【IT小説】侵入テスター、命がけの仕事 〜合法ハッカーの一日〜
登場人物
瀬川 優斗(せがわ ゆうと)
職業:新米ペネトレーションテスター(侵入テスター)
職歴:
新卒で大手SIerに入社し、約3年間アプリケーション開発に従事。
その後、セキュリティ分野に興味を持ち、独学で学習。
中堅のサイバーセキュリティ企業に転職し、侵入テスターとしてのキャリアをスタート。
性格:
基本的にポジティブで向上心が強い。
だが、新しい環境では緊張しがちで、時に空回りすることも。
ユーモアが好きで、ストレスをジョークで紛らわすタイプ。
「やばい、詰んだ」と言いつつ、何とか解決する謎の適応力を持つ。
天野 悠(あまの ゆう)
職業:優斗の先輩であり、ペネトレーションテストのエキスパート。
職歴:
元ホワイトハッカーとしてフリーランスで活動していたが、現在は会社員。
脆弱性診断、リバースエンジニアリング、マルウェア解析などを得意とする。
過去に外資系セキュリティ企業に所属し、グローバルなハッキングコンテストにも参加経験あり。
性格:
理論派で冷静沈着。感情をあまり表に出さない。
だが、興味のある話題になるとめちゃくちゃ早口になる。
「この業界、知識のアップデートを怠ると死ぬぞ」が口癖。
先輩として面倒見はいいが、時々試練を与えて楽しむSっ気あり。
佐藤 美咲(さとう みさき)
職業:プロジェクトマネージャー(PM)。優斗の所属するチームのリーダー。
職歴:
新卒でITコンサル企業に入社し、PMとしてキャリアを積む。
セキュリティ領域に関心を持ち、現職へ転職。
性格:
仕事は超絶できるが、プライベートではズボラ。
社員には厳しいが、自分には甘い。
会社の備品(特に付箋とボールペン)を異様に使う。
「とりあえず、納期までに何とかしよう」が口癖。
第1章:新米ペンテスター、初仕事は炎上案件?
1. 突然の指令
「瀬川くん、次の案件、任せるわね」
そう言われたのは、入社してまだ1週間の朝だった。
「え、俺ですか?」
プロジェクトマネージャーの佐藤美咲が、ニヤリと笑いながら言う。
「そう、官公庁システムの脆弱性診断。前任者が途中で降板しちゃったのよね」
脆弱性診断(Penetration Testing, ペネトレーションテスト)とは、システムのセキュリティホールを実際に攻撃することで、どこが弱いかを調査する業務だ。合法的なハッキングとも言える。
「ってことは、炎上案件……?」
優斗の顔が引きつる。
「まあ、気にしないで! 先輩の天野もついてるから♪」
「いやいや、それが一番不安なんですけど!」
天野悠──会社のトップクラスのペンテスターであり、社内でも「ブラックボックス」と呼ばれる謎多き男。技術は超一流だが、彼の指導は厳しいことで有名だった。
2. いざ、初仕事!
案件のターゲットは、某官公庁の入札管理システム。公共事業の発注や契約情報が詰まっているため、セキュリティは極めて重要だ。
優斗は、事前に渡されたシステムの基本情報を確認する。
Webアプリケーション(PHP+MySQL)
AWS上にホストされている
既に基本的なセキュリティ対策は施されている……はず
「ふむ、まずはOSINTからだな」
OSINT(Open Source Intelligence, オープンソースインテリジェンス)とは、公開情報を使ってターゲットの情報を収集する技術。SNS、DNSレコード、会社のウェブサイトなどから、セキュリティの手がかりを探る。
優斗はさっそく、対象システムのドメインを使って情報を洗い出していく。
「……うわ、GitHubに社内向けの設定ファイルがアップされてるぞ」
設定ファイルが流出しているということは、データベースの接続情報や管理者のパスワードが漏洩している可能性がある。
「これ、CVE(Common Vulnerabilities and Exposures)の公開リストに載ってる脆弱性、まんま使えそうですね……」
「おっ、やるじゃん」
いつの間にか、天野が背後に立っていた。
「って、びっくりした!! いつからいたんですか!」
「さっきから。面白そうなことしてるから見てた」
ニヤリと笑う天野。
「さあ、次は実際にエクスプロイト(Exploit)を試すぞ」
エクスプロイトとは、脆弱性を悪用してシステムに侵入する手法。だが、これはあくまで合法なテスト。ルールに従って慎重に進めなければならない。
「優斗、ここからが本番だ。CTF(Capture The Flag)とは違う、リアルな攻防戦が始まるぞ」
第2章:相手はプロ中のプロ? 見えざる敵の妨害
この記事が気に入ったらチップで応援してみませんか?