新型コロナウイルスの感染拡大防止に伴い、リモート勤務を導入する企業が増加しています。私もその1人です。通勤時間がゼロになったのはありがたいことですが、長時間自宅で過ごすと気持ちのオン/オフの切り替えが難しく感じることもあります。→過去の回はこちらを参照。
そんな時、息抜きと業務を兼ねてハッキングを取り上げた映画を観ると、気持ちがリフレッシュすることがあります。オンライン会議でそんな話をすると、実は同じようなことをしている同僚がいることがわかりました。ハッキングは荒唐無稽なものから、かなりリアリティを感じさせるものまで、多くの映画やドラマに登場しています。
そこで、エフセキュアの熟練コンサルタント(ホワイトハットハッカー)たちに、彼らのお気に入りのハッキング映画を挙げてもらいました。まず、今回は洋画についてご紹介します。
『スニーカーズ』(1992年公開)
意見をもらったほぼ全てのハッカーが絶賛する、ロバート・レッドフォード率いるハッカー集団があの手この手でハッキング/侵入を試みる、古典的映画。
トム・ヴァン・デ・ヴィーレ(デンマーク勤務)
ソーシャルエンジニアリング、ターゲットを絞った監視行為、オープンソースの情報収集、建造物への物理的侵入、侵入検知の回避、コンピュータハッキング(電話回線経由)、電話回線網経由のハッキング、アクセスコントロールのハッキング、リバースエンジニアリングといった、幅広い手法が登場するのですが、高いセキュリティを持つ企業に侵入するためには、専門家を集めてチームを作る必要があることがよくわかります。侵害やハッキングにおける『成功』は、多くのハッカー映画に出てくるような単一のツール/手法/個人だけによってもたらされるものではなく、これらの組合せであったり、これまでの先人ハッカー達の努力の結晶だったりするのです。作品中の電話での会話シーン、守衛の目を潜り抜けるシーン、会社の従業員の生活に侵入してアクセス制御を迂回するための認証トークンを盗むシーンなど、ソーシャルエンジニアリングに関するシーンの一部はかなりリアルです。
『MR. ROBOT/ミスター・ロボット』 (テレビシリーズ、2015年から放送中)
トミ・トゥオミネン(フィンランド勤務)
かなりリアルな作り込みをしていますね。ただ、情報セキュリティは非常に広く深い領域を持つため、本作品に登場するハッキングシーンをすべてこなせる人間はいないと思います。「このツールを使用してこの仕事をする」という限定的かつ簡単なものもあれば、「ある製品の脆弱性を発見するために1,000時間以上かかる」というような、非常に複雑なものもあります。自分に同じことができるかと聞かれると回答に困りますが、何度か成功しているものがあるので(下記URL参照)、自分ではかなりイケているのではと思います。
https://www.wired.com/story/one-minute-attack-let-hackers-spoof-hotel-master-keys/
クリストフ・マーシニアック(ポーランド勤務)
実在のセキュリティの専門家の協力を得て作成されており、私がこれまでに観た作品の中で、最もリアルなハッキングシーンが登場します。モバイルラジオ局であるフェムトセル (ターゲットの電話に接続できる不正アクセスポイントを作成するために使用)、Rubber Ducky (キーボードをエミュレートしてコマンドを実行できるハードウェアであり、ターゲットのPCのUSBポートに挿入される)、そしてSDR (ソフトウェア定義の無線であり、無線通信をキャプチャするために使用されますが、特定の警報システムや他の無線ベースのデバイスに対しては効果的です) など、さまざまな手法やツールが作品中で使用されています。
『マトリックス』(1999年公開)
ミッコ・ヒッポネン(フィンランド勤務)
ハッキングシーンに絞れば、この作品が個人的なお気に入りです。特に、トリニティがNmap Version 2.54BETA25を使用して脆弱なSSHサーバを見つけ、SSH1 CRC32脆弱性を利用してエクスプロイトするくだりは非常に現実的かつ実行可能なものですね。大ヒットを記録した映画の中では、マトリックスはおそらくハッキングシーンを正しく理解した最初の作品だったのではないでしょうか。
それでは、ハッキングの手法を学んだりツールを用意すれば、映画やドラマに登場するハッキングを誰もができるようになるのでしょうか?
トミ・トゥオミネン
愚か者はツールを使用しても、所詮愚か者です。重要なのはマインドセットと粘り強さです。
アンドレア・バリサニ(イタリア勤務)
優れたハッカーは、ツールだけに依存することはありません。スキル/マインドセット/侵害の動機の組み合わせが重要かつ不可欠であり、ツールは所詮二次的なものなのです。
トム・ヴァン・デ・ヴィーレ
現在では物理的な侵入を実行する必要はあまりなく、10回中9回の攻撃がインターネット上で完結します。しかし、物理的な場所または対象物へのアクセスを取得することが目的である場合、物理的な侵入は手段であり、犯罪者は数台のノートPCを持参してターゲットの会社に侵入する傾向があります。フレンドリーな社員や取引先企業の社員を装うことはいまだに有効であり、立ち入り制限エリアへのアクセスにおいても機能すると思います。それは同時に、侵入者の検出というタスクにおいて企業が正しく機能できているかのテストであるともいえます。
クリストフ・マーシニアック
映画/ドラマ中のハッカーは「やってやるぜ!よく見てろよ!」的な描写をされがちです。10代の若手ハッカーにもそうした傾向が見られますが、より洗練されたプロの攻撃者なら、可能な限り発見されないようにするはずです。
なるほど......小手先の技術だけでなく、意思/手法/チームワークが備わっていて初めて成功、ということですね。コロナ禍から以前の生活を完全に取り戻すまで、まだかなり長い時間がかかることと思います。自宅で過ごす間、ささやかな息抜きとして、これまでと違った視点を持って映画やドラマ観ると、新しい発見があると思います。
通勤や客先訪問の移動時間が減った分、時間に余裕が生まれていますので、こうした時間にこれまでやりたかったのに実行できていなかった新しい取り組みや勉強を始めてみることは、社会に貢献できるホワイトハットハッカーを目指すうえで重要なことです。『映画で学ぶハッキング』後半となる次回は邦画を取り上げてみたいと思います。