鳴るようにして、彼女の商売を台無しにしたりと、ありとあらゆる嫌がらせを行うようになった。

(敬称略/全6回)

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…