これってどーなの?映画『耳をすませば』に学ぶセキュリティ<第2回>
私たちが普段楽しんでいる映画、漫画、ゲームなどの創作物。フィクションとはいえ、なかには「これってセキュリティ的にどーなの?」と思うような場面もあったりなかったり…。
そんなあれやこれやについて、セキュリティのプロフェッショナル・徳丸浩先生にまじめに聞いちゃおうというコーナーです。
第二回のテーマはジブリ映画『耳をすませば』
1995年公開の同名漫画を原作とするスタジオジブリアニメ。読書好きの中学3年生・月島雫(つきしましずく)は、図書室で借りる本の図書カードに毎回記載されている「天沢聖司」という名前が気になっていた。ある日、雫はアンティークショップ「地球屋」で老人・西司朗、そして彼の孫である天沢聖司本人と運命的な出会いを果たす――。
※本記事には『耳をすませば』のネタバレが含まれます。
雫ー! 大好きだー!
うわ! びっくりした! なんだね、急に
あっ、徳丸先生。すみません、先日「金○ロー○ショー」で見た『耳をすませば』を思い出したらちょっと一人で盛り上がっちゃって、つい…
意味のない伏せ字はやめたまえ
徳丸先生は『耳をすませば』とか見てないですよね?
そんなことはないよ。先日のTV放送は見てないけど、『耳をすませば』はもちろん何度も見ているよ
えー! 意外ですね。徳丸先生がああいう恋愛ものに興味を持つなんて
君は僕のことを何だと思ってるんだ。……まあでも、たしかに『耳をすませば』を恋愛ものとして見ているわけじゃないよ
えっ!?
あれは良いセキュリティ啓蒙映画だからね
セキュリティ!? ……そんな要素、1ミリもない気がするんですが
そんなことはないよ。君はソーシャル・エンジニアリングという言葉を知ってるかい?
ソーシャル・エンジニアリング……?
ソーシャル・エンジニアリングというのは、パスワードなどを盗むのに、ハッキングのような技術的なテクニックを使わない方法なんだ。たとえばPCにパスワードを打ち込んでいる人の後ろからタイプしている文字を観察したり、メモを盗み見たりといった物理的な方法だね。一般の人が気をつけるべきは、むしろこのソーシャル・エンジニアリングなんだよ!
あの……まだ「耳をすませば」との関連性がよくわからないのですが
たとえば主人公の雫だよ。彼女は図書カードに天沢聖司の名前が毎回あることから、彼のことを気にしていたわけだよね。でも、実はそれは逆だったことが後に判明する。実際には天沢聖司が先回りして、雫がまだ借りていない本の図書カードに自分の名前を入れることで印象づけていたんだ。これは映画でも天沢聖司自身が暴露したから正しい認識のはずだよ
そういう言い方をすると天沢聖司がヤバイやつみたいですけど
しかし、図書室の本は膨大だから、手当たり次第というわけにはいかないだろう。ある程度”雫が好きそうな本”を絞り込む必要がある。つまり、天沢聖司は図書カードを片っ端から分析することで”雫が好きそうな本”の傾向を正確に把握していたと考えられるんだ! 好きな本というのは、ある意味では個人情報ともいえる。つまり、雫は知り合いでもなんでもない赤の他人に個人情報をソーシャル・エンジニアリングされていたというわけだよ
中学生のほのぼのした恋愛に、いきなりどろどろした闇を持ち込みましたね
それだけじゃないよ。天沢聖司は雫の行動をすべて知っているかのように、偶然を装って各所に出現している。雫が落とした歌詞のメモを見られた場面があったよね
コンクリートロードのくだりですよね
あれこそがまさにソーシャル・エンジニアリングの瞬間だよ! あれに書かれていたのがコンクリートロードの歌詞だけだったからまだよかったけど、もしもGmailのパスワードだったらどうなる? 天沢聖司なら間違いなく素知らぬ顔ですばやくメモして、雫のGmailに不正アクセスして交友関係をチェックするね!
な、なるほど……そう言われるとおそろしいですね……
そして極め付きは終盤、天沢聖司が雫の自宅の下で早朝から張り込んでいた場面。なんとなく良いシーンみたいな雰囲気になってたけど、天沢聖司はどうやって雫の自宅の住所を知ったんだろう?
それは……雫の友だちに聞いたとか、学校の名簿で調べたとか……?
そう、つまり物理的な手段で個人情報を抜かれた……ソーシャル・エンジニアリングされたというわけだ。ここまでですでに雫は、「名前」「住所」「好きな本の傾向」という情報を天沢聖司に抜き取られているんだよ
急に背筋が寒くなってきました……! では徳丸先生が雫だったら、どうやってソーシャル・エンジニアリングから身を守りますか?
必要以上に個人情報を出さないことだね。名前くらい、住所くらい、と思うかもしれないけど、それぞれのデータが組み合わさると個人を容易に特定できてしまう。たとえば僕なら図書カードに本名を書かない、学校の名簿に電話番号と住所を書かないといった方法で対処するかな
学校でそれは無理なのでは……
それから、もう一つ。『耳をすませば』のその後についても注意を喚起しておこう。恋人はもっとも身近な他人であり、自分の情報を多く持っている。だから、別れた恋人からのソーシャル・エンジニアリングには特に注意が必要だよ。たとえばパスワードを忘れたときによくある「秘密の質問」も危険だ。将来、雫が何かのウェブサービスに登録したとして、「秘密の質問」に「初恋の人の名前は?」という項目があれば、「聖司」に設定する確率は高いだろう。その質問と答えは、天沢聖司にとっては秘密でも何でもない。あっさりと不正アクセスされてしまうだろう
さらっと別れることを前提にしてますね
映画で見るような凄腕ハッカーにハッキングされるなんてのは、そうそうあることじゃない。だけど、ソーシャル・エンジニアリングは誰にでも起こりうることなんだ。そういうことを『耳をすませば』からは学んでほしいね
次回の更新をお楽しみに!
IT、エンタメ、サブカルチャーなどを中心に執筆するフリーライター/BL研究家。ウェブ媒体は主にマイナビニュース、みんなのごはん等、雑誌はMacFan、料理王国等でお仕事中。たまにラジオやTVにも出演します。マルコ名義で主宰するブログ「カフェオレ・ライター」は累計アクセス9000万超。
Twitter:cafewriter