先日、このブログで私のパソコンがハッカーに乗っ取られ、身代金を要求された話をさせていただきました。その後も大事に至っておらず、収まってほしいと願っています。ただ、その話を何人かにしたところ、「自分のところにも似たような身代金要求のメールが来た」という話が続々出てきたのです。「で、どうしたの?」と聞けば「放置」と。
要するに脅される中身がない、だから放置なのでしょう。ご紹介したように私が警察に連絡した際も「放置せよ」と言われました。具体的に脅しの内容について「これをばらすぞ」と写真などを見せてなければ具体的行動に出ないというわけです。私はまだ、その判断には確信が持てませんが、少なくともハッキングメールが意外といろいろなところに入っていたということです。ではそのハッキングがどのルートで行われたか、これが個人のパソコンなら自分で思い起こせばたどり着けることもあるでしょうけれど会社のメアドですとほぼ不可能です。会社のウェブ経由の可能性もあります。
Hackという意味は他人のコンピューターや携帯に無許可で入り込むこと(Cambridge Dictionary)ですが、必ずしも悪さをするとは限りません。ここを区別するために善良な侵入者をホワイトハッカー、悪意を持った場合をクラッカーと称する場合もあるようです。よってハッカーと我々は一様に言っていますが、悪さをする侵入者を対象にするならクラッカーといったほうがよさそうです。
このコンピューター乗っ取りですが他人のパソコンに入り込むことは実はかなり簡単なことです。例えば私はコロナで日本に1年半も行けていないため、一部の日本の業務を日本のコンピューターで行わねばならないのにそれができません。どうしたか、といえば日本のパソコンにバンクーバーから侵入してリモート操作で作業を進めたのです。侵入方法はいくつかあるのです。
産経に興味深い記事があります。「カプセルホテルの照明やベッドを“ハッキング”した男、その手口を明らかに」です。文面から推測するとこのフランス人のハッカーは日本のカプセルホテルで自分のそばの嫌な客をどうにかするためにその客が泊まるカプセルの中のネットワークにアクセスして照明、換気、ベッドの形状など部屋の中をいじったというものです。
その手口も驚くべきものですが、ホテルのシステムに対する脆弱性が至る所にあったというのがポイントです。つまり、このホテルはたぶん、最新鋭のハードシステムを導入したもののそれを運用する際のソフトやハッキング対策をほとんど行っていなかったということのようです。このハッカーはいたずら実験で終わらせているようなのでこのホテルはいまだに気が付いていないのかもしれません。
北米で最近急速に進んでいるのが二要素認証です。二段階認証とは違います。例えば日本の銀行のインターネットバンキングへのアクセスは初めにIDとパスワードを入れて次の画面で秘密の質問など二つ目の認証チェックをします。これが二段階認証です。ところがこれはもう、簡単に破られるのです。
そこで北米ですすむのが二要素認証。例えば私が証券会社やクレジットカード会社の自分の口座にアクセスするにはウェブからIDとパスワードを入れます。するとアクセスコード送るのでその手段を選択せよ、と出ます。スマホのテキスト、電話、メールの三種類が多いと思います。スマホのテキストを選択するとほぼ1-2秒のうちに自分のスマホにアクセスコードが送られてきてそれをインプットするとようやく自分の口座に入れます。
日本でこの二要素認証は非常に遅れていると思います。ワンタイムパスワード生成器を使っているところもありますが、これも古い仕組みになってきました。金融機関などシステム構築に多額の資金がかかるところはこのコンピューターの進化への対応が追い付かなくなる可能性はあり、銀行間の共通システムを立ち上げるべきかと思います。
最後にあらゆるところに侵入できるクラッカーがいるとすれば一番怖いのは自動運転の自動車だと思います。システム全部をぐちゃぐちゃにして交通網を破壊させる行為も可能ですが、特定の車両を狙った攻撃が可能になるはずです。要人の警護において「つながるクルマ」は極めてリスクが高くなる公算があります。私は要人ではないですが、将来そのような社会になった時、「つながるクルマ」は怖いかもしれないと思い始めています。
ITの進化と共にクラッカーは人のパソコンに入るだけではなく機器に入り込み、そのプログラムをいじることで社会インフラそのものを攻撃することができてしまうでしょう。当然、モグラたたきのような正義の味方と悪人の戦いは続くわけですが、脆弱性を問われると万人が高い知識を備えているわけではないという点においてなかなか安心できる社会は来ないものだなと思う今日この頃です。
では今日はこのぐらいで。