初出:2018/12/13 ポータルオリジナル企画
たまにはJokerも記事とか書かないかなー(チラッ
目がない人にチラ見されるの斬新ですね。
裏方仕事ばかりではなくたまには何か記事を書くか、と思いまして、今回はポータル管理人、Jokerがハッキングの話をお送りします。とはいっても、今回のテーマはフィクションにおけるハッキングの描写の話です。
ハッキングシーンの演出
なお、フィクションにおける科学描写全般については、くられ氏のディスカバリーチャンネル連載「アリエナクナイ科学ノ教科書:第6回 Breaking Badに学ぶ 科学描写の使い方とごまかし方」という素晴らしい記事があるのでそちらをどうぞ。
さて、漫画やアニメ、ドラマに映画と、今も昔も、スパイが忍び込んではこっそりと機密情報を盗んでいく・・・というのは、定番の「ハッキング」シーンだと思います。
時代の変遷を経て、媒体がフロッピーだったり、CDだったり、USBメモリだったりしますが、まあだいたい、パソコンに映っている画面は本物ではなく「それらしい何か」です。
この辺、大人の事情などもあると思いますが、演出の都合というものもあります。
ぶっちゃけると「重要な情報を盗み出すスリリングなシーン」に、日常感あふれるWindowsのエラー画面とか、あまりにも画面映えしない文字列の羅列というリアルはいらんのです。何かすげー事をしていてカッコいい、というリアリティの方が大事なんですね。
とりわけ、ハッキングという行為そのものが刺身のツマ的な立ち位置の作品では特に、です。
「ハッキング」を主題にするのは難しい?
とはいえ、「ハッキング」というものを主題に置いた作品だと、やはりある程度踏み込んだ描写が必要です。
最近、週刊少年ジャンプで連載が開始された「ne0;lation(ネオレイション)」は、ハッカーの少年が主役のストーリーで、個人的にはなかなかの意欲作に感じます。
いや、だって「ハッキング」そのものをネタにするのってとても難しいので、すごいチャレンジだと思うんですよ。
![週刊少年ジャンプ(2) 2019年 1/8 号 [雑誌]](https://m.media-amazon.com/images/I/61WK4mQLUnL._SL160_.jpg)
しかしまあ、やはり難しい部分があるのか、SNSではハッキング描写について「ツッコミどころ満載」などと言われています。とりわけ序盤のスマホのハックからの画像消去の流れについては「もう少しまともな監修を入れろよ!」と言われても仕方ありません。
しっかりとした監修が入りさえすれば、それこそくられ氏監修の「Dr.STONE」が科学に興味を持たせるのと同じように、ネットワークリテラシーに興味を持つきっかけにもなったのではないか、という部分が惜しいです。
該当のシーンで読者に提示したいのは「相手のスマホをハックして画像を消去すること」です。実際の台詞を引用してみます。
電波測定により番号は特定済み
端末契約会社からEメールアドレスを取得
DNSサーバーポートにマルウェア設置
デコイ送信ーー
デバイス捕獲
MACアドレス特定
IPアドレス再設定
私はエンジニアとしては大した事ないので、実際にセキュリティについて専門でやってる人からすれば穴だらけかもしれませんが、ちょっと一個一個噛み砕いてみましょう。
電話番号やメールアドレスの特定云々など、スマホの乗っ取りについて必要かと言われると疑問符が付きます。スマホを乗っ取ればすぐわかる情報を、電波やキャリアを辿るなどというよくわからん迂遠な真似をする理由がわかりません。電波から電話番号を特定する・・・というのも、ちょっと無理を感じます。
DNSサーバーとは、簡単に言えばIPアドレスという数字の羅列をわかりやすい文字列に変換する仕組みです。数字のまんまだと人間がわかりづらいので、このIPアドレスなら「google.com」ね!といった感じで、数字と文字列を対応させています。
しかし「サーバーポートにマルウェア設置、デコイ送信」って意味不明です。DNSスプーフィングといって、この対応関係を偽装する攻撃手法はあるのですが、その辺を表現したかったのでしょうか。
この辺の攻撃を使えばフィッシング詐欺のように偽のサイトに誘導してマルウェアを仕込む事は可能かもしれませんが、スマホを乗っ取ってしまえばマルウェアなど仕込み放題です。やはり後先に感じます。
MACアドレスはネットワーク機器にハードウェア的に割り当てられてる識別番号なので、これを特定したので「お前のスマホがわかったぞ」というのは、まあわかります。しかしIPアドレスを再設定するのはやはりよくわかりません。ちなみにIPアドレスはやっぱりネットワーク上の識別番号ですが、特定できればいいのでは?
と、率直に言って全般的に変な感じがするので、ある程度の知識がある人からするとおしなべて意味不明で、わからない人からしても、なんだか専門用語を並べ立てられて煙に巻かれてる気がするのが、もやっとする原因かもしれません。
わからない人にもそれらしく「何をしているか」を伝えるのが、こういう場面には必要な事ではないのかな、と思います。専門用語は簡単にでも説明するか(同作でもGPSについては位置情報システムだと説明しているわけですし)、エッセンスに止めておくべきではないかと。
店内ネットワーク経由でスマホを特定
機種情報を確認ーー攻撃開始
スマホの乗っ取り完了
マルウェア設置
住所氏名、電話番号、メール、メッセージ、SNSーー
そしてもちろん写真もすべて把握完了
など、こんな感じの演出なら、何やってるのかわかりつつも「怖っ!」と思うのではないでしょうか?
スマホハックを考えてみる
実際に出来るかどうか、というのはともかく、フィクションとしてこのシーンでスマホをハックするのであれば、Wi-FiやBluetooth経由で攻撃を仕掛けるという方がまだ説得力があるというもの。
この辺、最近話題になる「AirDrop痴漢」なんかがまさにその辺からのアクセスで、被害者がザルな設定をしてるので画像を問答無用で送りつけられるという事例だったりします。
AirDrop痴漢の回避方法については以下で触れているので、気になる人はどうぞ。
さらに「ノートパソコンからスマホにアクセスする」という事例で言うなら、実はMacとiPhoneの組み合わせで、macOS MojaveとiOS 12以降であれば、AppleのOS標準機能で「連係カメラ」という機能があります。
これまたWi-FiとBluetoothを使っていて、Mac側の操作でiPhoneのカメラを起動して、撮影した写真をそのままMacに取り込める、という機能です。
この辺、端末の特定に関しては、前者は無差別で後者は2ファクタ認証済みの同じApple IDを運用しているのが条件だったりしますが、無茶な設定をするよりかは「アクセスのとっかかり」がある訳です。
実際、既に対策はされているものの、Bluetoothの脆弱性をついてスマホ乗っ取り、というのは、過去に話題になりました。
こういった側面から、ハッカーの主人公が新たに発見した「脆弱性」があって、そこから乗っ取りを行うような描写にすれば、知識がある人からすれば「現実味があってよく出来てる」になります。また、知らない人には「ヤバいじゃん!」と、セキュリティ意識を持ってもらうきっかけを漫画の中でネタにできたのでは、と思うのです。
フィクションならではの手法を使うのも一つの手段
話が逸れましたが、フィクションはフィクションですので、必ずしも現実に沿わせる必要はありません。それっぽければ良いのです。
先ほどのBluetoothの件もそうですし、店内のWi-Fiネットワークを乗っ取った事にして、そこから端末を特定しても良いです。
もっと飛躍して漫画的に「相手がスマホで画像を開いたら、何故か突然電源が落ちて画像が消去されてしまった」というのはどうでしょう?
単体だととても陳腐で何やってるのか意味不明のネタであっても、そこにフィクションならではのテクニックを使って肉付けしていけばいいのです。
写真にはちらりとQRコードっぽいものが映り込んでいる。実はこれは主人公の仕込みであり、見つけたばかりのまだ対策されていない脆弱性を突けるものだ。そのQRコードのようなものが映った画像を開く時にこのコードが読み込まれると、仕掛けが発動して、画像はそのまま消去される。
こんな感じです。さらに言えば、この時にスマホを乗っ取り、マルウェアを仕込んでいた事にすれば、後のストーリーとの整合性も取れるでしょう。
ここでのポイントは「未知の脆弱性」という、ツッコミの入れようがないブラックボックスを用意してやること。これをごまかしどころとして話を展開すれば、ある程度までは荒唐無稽な事をしても、面白さのための演出となるはずです。
宣伝
恐縮ですが、最後に宣伝させてください。「アリエナイ理科ノ大事典II」、私もこのポータル制作時の話なんかを寄稿しております。
アリエナイ理科ポータル管理人にしてメルマガ編集、配信担当。薬理凶室の裏方にいる四ツ目の悪魔。https://twitter.com/JokerLunatic
