あまりにも酷すぎると話題になったフジテレビ番組『ほこ×たて』の「ハッカーvsセキュリティプログラム対決」。
映像を見ると「セキュリティー酷過ぎて草。PCに侵入されてる時点でハックされてるだろ」って話ですよね。ネットの掲示板もそんなレスで溢れました。
…しかし、実際はそんな単純な話ではなかったようです。
「ハッカーvsセキュリティプログラム対決」騒動の流れ
今回の騒動の流れをざっくり説明します。
- 3台のパソコンの中から時間内に指定された名前の画像を見つければハッカー側の勝利
- 開始30分でハッカーに破られて侵入される
- セキュリティー側
「破られたときの対策で同じ名前のダミー画像(takahiro.jpg)を5万枚用意」 - ハッカー側が5万枚の中から1枚を何とか見つける
- 2台目も数十分で侵入
- セキュリティー側
「破られたときの対策で指定していた名前(yuko.jpg)からファイル名を変更」 - ハッカー側
「ファイル名しか知らないのに時間内に見つかるかよ」 - セキュリティ側大勝利()
放送後に立ったスレッドの一部を抜粋
1: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
5: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
12: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
お目当ての画像が見つかれば負けな対決
セキュリティ側速攻侵入される
こんな時の為に画像の名前変更しました!
速攻侵入されたがセキュリティ側勝利
20: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
まじで・・
22: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
32: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
5万個のダミーファイルを用意して更に対象のファイル名を逐一書き換えればいいんだ!
45: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
鍵あけ「ピッキング成功して中に侵入できたけど盗む物が隠されてて見つかりませんでした」
鍵会社「じゃあうちの勝ちでいいですね」
今回のはこんな感じだった
何の茶番だと
56: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
例えいいな
47: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
セキュリティ「○○というファイルを見つけてみろ」
ハッカー「進入した。後はファイル名を検索すれば終わりだね」
セキュリティ「ファイル名変更したわwwwwあと10万個ファイル作ってみたwwwwwさぁどれかな?」
ハッカー「は?ばかばかしい。やりたい放題すぎだろ。やってられるか」
セキュリティ「勝ったぞおおおおおおおおおおおお」
58: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
まんまこれ
60: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
さっきの件だろうがアクセス集中してる模様
こりゃダウンするかもな
71: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
官公庁や重要機関が使ってるとなると不安で仕方ないわな
1日のうち23時間30分は休まず常駐してろということwww
122: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
もはやセキュリティ対決じゃなくて違うもの指定して実は僕の持ってるこれでしたーwwwって馬鹿にしてるようなもんだろあれ
あくまで今からハッキングされますって分かってるからやれた話
侵入された時点で普通は負けだろ
136: 以下、名無しにかわりましてVIPがお送りします 2013/06/09(日)
yuko.jpgという名前を変えて防ぎましょう
ま さ に 矛 盾
私も放送を見た後は同じような感想を持ちました。…が、セキュリティ側(ネットエージェント)のブログとツイッターを調べてみたところ、その感想は全く別のものになりました。
『ほこ×たて』の対決について
ネットエージェントのブログでは以下のように説明されています。
実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサービスを動かし、容易に侵入され得る環境の中で写真を隠して見つからないように守る、ということでした。
様々な制約下で堅牢なシステム環境(OSなど)を期待できない状態であったときに、たとえ侵入されたとしても守るべき資産(今回は写真ファイルです)を漏えいから守る、という点が情報漏えいの対策企業である弊社に与えられた使命です。
つまり、テレビ局側からは修正パッチなどがあてられていない素の状態のパソコンを用意されたということ。そして、具体的には以下のような構成となっていたようです。
1台目のパソコンは以下のような構成となっていました。
・Windows 2000 Server 日本語版(サービスパックなし)
・IIS 5.0によるサービス公開が必要2台目のパソコンは以下のような構成となっていました。
・Windows XP (サービスパックなし)
・SSH、リモートデスクトップによって外部からログイン可能
・誰でも利用できるパソコンを想定し、ログインID、パスワードが攻撃側にあらかじめ通知されている
・ウイルス対策ソフトなし(XP SPなしで動作するセキュリティ対策ソフトがないため)こちらについても、1台目と同様に10年以上の間に発見された多数の脆弱性を抱えたまま、特定の写真を守りきるための対策を限られた時間内で施す必要があるうえ、ルール上、1台目とは異なる方法での対策が必要でしたので、対象の写真ファイルを暗号化によって隠す、という方法をとりました。
※番組内では暗号化のことが「ファイル名の変更」と言い換えられており、見ている方には混乱を招いたようです。
LINK:6月9日(日) に放映された『ほこ×たて』の「たて」の裏側について
つまり…どういう事だってばよ?
私はPCのネットワークやセキュリティについて、詳しいことはわかりません。
ただ、Windows 2000 ServerやWindows XP(両方サービスパックなし)は実際に使っている人がほとんどいない化石OSで、セキュリティホール空きまくりだということは想像できます。こんなノーガード戦法のOSなら、ハッカーは侵入できて当然というレベルなのではないでしょうか。
そのため、セキュリティ側は進入されることを前提に暗号化をほどこしたようですが、編集で「ファイル名の変更」と紹介されたようです。ファイルの暗号化はセキュリティ対策としてはごく一般的な手法だと思われます。
最新版のOSを使って全然進入できませんでした…だと番組的に盛り上がらないのもわかるので、ある程度仕方がない面もあります。しかし、問題はそのようなOSを使ってることをきちんと番組内で説明しなかったこと。
この放送を見て、ネットエージェントにPCのセキュリティをお願いしようと思いますか?少なくとも私は思いません。初見ではこんな簡単にPCに進入させる会社のソフトや技術は全く信用できないと感じました。
テレビの影響力とはスゴイものです。以前『ほこ×たて』で放送されたことによって、出演してた会社の求人が何百倍だかに増えたというニュースも目にしたことがあります。
テレビを見た人の中にこの事実を把握している人は何割いるのでしょう。仮に後からOSの説明されても、素人にはテレビの印象の方が明らかに強いと思います。
ハッカー側としてもこんなルールじゃ勝てない(若干イラっとしてる様子)、セキュリティ側としても入られる前提でファイル名を変えるしか出来ない。結局、誰も得をしない対決でしたね。
ネットエージェントもこのルールで参加を承諾したのですから非がないわけではないですが、この記事が多少でも人の目に触れてその背景を知ってもらえればと思います。
