ハッカーの系譜⑥ジュリアン・アサンジ (2/8) 少年ハッカー「メンダックス」の冒険

牧野武文

June 2, 2016 12:00
by 牧野武文

このころアサンジは、モデムという新しい装置と出会った。それを見た瞬間、アサンジは「過去が終わった」と感じたという。電話回線を使って、データを直接やり取りすることを可能にしてくれるその装置があれば、辺境の地オーストラリアにいても、世界とリアルタイムで繋がることができる。

アサンジは、モデムを購入するとすぐに1つのプログラムを作った。それは深夜の無料通話時間帯になると順番にダイアルをし、モデムが応答すると、その電話番号を記録するというものだ。最初はオーストラリアの主要都市を、そして次第に世界の主要都市をスキャンするようになった。アサンジは、独自の地球のモデム地図をつくろうとしたのだ。

モデムが応答する電話番号に対しては、今度は手動でダイアルし、なんとか相手のコンピューターの中に入ろうとした。当然、世界中の少年ハッカーたちと情報交換をしたり、戦果を自慢しあったりする。当時、オーストラリアアンダーグラウンドの若者たちが集まっていたのは、パシフィックアイランドとゼンという名前の電子掲示板(BBS)だった。いずれも電話回線を使ってダイアルアップ接続をして、掲示板の内容を読んだり、書きこんだりする。

この2つのBBSはクレイグ・ボーウェンという23歳の若者が運営していた。ボーウェンもサンダーバード1号というハンドルを使っていたハッカーで、ハッキング情報を交換するために2つのBBSを開設した。パシフィックアイランドBBSは約800名の会員がいて、そのうち200名ほどがアクティブユーザーだったという。

アサンジもすぐにこの2つのBBSのアクティブユーザーになり、最初は「マッド・プロフェッサー」と名乗り、後に「メンダックス」というハンドルネームを使うようになった。古代ローマの詩人ホラティウスの詩の中にでてくるホラ吹きの登場人物の名前だ。

最初の獲物は「ミネルバ」

メンダックスが最初に手がけた大仕事は、ミネルバへの侵入だった。ミネルバは、プライム社が開発した大型コンピューターで、オーストラリアの通信事業者「OTC」(Overseas Telecommunications Commission=海外通信事業体)が運用し、銀行や企業、研究機関などがアカウントをもち、大量の計算をミネルバ上でおこなっていた。ミネルバには、高速のBASICインタープリターが搭載されていたので、当時、簡単に学ぶことができたプログラミング言語BASICでコードを書いて、ダイアルアップでミネルバに接続、計算させるということに利用されていた。

メンダックスは、このミネルバのアカウントを乗っ取ろうとした。ひとつは自分で書いたBASICプログラムをミネルバで走らせることができること。計算量が大きなプログラムの場合でも、ミネルバで実行すれば結果が一瞬ででてくる。もうひとつの大きな理由がミネルバは「X.25ネットワーク」に対応していたことだ。X.25はパケット通信プロトコルのひとつで、金融機関系のコンピューターネットワークに使われていた。現在ではほとんど使われなくなっているが、当時は専用回線でX.25に対応したコンピューターとのネットワークが作られていた。つまり、ミネルバのアカウントを乗っ取れば、世界中のX.25対応のコンピューターにアクセスができることになる。

しかも、ミネルバの入り口であるX.25 padというアクセスポイントはフリーダイアルだった。つまり、お金のない10代のメンダックスにとって、無料で世界中のコンピューターにアクセスできることになるのだ。

ソーシャル手法でパスワードを入手

アカウントを乗っ取るには、アカウント名とパスワードを手に入れる必要がある。アカウント名は簡単に手に入る。ミネルバのアカウント名は英文字3字+数字3桁の構成だったのだ。しかも英文字部分は公開しているも同然だった。たとえば、オーストラリア・ニュージーランド銀行の略称はANZだったが、この銀行関係者のアカウントはANZ001、ANZ002、ANZ003…… となっていた。その他の企業のアカウントもだれでも類推可能な英文字3字が使われていた。しかも、パシフィックアイランド掲示板には、情報は古いがアカウント名と会社名、代表電話番号などが記載されたリストまであった。

問題はパスワードだった。メンダックスはこれは本人に直接聞いてしまった方が早いと考え、ソーシャルエンジニアリングの手法を使うことにした。メンダックスが以前つくった電話回線の向こう側にあるモデムをスキャンするプログラムの記録を見ると、どういうわけかいつでも話し中の電話番号がある。メンダックスはそのような話中の電話番号をメモした。

それからメンダックスは、テレビをつけてニュース番組にチャンネルを合わせた。音量を絞り、かすかに背景で聞こえる程度にした。それから、ドットインパクトプリンターのカバーを開けて長文の書類を印刷し始めた。そして、キーボードを適当に叩きながら、シェークスピアの戯曲を朗読し始めた。これをテープレコーダーに録音したのだ。すると、パソコンが使われているオフィスで、たくさんの人がなにかを話しながら仕事をしている雰囲気の背景音となった。

メンダックスは、この背景音のテープを再生しながら、リストにあるアカウントをもっている企業に電話をし始めた。「シドニーのOTC、ミネルバ担当のジョン・ケリーと申します」。そして、ハードディスクの1台が故障をして、顧客情報を修復中なのだと説明した。メンダックスは、リストにあるアカウント名、企業名、電話番号などを読みあげて「これで間違いございませんか?」と確認をした。ただし、ファクス番号だけはあえて間違えた番号を読みあげた。

「ああ、他は正しいですが、ファクス番号が違いますね」。「なるほど、まだ復旧が完璧ではないようですね。正しいファクス番号はいくつでしょうか?……アカウント情報ももう一度チェックした方がいいようですね。パスワードはどのように設定されていますか?」。

多くの担当者は、警戒をしてすぐには答えず、「今、ちょっとわからないので、調べて折り返し電話します。OTCのパース営業所のジョン・ケリーさんでしたよね?」。「はい。部門が異なるので、パース営業所の代表電話ではなく、こちらの直通番号にお願いします」とメンダックスは言って、永遠に話し中の電話番号を伝えた。こうすることで、不審に思った顧客がOTCに連絡をとり、メンダックスの悪事が露見するまでの時間稼ぎをしたわけだ。

なかには、あっさりとパスワードを教えてしまう顧客もいた。メンダックスは、手元のキーボードを叩く音をだし、間を置いてから、「問題ないようですね。その他のアカウント情報はすべて正しく復旧できているようです。これで問題は解決されましたが、なにかございましたら、xxx-xxxxxのミネルバ担当、ジョン・ケリーまでお電話ください。ありがとうございました」。

最初に間違ったファクス番号を伝えて、相手にファクス番号を口にさせるところがポイントだ。企業のファクス番号は公開情報なので、伝えても問題はない。しかし、一度、相手から情報を口にさせるという流れをつくっておき、その流れの中でパスワードを尋ねるのだ。パスワードは決して外部に伝えてはならない重要情報だが、すでにメンダックスに情報を答えていくという流れの中で、うっかりと伝えてしまうマヌケはかならずいるものなのだ。メンダックスは、世界のコンピューターにアクセスするチケットを手に入れた。

「国際破壊分子」結成!

メンダックスがミネルバを攻略したことは、オーストラリアのアンダーグランドハッカーたちの間で大きな話題となった。メンダックスにはサイバースペースの中での同志ができ始めた。エレクトリック・ドリームというBBSでは「トラックス」というハッカーと知り合った。メンダックスがコントロールリセットという別のハンドルネームで参加していたBBSメガワークスでは、「プライムサスペクト」と知り合った。

メンダックスは自分のホームコンピューターで小さなBBS「キュート・パラノイア(素敵な偏執狂)」を開設した。参加者はトラックスとプライムサスペクトの2人だけの秘密BBSだった。3人は自分たちのグループの名前を「インターナショナル・サブバーシブズ」(国際破壊分子)と名づけた。

このころのメンダックスは、茶色い髪(現在の銀髪は白髪であるらしい)を長く伸ばし、常にサングラスをかけ、カーゴパンツにTシャツ、上から長いトレンチコートを着こんでいた。メンダックスなりの“ハッカーっぽい”ファッションだった。そして、道を歩くときは、常に尾行がいないかどうか警戒していた。アカウントをひとつ乗っ取った程度の少年など、だれも尾行したりしないのだが、メンダックスの意識の中では、自分は世界で最凶に危険な男だったのだ。いわゆる「中二病」の一種だが、20年後、アサンジはほんとうに米国政府から“危険な男”に認定され、ほんとうに尾行や暗殺に警戒しながら道を歩かなければならなくなる。

ノーテルのコンピューターへ侵入

あるとき、プライムサスペクトがNMELH1という面白い名前のコンピューターを見つけたので、侵入してみないかと誘ってきた。メンダックスは、これはひょっとして宝の山を見つけたかもしれないと思った。なぜなら、NMELH1という奇妙な名前は次のように解釈できるからだ。Nはノーザンテレコム社。カナダの電話関係機器の製造会社で通称ノーテル。世界中の大手電話会社に交換機をはじめとする電話設備を販売している。MELはメルボルン。H1はHost 1ではないか。つまり、NMELH1はノーテルがメルボルンに設置したホストコンピューターの1号ではないか。

メンダックスは、モデムを使ってNMELH1に接続してみた。login、list、attachなど適当なコマンドらしきものを入力してみるが、まるで反応がない。電話会社の交換機を制御するコンピューターであるため、コマンド体系がまったく違っているらしい。いくつかのコマンドを入れてみて、最後にlogoutと入れてみると、反応があった。

error: not logged on

メンダックスは気がついた。NMELH1ではloginではなく、logonと呼ぶらしかった。メンダックスはlogonと入力してみた。

username:

当たりだ。入力待ちのカーソルが点滅している。アカウント名とパスワードさえわかれば、NMELH1の中に侵入できる。メンダックスは、だれもが思いつくアカウント名とパスワードを試してみた。
 
username: nortel
password: nortel

あっさりとNMELH1の中に侵入できてしまった。メンダックスは思いつくままにコマンドらしきものを入力してみて、反応のあるコマンドをメモしていった。試行錯誤で見つけたのがRANGEコマンドだった。どうやら、特定の電話番号をまとめて選択できるコマンドらしかった。

range 634

反応はないが、これで局番634の電話番号1000回線が選択できているだろう。引き続き、メンダックスは反応のあったコマンドRINGを入力した。コマンドの名前から電話を発信するコマンドではないかと思われる。すると、ピリオドが表示され、そのピリオドが次々と増えていく。

………………………

メンダックスは驚いて、慌ててモデムのスイッチを切って、回線を切断した。この夜中に、1000本の電話が一斉に鳴っているかもしれなかったからだ。

世界中のノーテルを散歩するメンダックス

数日経っても、夜中に1000本もの電話が鳴るという事件はニュースになっていないようだった。交換機の故障として処理されたのかもしれないし、そもそもRINGが電話をかけるコマンドであったかどうかも確証はない。

メンダックスは安心をして、再度NMELH1に侵入した。今度は、NMELH1のroot権限を奪うつもりだった。すると、nortelアカウントで入っているのに、NMELH1はrootディレクトリが書き込み可能になっていることに気がついた。rootディレクトリ直下のETCディレクトリには暗号化されたパスワードファイルもあった。

メンダックスは、root直下に適当なディレクトリをつくり、パスワードファイルが入っているETCディレクトリの内容をまるごとコピーした。この作業用ディレクトリで、パスワードファイルをいじり、変更して、元の場所に戻そうと考えたのだ。パスワードファイルは暗号化されているので、内容を読むことはできない。しかし、よく検討してみると、アカウントリストのファイルと暗号化されているパスワードが1対1で対応していることに気がついた。そこで、あるアカウントに対応するパスワードデータを削除してみた。うまくいけば、このアカウントはパスワードなしでログオンできるようになるかもしれない。

さらにアカウントリストにはID番号も記載されていた。さきほどのアカウントのIDを「0」に書き直してみた。ID0番は、管理者権限つまりrootである可能性が高いからだ。

そして、ETCディレクトリの名前を適当な名前に変更し、自分で内容を書き換えたディレクトリをETCに変更した。メンダックスの修正したディレクトリを、NMELH1は正規のETCディレクトリだと勘違いしてくれるかもしれない。メンダックスはいったんログアウトして、さきほどのアカウント名でログオンしなおしてみた。案の定、パスワードは必要なく、なおかつroot権限をもっていた。

しかし、このような侵入方法では、管理者がすぐに気がついてしまうだろう。そこで、ダミーのETCディレクトリを削除し、正規のETCディレクトリを元に戻した。また、そのアカウントでアクセスしたログも削除した。アカウントを乗っ取った痕跡をすべて消したのだ。

そして、自動的にroot権限を与えてくれるハッキングツールを、システムの奥深くインストールして、実行。ハッキングツールのファイルを削除した。nortelアカウントでログオンし、特殊な組み合わせのキーを叩くとroot権限が得られるようにしたツールだ。これで、以降はnortelでログオンし、rootを取ることができる。コンピューターが再起動されてしまうと、ハッキングツールは無効になってしまうが、そのときはまたnortelでログインし、同じ方法でrootをとり、ツールをインストールしなおせばいい。今のところ、一切の痕跡を残さずにNMELH1のroot権限を握っている。

こうして、メンダックスは夜な夜なNMELH1の中を歩きまわり、ついに全世界のノーテルのコンピューターのリストを見つけた。

NMELH1経由で、そのような海外のノーテルのコンピューターに侵入し、root権限をとり、コンピューター内部を散歩する。メンダックスは、世界中のノーテルの企業秘書類、未公開の新製品情報、社員の電子メールにアクセスできるようになっていた。それをどこかに販売でもすれば大金を得ることができたかもしれない。

しかし、メンダックスが熱心にアクセスしたのはノーテル社の上級職員の電子メールだった。そのような電子メールをpasswordという単語で検索してみると、ノーテル社内のパスワードがどんどん見つかる。セキュリティは万全だと思いこんでいたノーテル社員たちは、パスワードを電子メールで知らせることがしばしばあったのだ。
 
(敬称略/全8回)




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…