やはり強い。「半沢直樹」

 特に今回はIT企業の買収がストーリーの中核であり、現代のICT技術を駆使しているようにみえるシーンが多数登場します。

 正月に放送された「狙われた半沢直樹のパスワード」も、研修中の社員を一人で発注先に行かせたりして、あくまで運用がメインの「情報システム部」あるあるなツッコミ所満載だったのですが、ドラマ本編もなかなかそっち方面でも見どころがあり、特に昨日の3話は最高でした。

 いろいろ考えれば考えるほど長文になっていき、記事に起こしてみることにしました。
(今回も3時間以上かかった・・・。)



screenshot1048
 第1話、東京セントラル証券の三木が、諸田から伊佐山宛に送信されたスパイラル買収に関するメールを削除しようとしたところを、半沢が止めに入るシーンがありました。


screenshot1068
 このシーン、三木は諸田からユーザーIDとパスワードをLINEで送ってもらい、諸田のユーザーでPCにログイン。
 これ、本人の同意を得ているとはいえ「なりすまし」と一緒なんですよね。IDカードとPINコードでログインする仕組みが御社にあれば・・・
(そうすると諸田自身がメールを消しに会社に戻る必要があったわけですが)


screenshot1062
 半沢は証拠保全にそのメールをプリントアウトして伊佐山に突き付けますが、伊佐山は「知らないよフフフ。第一そんなメール受け取っちゃいねえよ」とメールの存在を否定するのです。


screenshot1067
 ITに明るい視聴者は、この時「メールサーバー」の可能性を当然考えるわけです。半沢も伊佐山もITに疎いわけではないらしく、半沢は情報システム部の同期・苅田にメールサーバーの照会を依頼し、また伊佐山は別の情報システム部員にメールサーバーからの該当メールの完全削除を指示します
 このシーンでは伊佐山の行動のほうが一手早く、該当のメールは全く存在しないことになるわけですが、このくだりは現代のIT社会において「カイシャで一番強いのはサーバー管理者」であることを暗に示す結果になってしまいました。
 こんなことがまかり通るなら、サーバー管理者(あるいはサーバー管理者に自由にモノ言える社内の権力者)の指1本でなんでもありになってしまうので、コンプライアンスやコーポレート・ガバナンスといった観点からも問題があります。

 半沢直樹の視聴者層を考えると、第1話放送後に自社のサーバーからアレやコレを削除しようと画策した管理職のおじさまが、実際にいたのではないでしょうか。

 あとメールサーバーの「バックアップ」には伊佐山のメール残ってるはずなんだよな。この規模の企業なら毎日とってるはずだし。バックアップが別媒体だと伊佐山メールだけを単発で消すことは困難なはずだし・・・。



screenshot1075
 昨日放送された第3話では、「ロスジェネの逆襲」の原作には登場しない黒崎検査官が登場し、それだけで視聴者を沸かせたわけですが、黒崎検査官率いる証券取引等監視委員会が「これ直樹のよね?」半沢のパソコンを調査するシーンは、ツッコミ所満載で放送後も話題になりました。

 黒崎検査官が探している「フォックス経営情報報告書」のデータを、自分のパソコンに保存していた半沢。こうした社外秘的なデータは、社内でもある程度秘匿されている必要があり、安易に共有フォルダにあげてはいけません。半沢のデータ取扱は◎。
 しかしSESCが調査に入るということで、そのデータをスパイラルに特別に作ってもらっていたクラウドの隠しフォルダに移動させる半沢。しかし黒崎検査官は直樹のパソコンと、発見されたメモから隠しフォルダにたどり着きます。


screenshot1098
 とにかく事前の準備と情報収集が凄まじい黒崎検査官。「HANA」が半沢の奥さんの名前だとすぐに気づきアクセス。
(なお、大阪編で浅野支店長は「花」が誰だかわからずに後手を踏んだ)


screenshot1088
 半沢サイドは外部から半沢のパソコンを覗き見ることを画策し、瀬名社長がプログラマー・高坂にハッキングを依頼。
(このビル・・・個人的に行ったことある気がするんだよなあ・・・・)


screenshot1101
 「HANA」フォルダはパスワードが設定されており、さらに3回パスワードを間違えるとシャットアウト(ロック)するよう設計されている。この隠しフォルダは、瀬名社長曰く「スパイラルの天才・高坂が作った鉄壁のシステム」ということで、基本的な不正アクセス対策は設定されている。○。

screenshot1108
 この後、黒崎検査官はパスワード解析のためにパスワードクラッカーを使用するわけですが、「3回間違えるとロック」されるのに、パスワードクラックは基本的に使用できませんこのシーンはすさまじい矛盾を抱えています。
 パスワードクラックの方法には、黒崎検査官が実際に用いた「総当たり(ブルートフォース)」の他に、辞書攻撃、別方向から流出したパスワードリストを用いる攻撃等がありますが、いずれも複数回のパスワード入力が必要であり、たった3回では認証を突破することはほぼ不可能です。
 黒崎検査官のツールでは「aaaaaa」から順番に小文字の英字を当てていく(これもすさまじいツッコミ所・・・)のですが、シャットアウトが設計どおり機能するならば、「aaaaab」「aaaaac」とパスワード入力を失敗し、「aaaaad」以降はロックによりアクセスできなくなります


問:Webサーバの認証において、同じ利用者IDに対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に、その利用者IDを自動的に一定期間利用停止にするセキュリティ対策を行った。この対策によって、最も防御の効果が期待できる攻撃は(どれか)

答:ブルートフォース攻撃


(ITパスポート 平成29年春期問題より)



 このように、一定回数ロックvsブルートフォースというのは、セキュリティのごくごく基礎的な知識であり、多くの視聴者が「おいおいおい!!」となったことと思います。



 ここからは、「3回失敗でシャットアウト」を何らかの要因で無視できると仮定して述べます。

 本来、ブルートフォースを仕掛けるならば、パスワード1ケタの可能性(つまり、a、b、c・・・)から追及し、aa、ab・・・さらにaaa、aab・・・とケタを増やしていくわけですが、なぜか黒崎検査官は隠しフォルダのパスワードが6ケタで、さらに小文字の英字のみに限定されていると知っており、このことでパスワードクラックの時間が短縮されています。

screenshot1106
 6ケタの小文字英字のみの組み合わせは、
 26^6=308,915,776通りですが、本来なら6ケタのブルートフォースに突入するまでの1〜5ケタの検索で
 12,356,630通りの組み合わせを通らなければならず、高坂さんが「特定に30分かかる」と説明したパスワード「zansin」にたどりつくには、もう少し(といってもプラス2〜3分)かかっていたはず。
(パスワードクラックの処理速度が1分あたり1000万回とすると、26文字の6ケタが約3億通りというのはけっこういい根拠になる。脚本家はこの点については計算していたのかもしれない。けどアクセス認証で1分に1000万回もチャレンジするのはロックを無視したとしても現実的ではない気が・・・・)

 なお、普通に考えて、クラウドの隠しフォルダという特に秘匿しておきたい領域へのアクセスパスワードを、いまどき小文字英字のみで構成するなんてことは有り得ません
 ましてや天才プログラマー高坂さんがこのクラウドを開発したのであれば、パスワードポリシーについても当然設定されているべきであり、3回ロックと共に「パスワードの最低文字数(現在のトレンドでは8〜10ケタ)」、また「大文字・小文字・数字・記号のうち3種類を最低1文字以上含む」といった設定が必要だったし、それを半沢に説明すべきだったでしょう。
 パスワード文字の可能性に、大文字・小文字が両方考えられるならば1ケタは52種類、数字を含めれば62種類、記号を加えればさらに増えます。
 半沢がパスワードの頭文字を大文字にしてansin」にしていれば、黒崎検査官のパスワード特定にかかる時間は「倍返し」どころではなかったでしょう(いやそもそも小文字のブルートフォースしかしないのであれば特定できなかったかもしれない)

 今回のように「黒崎検査官が操作するパソコンの画面が見えている」という前提であれば、もうひとつ裏技があって、パスワードクラックの頭文字が「a」から「b」に移ったのを確認したら、高坂さんに頼んで隠しフォルダのパスワードを、頭文字が「a」のパスワードに変更しちゃう
 頭文字が「a」のパスワードの全ての組み合わせは、すでにツールがアクセスに失敗してるので、再度実行されることはない。「zansin」に至っても、その時にはすでにパスワードが変わってるので正解とはならない。
 黒崎検査官が「合わないじゃないのッ!何やってんのもうッ!!」ってブチ切れること間違いなしです。

 黒崎検査官側から見れば、「HANA」フォルダにアクセスできたあと、ガッツポーズなんてあげてる暇があったらせめてスクリーンショットを撮っていれば、証拠にはなったかもしれない
(結局社長のシュレッダーから出てきてしまうし、フォックスの郷田社長が来て疑惑は晴れるわけですが)


 そもそも黒崎検査官はどうやって半沢のパソコンにパスクラッカーをインストールしたんだ・・・?
 例えばUSBメモリで持ってきたとしたら、会社に登録してないUSBメモリは接続不可とする仕組みがあるべきであり(藤原竜也がskyのCMでやってたやつ)、インターネットに転がっていたとしてもパソコン本体の管理者権限で受け付けないようにすべきだ。

 あとすでに画面ハックできてるのにファイル消すためにわざわざバックドア仕掛ける必要あるっけ・・・?


 とまあ、考えれば考えるほど色々出てくる第3話でした。
 
 それっぽい設定と専門用語を重ねれば、それっぽくドラマチックに演出できてしまうんでしょうね。
 


screenshot1120
 マイクロデバイスの社長がNAVITIMEってマジ?