8.帝都クレジット その1
道路に渋滞はなく順調に進み、2時15分前に大手町に到着した。
『帝都クレジット』は以前絵理子が毎日出勤していた帝都銀行のはす向かいのビルの三階だった。
車を地下の駐車場に止めて、『帝都クレジット』に向かった
受付の女の子に『ガイア』と名乗ると同時にIT担当部長の早川が飛んできた。そして二人を事務所に案内した。
そこは同じ金融機関系といっても銀行とは全く雰囲気が異なっていた。銀行はもともと顧客来店型店舗になっているので、顧客から見えるところには細心の注意を払っているが、カード会社は来客を想定していないせいか、応接スペースからみえるところにダンボールが積んであったり、机の上の書類が山積みになっていたりしていた。
事務所に入ると早川は霧旗たちをミーティングスペースに案内した。事務所はワンフロアになっていて、しきりがなく広々と見渡せた。4,50名の社員がPCを前にして業務を行っていた。女性が8割ぐらいで、男性は各グループに2名ずつぐらい配置されているようだった。一部の社員は業務をしながら、霧旗たちをちらちらと興味深そうに盗み見ていた。
「わざわざお越しいただきありがとうございます。ルートの権限は用意しておきました」
と早川が言うと、霧旗は丁寧にお辞儀をして
「ありがとうございます。では早速LANをつないで御社のWebサーバーをチェックしたいのですが」
「わかりました。LANをつなぐ特別な場所はないので、業務をしているデスクでもよろしいでしょうか?」
「結構です」
早川はそこから近くのデスクに案内した。
霧旗は目の前のデスクで業務をしているロングヘアーの女の子に「お邪魔しまーす」とウィンクをしてそのデスクに腰掛けた。その女の子はちょっと顔を赤らめながら「どうぞ」と答えた。
そのやりとりを見ていた絵理子は霧旗が第一印象で人に好かれるのは天性のものだと感じた。ましてこのイケメンの甘いマスクでウィンクされたら女の子なら誰でもどぎまぎしてしまう。でも仕事中にどうかとは思うけど。
霧旗はアタッシュケースからPCを取り出してLANケーブルをPCにつないだ。
「PCを持ってきた?」
と霧旗は絵理子に尋ねた。
「ええ、一応」
「貸して」
霧旗は自分のPCと絵理子のPCをつなぐと、
「いっしょに画面を見て欲しい。何か異常を見つけたら教えて」
「わかったわ」
絵理子は霧旗の隣に座った。
霧旗はPCを立ち上げ、ルートのIDとパスワードでログインをした。それから早川に向かって、
「被害者の方のリストがありますか?」
と尋ねた。早川は手に持っていた書類を霧旗へ渡した。
「これが現在判明している被害者リストです」
「すみません、電子ファイルでいただけますか?どこかのフォルダに格納するかメールで送信してもらえばそこからコピーします」
「わかりました。今すぐご用意します」
そう答えると早川は自分の席のほうへもどっていった。
霧旗はいくつかのハッキングツールを起動させた。絵理子は自分のPCの画面に映る作業を見守っていた。今までハッキングツールなど使用したことはないので興味津々だった。
霧旗は最初に『帝都クレジット』のホームページを構成しているWebサーバーへアクセスし確認作業をはじめた。Webページのコードが並ぶとやっと絵理子がわかる画面になった。このホームページの作りは割に単純だった。このくらいのプログラムなら私にも書ける。しかし、怪しい箇所が見つからなかった。ハッキングツールも各ページを追いかけているが特にヒットするものはなかった。
1時間ほどでWebサーバーの中の全ページを一巡した。結局何も見つからなかった。フィッシング詐欺の画面はたぶん『帝都クレジット』の画面にたどり着く前に仕掛けられているのだろう。
「何か気が付いた?」
霧旗は椅子の背もたれにのけぞると絵理子を見た。
「いえ、特に改竄されたところはなさそうね。一つ脆弱な部分があったけど、侵入された形跡はなかったわ」
「脆弱な部分ってこれ?」
霧旗は画面を開いて、コードを示した。
「そう、そこね。早くパッチを当てたほうがいいわ」
「それから、ここも脆弱だと思うよ」
霧旗は別のページのコードを示した。
「これはどこが脆弱なの?」
「この部分だよ。このままだとDDoS攻撃を受けたときこの部分だけが機能不全になる」
「そうなんだ。知らなかったわ」
「先月DDoS攻撃を受けたクライアントのWebページをスキャンしたときに気が付いたんだ」
絵理子はなぜ霧旗がセキュリティホールをばかりを見つけることを仕事にしているのかわかったような気がした。侵入の手口を研究すれば同時にその対応場所も対応方法も検討することができる。セキュリティ担当者にとって、一番厄介なのはどこに脆弱性があるかを探すことだから。
そのとき早川から被害者リストの格納場所のメールが届いた。
霧旗は被害者リストが格納されているフォルダにアクセスし、被害者リストをデスクトップにコピーした。
被害者リストには20数名の名前があった。住所を見ると早川が言ったように、東京、横浜だけでなく長崎、新潟、広島と全国にまたがっていた。
これではスキミングの可能性は低い。大規模なスキミングの組織ができていたとしてもこのゴールデンウィークから一斉に始めたとは考えにくい。被害者の不正購入された商品リストを見ると、すべてインターネットで購入したものばかりだ。やはりフィッシング詐欺に近い形で被害者のクレジットカードのIDやパスワードを盗んだのだろう。
同じように画面を見ていた絵理子は、購入商品の一覧を見て霧旗に話かけた。
「ちょっとこれを見て。犯人は被害者が購入したものと同じようなものを購入しているわ。衣料品が多い人は衣料品を家電が多い人は家電を購入している。クレジットカードのIDとパスワードを盗めば何でも購入できるのに。それに購入金額もそれほど高額金額ではないわ。1万円や2万円ぐらいのものを買ってる。一番高くても5万円よ」
霧旗も首をかしげた。
「何だか変だね。犯罪組織の資金源にするには額が小さいし、不正利用をごまかすために同じようなものを買ったとしても、被害者にはいずればれてしまう。犯人の行動が読めないな」
霧旗はデスクから立ち上がり窓際に向かった。窓の下には大手町の交差点が見え、せわしく行きかう車の列が続いていた。ぼんやり見つめていた霧旗はふと何か思いついたように顔を輝かせ、絵理子のところに戻って来た。
「まずどうやってこの被害者のクレジットカードの情報が盗まれたのかを調査しよう。そのためにはやっぱり被害者から直接話を聞いてみないとわからない」
霧旗は絵理子とともに事務所内を横切って早川のところへ行き、被害者からヒアリングをしたいと依頼した。
「早川さん、これまでの調査では御社のWebサーバーに特に異常はみられません。ですからホームページはとくに問題ないと思います。被害に遭われた方はたぶん御社のホームページにアクセスする前にフィッシング詐欺にあったと思われます」
「では弊社に落ち度はないのですね」
「いまのところそうですね」
「よかった」
早川は安堵の表情を見せた。
「早川さん、お願いがあります。カードの情報をどこで盗まれたのかを調査するため、被害者の方からヒアリングをしたいのですが、連絡をとっていただけませんか?」
「わかりました。お客様のご都合もあるのでお約束はできませんがあたってみます」
「よろしくお願いします」
霧旗はお礼を言った。
二人が自分たちのデスクにもどろうとすると、
「成瀬さん」
絵理子は自分の名前を呼ばれて振り向いた。
「梶岡くん?」
「お久しぶりです。その節はお世話になりました」
「元気でやってる?」
梶岡は以前『帝都銀行』のIT部門で絵理子の部下だった。非常に優秀なプログラマーだったが、合併後のリストラの嵐に巻き込まれて退職を余儀なくされた。そのときこの『帝都クレジット』に就職を斡旋したのが絵理子だった。あのときは30名くらいの就職のあっせんで飛び回っていたので、『帝都クレジット』に梶岡を推薦したことをすっかり忘れていた。
「成瀬さん、今日はどうしたんですか?」
「梶岡くん、実は私も『帝都銀行』を辞めたのよ」
「そうだったんですか。大変でしたね」
「仁科部長の紹介で『ガイア』というITの会社に勤めることになったの。今日が初仕事よ」
「『ガイア』ってあの那智さんの『ガイア』ですか?」
「うちの那智代表を知ってるの?」
「いえ、直接は存知ませんが、有名なスーパーハッカーですよ。あの会社にはそんな人たちがごろごろしてるって評判です」
「スーパーハッカー?」
絵理子は、先程会った『のぞき屋』を思い出し思わず吹き出しそうになった。
「そういえば梶岡くんはここのホームページを担当してる?」
「いえ、別の人間がやってますが、何か?」
「セキュリティホールを見つけたので教えておこうと思って」
「すごいなあ。もうバリバリ働いてるじゃないですか」
絵理子は梶岡をデスクに連れて行き、画面を指差して、
「こことここね。最初のほうはパッチが公開されているわ。もうひとつは…」
そういうと霧旗のほうを向いた。霧旗は正面に座っているロングヘアーの女の子と親しそうに話し込んでいた。聞こえてきたのはファッションの話題だった。絵理子はあきれたという顔をしながら、
「霧旗くん、さっきの脆弱性のパッチはあるの?」
「パッチはないけどちょっと時間が空いたから、今ぼくのほうでコードを書いてあげるよ」
そういうと、話し込んでいた女の子にまたウィンクしてデスクに座り、キーボードで20行くらいのプログラムをさらさらと書き、それを当てた。
「紹介するわ。いっしょに働いている霧旗くん。こちら私の帝都銀行時代の部下の梶岡さん」
霧旗は軽く手をあげた。梶岡は、
「霧旗さんって、あの『霧旗さん』ですか?」
「どの霧旗さん?」
霧旗はひょうきんな顔をして梶岡の目を覗き込んだ。
「10年くらい前ハッカー雑誌に取り上げられた優秀な高校生ハッカーで、『官庁サイト改竄事件』で中国人のハッカーを撃退した…」
「昔話だよ」
「うれしいなあ。こんなところで会えるなんて。私はあの雑誌を読んでITの仕事を選んだんですよ」
梶岡は本当にうれしそうに霧旗と握手をした。それからスキップでもしかねない様子で自分の職場にもどっていった。
「峻くんは有名人なのね」
と絵理子は驚いたように、霧旗を見た。
「そう、有名人だよ。ぼくを知らないのは君くらいだ」
「ま、失礼しました」
絵理子はぷいと横を向いた。しかし、自分が知らないとはいえ、那智さんも霧旗くんもITの業界ではそれなりに有名らしい。そんな人たちといっしょに自分はこの仕事をやっていけるのだろうか?ちょっと不安だなあ。
