Watch

『ミスター・ロボット』リワインド:エピソード5の暴動中にHSMをハッキングする

『ミスター・ロボット』リワインド:エピソード5の暴動中にHSMをハッキングする
エリオットはアンジェラと対峙する。(USAネットワークス撮影)

 [ネタバレ注意]この記事は、ミスター・ロボット最新エピソード(Eps3.4_runtime-err0r.r00)の技術的詳細を深く分析しています。まだ視聴していない方は、後でまたご覧になることをお勧めします。

うん…このエピソードでは本当に排泄物がプロペラに当たったんだ。

Mr. Robotの最新エピソードは、ストーリーと撮影の両面で非常に緊迫感がありました。まるでワンシーンのように撮影・編集されたこのエピソードは、エリオットとアンジェラのストレスフルな仕事の始まりを、まるでワンシーンの連続ショットのように映し出しています。解雇を回避しながら、もうすぐ辞めることになる雇用主を危険なハッカーから守り、しかもその最中に暴動がビルに押し寄せる、そんな日々がどれだけあるでしょうか。エリオットはそろそろ引退すべき時なのかもしれませんね…。

シリーズ最新作:シアトルに拠点を置くWatchGuard TechnologiesのCTO、Corey NachreinerがGeekWireで「Mr. Robot」のエピソードをレビューします 。番組はUSA Networkで毎週水曜午後10時に放送されています。Twitterで#MrRobotRewindをつけて会話に参加し、Coreyの@SecAdeptをフォローしてください。

いずれにせよ、「ミスター・ロボット リワインド」シリーズの記事は、番組のクールなアートやストーリー要素を熱く語るのではなく、ハッキングの精度、つまり「ハキュラシー」を検証することを目的としています。皆さんも私と同じように、ワンテイクで編集されたエピソードでは、ハッキングを多く見せるのは難しいだろうと想像したかもしれません。しかし、それは全くの誤解です。この42分間の「リアルタイム」エピソードには、興味深いストーリー展開と同じくらい多くのハッキングが詰め込まれていました。それでは早速見ていきましょう。

ELKでハッカーのログを追跡する

前述したように、このエピソードは、ある月曜日の朝(国連投票で中国によるコンゴ併合が承認された日)のEコープでのエリオットの姿をリアルタイムで追っています。その日は、Eコープのアカウントにログインできなくなり、解雇されそうになっていることに気づいたエリオットが、最悪の一日の始まりを迎えます。そして、必死に防ごうとしていたステージ2の攻撃に何か問題があるのではないかと疑念を抱き始めます。

エリオットはキューブメイトを説得して自分のワークステーションを少しの間使わせてもらう。そこで、このエピソードの最初の技術的なショットが映し出される。エリオットはKibanaダッシュボードを開く。ご存知の方も多いと思うが、KibanaはAmazonのElastic Stack(旧称「ELK」)の一部だ。ELKには、Elasticsearch、Logstash Kibanaといったツールが含まれており、これらを組み合わせることで、ユーザーはログを保存し、簡単に検索し、可視化することができる。Kibanaは可視化の要素であり、エリオットは保護対象のUPSシステムを監視するために作成したカスタムダッシュボードを見ているようだ。彼はすぐにダッシュボードに、誰かがE CorpのUPSシステムのファームウェアを更新しようとして失敗したことを示すログを見つける。失敗したのは、彼が以前にUPSデバイスに「パッチ」を適用し、E Corpの有効なデジタルキーで「署名」されたファームウェアアップデートのみを使用するように設定していたためだ。表面的にはこれは良い知らせだが、エリオットは事態がそこで終わらないことを知っている。

図 1: Elliot の Kibana ダッシュボード。

このシーンで見られるものはすべて非常に正確に描写されており、エリオットがELKを使ってログを監視し、可視化している点が特に気に入っています。これは多くのテクノロジー企業で行われていることです。実際、私のチームのセキュリティ研究者もデータの可視化にELKを使用しています。しかし、この短いシーンには、さらに深く掘り下げれば、より正確なハッキング技術が隠されているかもしれません。

このシーケンスでは、エリオットがリモートターミナルエミュレーターのPuttyを使って、監視対象のログをすべて保存しているサーバーに接続する様子も見られます。彼が接続したIPアドレスはイースターエッグで、エリオットが見ていたKibanaダッシュボードの偽バージョンを見ることができます。番組でもこのダッシュボードを見ることができますが、上記のリンクからの方がはるかに分かりやすいです。

図 2: エリオットのパテ接続部にはイースター エッグが隠されています。

ダッシュボードの左上のパネルを見ると、エリオットが E 社のサーバーで実行されているコマンドを監視しているようです。これらのコマンドには、net viewnet useなど、ユーザーがリモートからファイルを表示、実行、または他のコンピューターに転送できるようにする Windows コマンドが含まれています。また、サーバー上に現在キャッシュされている Kerberos チケットを表示するklistコマンドもあります。最後に、 mimi.exeという奇妙なプログラムがあります。そのコマンドのパラメーターに基づいて、これは明らかに Mimikatz の名前を変更したバージョンです。Mimikatz は、さまざまな手法を使用して Windows コンピューターから認証資格情報とトークンを盗むために使用される一般的な侵入テスト ツールです。過去のエピソードでも Mimikatz が使用されているのを見てきましたが、今回のケースでは、誰かがその「pass-the-ticket」機能を利用して、キャッシュされた Kerberos チケットを持つ他のネットワーク コンピューターにログインしているようです。

つまり、これらの隠された詳細は、ハッカーが内部アクセスを悪用してネットワーク上の他のコンピュータに侵入する「ラテラルムーブメント」の非常に現実的な例を示しています。攻撃者が1台のコンピュータをルート化すると、その内部マシン上の多くの資産を活用して他の内部コンピュータへの侵入を容易にし、通常はその過程でより高い権限へのアクセスを獲得し、最終的にはネットワーク全体を掌握するために必要なすべての認証情報を入手します。これらのログはUPSファームウェアに関連するものではありませんが、ダークアーミーがEコープの内部ネットワーク全体を静かに掌握し、ユーザーとサーバーの認証情報を収集していることをエリオットに正確に示唆しています。これらの隠された詳細は、このエピソードの後半で重要な役割を果たすことになります。

ソーシャルエンジニアリングによる同僚とセキュリティに精通したおばあちゃん

E 社の人事部と警備員が到着するまで、エリオットはキューブメイトのコンピューターを数秒しか使えません。しかし、ダーク アーミーがステージ 2 を復活させるために何をしているのかを知るには、E 社のネットワーク アクセスが必要です。追跡が始まります。

ロックアウトされて逃走中、Eコーポレーションのコンピュータにどうやって侵入する?もちろん、同僚をソーシャルエンジニアリングで誘導するんだ!

エリオットが警備員の目をくぐり抜けている間に、彼は従業員だらけのフロアにやって来て、外見に基づいて彼らのプロファイリングを開始し、ソーシャルエンジニアリングの完璧な標的を探し始めた。彼はホワイトアウトを嗅ぎつけている年配の女性を見つけた。おばあちゃんたちはITやセキュリティについてあまり知らないだろう?まさに完璧な標的だ!

図 3: pwnage の完璧な犠牲者ですよね?…違います!

この番組は、ハッキングの技術的・運用的な詳細を正確に捉えているだけでなく、「ハッカー」メディアでよく見られるステレオタイプや決まり文句を覆しているところが気に入っています。結局のところ、おばあちゃんは完璧な被害者ではなく、セキュリティ忍者だったのです。

エリオットはEコープIT部門の社員を装って彼女に近づき、彼女のコンピュータに不正なリモートデスクトップ共有プログラムが検出されたと告げる。これはなかなか巧妙な詐欺だ。ハッカーは悪意を持ってリモートデスクトップ共有ソフトウェアをインストールすることがある。しかし、従業員が自宅で仕事をするために独自のリモートデスクトップアプリをインストールすることもある。こうした従業員は善意からそうした行為を行っているのかもしれないが、多くの企業は、不正なリモート共有アプリケーションに伴うセキュリティリスクを回避するため、承認されたリモート共有アプリケーションの使用を従業員に求めている。エリオットの言い分は実に説得力がある。

しかし、上級セキュリティ忍者のエリーはそれを許しません。彼女は、自分は許可されていないリモート共有をするほど賢くないと答えます。彼女は、自分のコンピューターからのすべての送受信接続を監視するホストベースのファイアウォールを導入しただけでなく、E Corpのセキュリティポリシーが十分ではないと考え、ポリシーをさらに強化し、既知の安全なアプリケーションのみを実行できるホワイトリスト制御も導入しました。つまり、彼女は可能な限り最も厳格なエンドポイントセキュリティポリシーを実装したのです。幸いなことに、彼女はGoToMyPC(人気のリモートデスクトップサービス)を使っているバーニー支持者の男をあまり好きではないようで、すぐに彼を密告しました。そうでなければ、エリオットの最初のソーシャルエンジニアリングの試みは惨めに失敗していたでしょう。

このシーンには、改めて見ても非常に的確な描写が散りばめられています。まず、今回は失敗に終わりましたが、プロファイリングはソーシャルエンジニアが迅速な判断を下すために用いる手法です。プロファイリングは決して完璧ではありません。例えば、個人の偏見に基づいた、全く間違ったプロファイリング方法があります。ソーシャルエンジニアがそのような行為をすると、往々にして失敗します。しかし、賢明なソーシャルエンジニアは統計に精通しています。定量的な統計に基づいた、知識に基づいた賭けに出ることができるのです。当然のことながら、こうした統計に基づいて判断を下すことはステレオタイプ化であり、失敗することもありますが、ソーシャルエンジニアはそれでも手持ちの情報を活用する必要があります。エリオットがエリーについて自分が大きく間違っていたことに気づくシーンは、これまでのシリーズの中で私が最も気に入っているシーンの一つです。

ちなみに、エリオットの詐欺が成功し、仲間のコンピュータにアクセスできるようになると、彼はKibanaを使った調査を続けます。以前のものとほとんど変わらないので詳しく説明はしませんが、ログコマンドウィンドウをスクロールアップする様子は確認できます。この新たな映像では、ダーク・アーミーの動向を示唆する、より正確なコマンドがいくつか確認されています。これらのコマンドを詳細に分析することはしませんが、ダーク・アーミーがEコープの証明書セキュリティを管理するグループのメンバーの認証情報を探していることが正確に示されています。そして、彼らはコード署名アーキテクチャチーム(CSAT)のメンバーであるフランク・ボウマンの認証情報を盗んだようです。

この新たな発見により、エリオットはダーク・アーミーがUPSファームウェアの署名と保護に使用したEコーポレーションのデジタル鍵を盗もうとしていることを知りました。企業にとってデジタル署名鍵は最も重要なデジタル資産の一つであり、賢明な企業はそのセキュリティを確保するために特別な予防措置を講じています。多くの大企業は、デジタル証明書と鍵を安全に保管・管理するためにハードウェア・セキュリティ・モジュール(HSM)を使用しており、フランク・ボウマンのチームはこのHSMを管理しています。エリオットはダーク・アーミーの標的を知っています!

アンジェラが魔法のように超高度なHSM強盗を成功させる

このエピソードはエリオットを追って始まったが、途中でカメラは彼を離れてEコープ前の暴徒たちへと移り、暴徒たちは最終的にアンジェラを見つける。そして番組の残りは、彼女の視点で描かれる。

覚えておいてください、アンジェラはホワイトローズに説得されてダークアーミーに加わったため、厳密に言えばダークアーミーのために働いているのです。暴動の混乱の最中、彼女はアーヴィングから電話を受け、エリオット(ミスター・ロボット)に緊急時対応計画の協力を依頼されます。それはHSMのバックアップです。これにより、ダークアーミーはEコープのすべてのデジタルキーと証明書のコピーを入手し、正しいキーがあれば、悪意のあるUPSファームウェアに正しく署名できるようになります。アーヴィングはまた、エリオットのハッキングを支援するために、ダークアーミーが彼女に機材と指示書の「パッケージ」を残すように都合よく手配しました。

何らかの理由で(おそらく彼が解雇されたことを知っていたからか、薬を飲ませたことを覚えていたからか)、アンジェラはエリオット(あるいはミスター・ロボット)に助けを求めるのをやめ、自ら行動を起こすことにしました。正直に言うと、私はこの行動にすぐに驚き、懐疑的になりました。アンジェラにはハッキングスキルがなく、ましてや高度な技術を持つ人間でもないことは既に分かっていました。彼女はフェムトセルハッキングを実行するための簡単な一連のタスクを習得するのに苦労しました。HSMで何かを行うのは、複雑な技術的タスクという点では、かなりのステップアップです。説明書があったとしても、アンジェラはここで苦労するだろうと思いました。もし説明書がエリオット向けに書かれていて、アンジェラが必要とする詳細な情報が含まれていなかったら、大惨事になっていたでしょう。

このハッキングの技術的な詳細に入る前に、HSMを使ったことがない方(おそらくほとんどの人は使ったことがないでしょう)は、HSMが組織が利用できる最も安全なコンポーネントの一つであることを知っておく必要があります。HSMを導入するために十分な費用を支払っている企業は、非常に貴重な情報を守るデジタルキーを保護するためにHSMを使用しています。HSMのセキュリティは極めて重要です。ハードウェアベースのHSMは通常、ネットワークの他の部分からセグメント化(エアギャップ)されており、高度にセキュリティ保護された施設内に厳重に保管されていることがよくあります。

さらに、HSM上で行うすべての操作は、通常、安全なプロセスに基づいています。例えば、様々なプロセスにおいて、多要素認証の一環としてハードウェア認証トークン(主に小型USBキー)の使用が求められることがよくあります。実際、多くのハードウェアHSMでは、特定のタスクを実行するために異なるハードウェアキーが必要です。これは、権限の分離を強制するものであり、複数のチームメンバーがそれぞれ異なる操作のために連携する必要があります。HSMを管理するためのキーを持っている人が、新しい証明書を作成したり、HSMをバックアップしたりするために必要なキーを持っているとは限りません。あるHSMベンダーの異なる色付きキーと、それらが許可する操作の例をこちらでご覧いただけます。実際、このエピソードで紹介されているHSMソリューションのベンダーは、まさにそのベンダーのようです。

つまり、アンジェラはHSMへの物理的なアクセス、あるいはHSMへの安全なリモートアクセスを可能にするデバイスを必要とするだけでなく、HSM上で特定の操作を実行するために複数のハードウェアキーを必要とするのです。HSM自体と同様に、これらのUSBハードウェアキーは通常、厳重に保護されています。ほとんどの企業は、これらを金庫に保管するか、HSMとは別の場所に施錠して保管しています。つまり、HSMのハッキングや盗難は非常に困難であり、実行可能なハッキングの中でも最も高度なものの一つと言えるでしょう。

アンジェラはアーヴィングからいくつかの荷物を受け取りました。「バックアップHSM」として機能するハードウェアアプライアンス、スクリプトがあらかじめ書き込まれた通常のUSBストレージキー、そして説明書が書かれた紙です。実は、このバックアップHSMハードウェアアプライアンスは、本物のSafeNet Luna G5デバイスのようです。私がこれを知っているのは、後継機にSafeNetのロゴが付いているからです。幸運なことに、このことを確認できた人たちと仕事をすることができました。Mr. Robotがどれほど本物か知りたいなら、彼らが使用している機器が本物であるという事実を見るだけで十分です。それでは、説明書を見てみましょう。

私自身、説明書を読めるほど鮮明なスクリーンショットを撮ることができませんでしたが、Redditユーザー(u/Metal_Monkey42)が忍耐強くPhotoshopのスキルを駆使して助けてくれました。彼が作成した説明書の画像はこちらでご覧いただけます。

詳細は次のとおりです。

23階、CSAT室23-148

エリオットの以前の発見から、23 階にはコード署名アーキテクチャ チーム (CSAT) があり、また、そこにアクセスできる HSM (安全なリモート ターミナル) も設置されていることがわかっています。

HSM管理サーバーの認証情報 – frank.bowman:hidd3nlynx

全体的に見て、この強盗事件は「HSMハッキング」とは言い難いものでした。HSMに脆弱性は全くありませんでした。むしろ、ダーク・アーミーは既にフランク・ボーマンの認証情報を盗んでいました(エリオットはログからそれを知っていました)。彼らは既に管理者名とパスワードを握っています。また、彼らはEコープのネットワークに長く「潜伏」していたため、他にも大量の内部データを盗んでいた可能性も十分に考えられます。しかし、前述したように、HSMはもう少し複雑です。

バックアップHSMを管理サーバーに接続し、バックアップHSMの電源をオンにします。

アンジェラが荷物の中に見つけたバックアップデバイスです。SafeNet Luna G5のようです。ダークアーミーは必要に応じてHSMをすぐに購入できるのでしょう。

図 4: Angela が Luna G5 バックアップ HSM を接続します。

赤いUSBキーを見つけて、バックアップHSMに接続します

ここからが難しくなります。鍵や証明書のパーティションのバックアップなど、一部のHSM操作には特殊なハードウェアUSBキーが必要であることは周知の事実です。SafeNetではこれをiKeyまたはPEDキーと呼んでおり、前述の通り、特定の操作ごとに異なる色のキーが用意されています。赤いキーは、Key Cloning Vector(鍵複製ベクター)に使用される非常に重要な「ドメイン」キーです。つまり、HSMパーティションとその内容を実際にバックアップまたは複製できるということです。

赤くは見えませんでしたが、番組では、アンジェラが誰かの財布の中で見つけた鍵だと想定させようとしていたのだと思います。ここでシーンの正確性が失われます。本物のコードサイニングチームなら、この赤い鍵をしっかりと保管していたはずです。王国への鍵です。アンジェラが財布の中で見つけたという事実は、せいぜい極めてあり得ないことであり、非常に幸運なことです。

提供されたサムドライブを管理サーバーに接続し、eHSM_clone.bat を実行します。

これはアーヴィングが提供したUSBストレージデバイスのことです。アンジェラが実行する必要があるスクリプトが入っています。これは初心者でも簡単にできます。Windowsなら、USBキーのフォルダを開いてバッチファイルをダブルクリックするだけで、あとはWindowsが処理し、ダークアーミーが用意したスクリプトコマンドを実行します。この手順については問題ありません。

Parログイン = z1on0101

Dark Armyのスクリプトの内容は不明ですが、HSMへの接続とバックアップに必要なデータの準備が含まれていると推測されます。SafeNetのドキュメントによると、これにはHSM上のパーティションのアクティベーションも含まれます。これにはさらに別のパスワード、つまりパーティションログインが必要です。どうやらDark Armyはこの認証情報も既に取得しているようです。

Dark ArmyがFrank Bowmanのドメイン認証情報をどのように入手したかは既に分かっています。Elliotはログを確認し、Mimikatzを使って彼の認証情報を入手できたはずです。しかし、この特定のHSM認証情報を入手するのははるかに困難で、Dark Armyがどのようにそれを行ったのかは確認されていません。ここで少し疑念を抱かざるを得ません。確かに、Dark ArmyはE Corpのネットワークに長きにわたって「潜伏」していました。それほど長い間アクセス権限があれば、あらゆるWindowsドメイン認証情報、さらにはドメイン管理者にさえアクセスできる可能性は十分にあります。しかし、ネットワーク上を頻繁に通過せず、メールで送信されるべきでもないこれらの特殊な認証情報に偶然遭遇することははるかに稀です。Dark Armyがこの認証情報を容易に入手したとは想像しがたいですが、可能性はあります。

黒いUSBキーを見つけて、リモートPEDに接続します。リモートPEDを管理サーバーに接続します。PEDのPINコードは022350です。

これは、HSMの仕組みを知らない人なら「一体何なんだ?」と思うような指示です。アンジェラは既に番組内で技術スキルが不足していることが分かっているので、彼女がこの指示に全く従えなかったとは考えにくいです。腕利きのハッカーでさえ、HSMやその他の機器について事前に調べておかなければ、「リモートPED」が何なのか分からないかもしれません。さっそく解説しましょう。

まず、リモートPEDとは何でしょうか?PEDとは「PIN入力デバイス」の略です。キーパッドが付いた小さな箱のようなデバイスで、HSMまたはサーバーに接続するためのケーブルが付いています。こちらは、番組で使用されたのと同じベンダーのPEDの写真です。

アンジェラが本当に勉強していない限り、何を探せばいいのか分からなかったでしょう。それでも、彼女は作業中のラックの下の引き出しから、都合よくこのデバイスを見つけました。さらに、黒いUSBキーも一つ探すように言われました。これは別のSafeNet PEDキーですが、黒い方はパーティションオーナーとしてログインするために使います。上記のリンク先の写真には、これらのキーと、PED​​デバイスへの接続方法も示されています。

しかし、アンジェラが鍵を見つけたのはたった一つ、おそらく赤い鍵だった。黒い鍵はどこにあったのだろうか?番組は何かミスをしたのだろうか?答えはイエスでもありノーでもある。

図 5: アンジェラは、黒い iKey がすでに差し込まれたリモート PED を見つけます。

上の画像では、アンジェラがリモコンのPEDに黒いPEDキーを見つけた時、既にそのキーが差し込まれていました。ぼやけていますが、上部に突き出ている白い部分が黒いPEDキーの先端です。説明書に書かれていたように、アンジェラは黒いキーを別途探す必要はありませんでしたが、キーがそこにあるので、バックアップ手順は有効でした。

しかし、黒いPEDキーがこんな風に見つかるとは極めて考えにくい。ハードウェアキーのセキュリティは重要であることは既に述べた。彼女が赤いキーを財布の中から見つけた可能性は既に低かった。この一連の流れは、何らかのユーザーがパーティションキーをリモートPEDに接続したまま、ラックの下にぶら下げたままにしていたことを示唆している。こんなことは決してあってはならない。あるいは、このCSAT全体が本当にどうでもいいと思っているのかもしれない。

次にPINについてです。ユーザー認証情報、パーティション認証情報、2つの異なるセキュアUSBトークン、そしてリモートPEDの所在に加えて、PEDに手動で入力されたPINも必要です。説明書にも記載されているように、Dark Armyはそれを入手しているようですが、これもまた少々信じ難いものです。誰かが不注意でどこかに入力してしまった場合、あるいはCSATチームの誰かが強制的にPINを漏らさない限り、ネットワークアクセスでは手動で入力されたPINは入手できません。Dark Armyは、UPSファームウェアのアップロードを試み、署名不足のために失敗するまで、このHSM強盗を実行する必要があることすら知りませんでした。このような強盗は綿密な準備があれば可能ですが、彼らには時間がなかったのです。

図 6: リモート PED に PIN を入力します。

クローン作成が完了したら、赤/黒のUSBキー、サムドライブ、バックアップHSMを用意します。

彼女がこれらの非常に重要かつ安全な赤と黒のUSBキーを簡単に見つけることができたという点を除けば、これらの手順でバックアップHSMを作成するために必要なものはすべて揃うのは事実です。示されている技術的な手順は、このHSMベンダーがオンラインで公開しているバックアップ手順に完全に準拠しているように見えます。この最後のステップ、つまり2つのSafeNet PED USBキーとバックアップされたHSMを盗めば、Dark ArmyはE Corpとしてコードに署名できるようになります。

というわけで、このシーンのハッキングの可能性については、私には賛否両論あります。技術的なレベルでは、その通りだと思います。示された手順は正しく、HSMバックアッププロセスに必要なすべての手順が網羅されており、結果としてダーク・アーミーに必要な情報が提供されます。しかしながら、このシーンには物語上の問題があり、特にこの時間軸では、この強盗事件そのものが実現不可能だと感じています。エリオットはダーク・アーミーがハッキングに必要な情報の一部をどのように入手したかを示す証拠を見つけましたが、PARログインやリモートPEDのPINといった、より難解な認証情報をどのように入手したのかは説明されていません。確かに、悪意のある人物がこれらの情報を入手することは不可能ではありません。たとえCSATチームのメンバーを誘拐したとしてもです。しかし、それには時間がかかります。さらに重要なのは、2つの重要なセキュリティトークンがアンジェラが見つけた場所にそのまま放置されているということは、非常に稀だということです。最後に、番組ではアンジェラがエリオットやダーリーンのようなハッカーではないことを長々と説明していました。ダーク アーミーがこの強盗の指示を出していたとはいえ、大量の指導なしにアンジェラがこれをやり遂げることができたとは信じがたい。

とはいえ、これは驚くほどクールで、綿密に練られた技術的な強盗劇であることに変わりはありません。ショーランナーが特定のHSMのバックアップ方法をこれほど正確に詳細に描き込んだことは、私のようなオタクにとってはただただ感嘆するばかりです。この出来事がいかに確率的だったか、あるいはいかに幸運だったかといった些細な不満は、番組全体の流れの中ではそれほど重要ではありません。この番組の一貫した正確さは、他のすべてを圧倒しており、制作チームに称賛を送ります。

イースターエッグとその他雑多なもの

私はすでにいくつかのシーンに夢中になっていますが、信じられないかもしれませんが、よくよく見てみると、さらに多くの技術的な詳細が理解できました。

  • いつものように、見つけたURL、IPアドレス、メールアドレスをすべて探してください。訪問したり、何かを送ったりすれば、報酬がもらえるかもしれません。
  • このエピソードでは、情報セキュリティコミュニティの著名なハッカー3名にさりげなく言及されています。名前は伏せますが、1人は主人公が使っていた偽名で、残りの2人は電話での会話で使うコードワードです。
  • このエピソードのタイトルは「ランタイムエラー」でした。エリオットが冒頭でランタイムエラーについて言及した以外にも、エピソードには様々な比喩的なランタイムエラーが登場しました。
  • エリオットはダーリーンがFBIで働いていたこと、そしてアンジェラが(少なくとも表面上は)彼を裏切ったことを知っている。アンジェラはきっと救われるだろう。この日の出来事はまだ半分しか見ていないので、次のエピソードはきっと衝撃的な展開になるだろう。
  • 先ほど、アンジェラが実行するHSMスクリプトが何をするのかは分かりませんと述べました。しかし、私が言及したIPアドレスやURLのいくつかを見つけた方は、おそらくこのサイトを見つけたのでしょう。このサイトはスクリプトのコマンドラインウィンドウをエミュレートし、アンジェラが入力したパスワードとPINを入力することも可能です。このスクリプトで実行されるコマンドは、実際のバックアッププロセスに基づいて正確に再現されています。
  • 埋もれた手がかりをすべて本当に見つけたいのであれば、Reddit の /r/ARGsociety サブに参加することをお勧めします。

ロボットから学ぶ:ハードウェアキーをロックする

このエピソードから12個のセキュリティ対策のヒントを挙げることもできますが、ここでは1つに絞っておきましょう。多要素認証にハードウェアトークンを使用している場合は、E CorpのCSATチームのように放置しないでください。鍵をかけるか、常に身に着けてください。

来週も「Mr. Robot Rewind」をお楽しみください。ぜひコメント、意見、フィードバックを下記に共有してください。