プロの話は聞いてみるものだが、聞けば聞くほど深い世界がさらに一段も二段も下にあって、末恐ろしくなってしまう。話は聞いていて楽しかったが、同時に恐ろしさも感じて冷や汗が流れた。私たちは、思った以上に丸裸だったのである……。
プロフィール:鈴木傾城(すずき けいせい)
作家、アルファブロガー。まぐまぐ大賞2019、2020年2連覇で『マネーボイス賞』1位。政治・経済分野に精通し、様々な事件や事象を取りあげるブログ「ダークネス」、アジアの闇をテーマにしたブログ「ブラックアジア」、投資をテーマにしたブログ「フルインベスト」を運営している。「鈴木傾城のダークネス・メルマガ編」を発行、マネーボイスにも寄稿している。(連絡先:bllackz@gmail.com)
やろうと思えばピンポイントでターゲットの住まいも分かる
Twitterが凍結寸前になっていることもあって、そもそもTwitterのセキュリティはどうなっているのかを調べたいと思って、かつてハッキングをテーマにアングラサイトを運営していた方と歌舞伎町で会った。
この人が凄まじい人で、すでにサイトは閉じて「ハッキングのお遊びは引退した」と言いつつも、たった1人で10台の携帯電話、30以上の保有電話番号、瞬間的に切り替えるIPアドレス、TOR、VPN、数々のハッキングツールを今も駆使して、「ネットワークやソフトウェアの検証だけはしている」のだという。
いったい何ができるのか?
たとえば、私は彼に自分がどこに住んでいるのか言った覚えはないのだが、彼は「傾城さんがどのあたりに住んでるのかだいたい分かる」と言った。彼はGoogle Mapを開いて、指し示された場所をノートパソコンで見せてくれたのだが、確かに「驚くほど近く」がそこに表示されていた。
「やろうと思えばピンポイントでターゲットの住まいも分かります。ターゲットが使っているいろんなサイトの暗証番号も本気でハッキングしようと思ったらできます」と彼は豪語した。
なぜ、こんなことができるのか。彼と会う前に私は彼とメールのやり取りをする中で、彼が「このサイトを見て下さい」と示したリンクをクリックして表示したのだが、その瞬間に彼は私の情報を抜いていたのだった。
そのサイトは彼が管理する何の変哲もないサイトなのだが、問題は裏側だ。アクセスした瞬間に、ユーザーのありとあらゆる環境変数をすべて抜くプログラムがセットされていた。ログとはまた別の、cookieからの情報も含めた個人情報を抜くための専用プログラムである。
【金融・経済・投資】鈴木傾城が発行する「ダークネス・メルマガ編」はこちら(初月無料)
一番、簡単に個人情報を大量に集める方法とは?
通常、会員制のサイトでもない限り、アクセスしてきたユーザーの誰がその環境変数の持ち主なのかは分からない。しかし、そうした問題も「URLに仕掛けられたクエリー・パラメーターによって仕掛けることが可能なのだ」と彼は言った。
「パラメーターで何かバレたりしませんか?」
「だいたい大丈夫ですが、心配だったらショートURLに変換すればいいです」
彼が私に教えてくれたURLには特別なパラメーターが仕掛けられて、無防備にそのリンクを押すと、彼はサイトにアクセスしたのが私であることを何の造作もなく知ることができるのである。
もともと彼はアングラサイトの運営者らしく若い女性の個人情報を丸ごと抜き取るのが「趣味」だったので、私に仕掛けたこの手法だけでなく、他にもさまざまなツールや手口を使ってターゲットの個人情報を丸裸にすることができる。
若い女性にただリンクを踏ませるだけで、彼はその女性の「だいたいの住所」くらいは抜き取るし、本気になったら女性が使っているPCやスマートフォンの中身まで侵入して、住所なんかよりももっと深い個人情報も得ることができるのである。
「政治家やら著名人の個人情報も抜けるんですか?」と尋ねると、彼は「やろうと思ったら抜けます。政治家なんか興味ないですけど。外国じゃそういうのが好きなハッカーがいてホワイトハウスまでハッキングしたりしてますよ」と言った。
「個人情報はものすごく漏れてます。一番、簡単に個人情報を大量に集める方法って何だか知ってます? 誰でもできる方法です」
「誰でも? 簡単なハッキング方法でもあるんですか?」
「いやいや、ハッキングしなくてもいいんです。どっかのハッカーがハッキングして流出させている情報をそのままごっそりもらってハードディスクに保存しておけば、何もしなくても個人情報なんか集まります。Gメールのアドレスと個人名とパスワードとか、ありふれてますからね。GitHubでばらまいている奴もいれば、DeepWebでばらまいてる奴もいますし、いろいろですね」
【ここでしか読めない!】『鈴木傾城の「ダークネス」メルマガ編』のバックナンバーの購入はこちらから。
携帯電話は10台なのに、電話番号は30個以上も持てる
そういう活動をしていると、逆に警察や通信会社に不審がられて追跡されたりすることもあるのではないかという疑問を持った。
他人の流出させた情報を集めるだけならまだしも、他人の個人情報を抜いたり、あっちこっちにハッキングを仕掛けていたのだから、当然ながら自分もネットワークの中で追われる身になるはずだ。自分がやってきた手口をそっくりそのまま返されたりしないのか?
「そういうこともありますし、最初から自分の身分を擬態しなきゃいけないわけで、だから自分のIPアドレスは漏れないようにしてますし、携帯電話も使い分けます」
「2台で交互に使い分ける感じですか?」と私が何気なく尋ねると、「2台? いやいや、10台くらいありますね。使っている電話番号は常時30個くらいありますけど」と彼は平然と言ってのけた。
電話を2台持ちでも面倒な話だと私は思っていたが、彼はそうではないようだ。電話が10台もあって電話番号は30個もあると言えば、ひとりで中小企業並みである。
「携帯電話は10台なのに、電話番号は30個も持てるんですか?」
「持てます、簡単です。何でかというと、みんな勘違いしてますけど、別に携帯電話番号は携帯電話に紐付いているわけじゃないからです。今のスマホのほとんどはデュアルSIMに対応してますしIP電話も使えるわけだから、電話番号なんかいくらでも手に入れることができますよ。よく電話番号を個人認証で利用してるサイトがありますけど、電話番号なんかいくらでも使い捨てできるんで甘いですね」
「電話番号をたくさん持ったら、何が便利なんですか?」
「うーん、便利というか、すごいいろんなことができるんじゃないですかね。SNSのアカウントなんか、どんだけ凍結されても関係ないし、なりすましもできるし、他人に教える電話番号も使い分けできるし、けっこう役に立つんです。詐欺やる奴も、闇金もみんな電話番号めっちゃ必要です」
ダークネスの電子書籍版!『邪悪な世界の落とし穴: 無防備に生きていると社会が仕掛けたワナに落ちる=鈴木傾城』
使い捨てたい電話番号は050で、しかしSMSが欲しいなら?
それから彼は「電話番号30個以上って言いましたけど、その気になったら無限に電話番号を手に入れる方法もありますし、それは別にハッキングが必要だとか金がかかるというわけじゃなくて、ただアプリを入れるだけでできます」と言った。
「アプリで入れるだけで電話番号が手に入るんですか?」
「入ります。SMARTalkとか、TextPlusとか、Skypeとか、その手の電話番号アプリなんか腐るほどあるんで、好きなのを使えばいいんです。もちろん、1つの携帯電話に複数アプリを入れておいたら、1台で複数の電話番号が使えます。でも、手に入る電話番号は050ですけど」
「050ですか……」
「今、高齢者を狙った詐欺とかあるじゃないですか。あいつらは、海外のアプリで手に入れた使い捨ての無料電話番号でやってるんです。100%とは言わないけどだいたい050です。僕も使い捨て電話番号は050でサクッと作ってますね」
「そう言えばTwitterでも電話番号を入力させて登録させてますけど、050で登録したらいくらでも別アカウントが作れるということですよね」
「Twitterは別に携帯電話を入力しなくてもアカウントは作れるんですが、必ず電話番号を入れるように誘導されるんで、まぁ電話番号が必須みたいな感じになってきましたね。で、Twitterだけじゃないんですけど、だいたいのウェブサービスはSMS(ショートメッセージ)で暗証番号を送って認証させているんで050は弾かれます。050はIP電話なんでSMSが送れないんです」
「なるほど……。そうやって個人認証をしっかりしているということですか」
「でも、SMSが必要な携帯電話が欲しいのならデータ通信用の070の番号を安く買っておけばてっとり早いし、それで問題ないです。アメリカの無料電話番号を提供するサイトだったらSMSも付いてるのがあったりするんで、何とでもなりますしね。ただ、アメリカの方はセキュリティがゼロ」
【マネーボイス】読むと世の中がクリアに見える。鈴木傾城の経済を中心とした必読の記事がここに集積。
話は楽しかったが、同時に恐ろしさも感じて冷や汗が流れた
「私はTwitterで過激な発言をしてるわけじゃないんですが、もう二度も凍結されて次に凍結されたら永久凍結になります。どうしたものかと考えているんですが、どう思いますか?」
「今のアカウントがメインで、それが定着してるならサブ垢(サブ・アカウント)を作った方が絶対いいです。で、Twitterでサブ垢を作っている人って大勢いますけど、ああ言う使い分けって1つの電話番号で紐付いてる複数のアカウントは下手したら、その電話番号のアカウントが永久凍結されたら全部のアカウントがやられるじゃないかな。Twitterの会社から、こいつは悪質なんで皆殺しにしてやると思われたら、まぁサブ垢ごと皆殺しですよ」
「つまり、サブ・アカウントを作るなら電話番号を別にしろということですね」
「そうなんですけど、TwitterもFacebookもそうですけど、あいつらは電話番号だけじゃなくて、IPを含めたいろんな環境変数を使い分けているんで、電話番号変えただけだと不十分でリスクあるんじゃないかと思います」
「どうしたらいいんですか?」
「IPも隠して、通信も丸ごと暗号化して環境変数も渡さないやり方をしたらいいんじゃないですかね。そしたら、Twitter社は、アカウントとアカウントを紐付けることができないんで、絶対にどれかが生き残ります」
「それは難しいんですか?」
「いやいや、難しいことはないです。VPNをくぐらせればいいです。VPN使えば、逆にそこらへんの野良Wi-Fi使ってもまったく怖くない。そういうのをやらないでサブ垢だけ作って喜んでるのが素人じゃないですか」
そういう話を私は延々と6時間近くも聞いていたが、聞けば聞くほど自分がインターネットという世界の中で、いかに無防備であるのかが分かって不安を覚えるほどだった。
プロの話は聞いてみるものだが、聞けば聞くほど深い世界がさらに一段も二段も下にあって、末恐ろしくなってしまう。話は聞いていて楽しかったが、同時に恐ろしさも感じて冷や汗が流れた。
私たちは、思った以上に丸裸だったのである……。
