Watch

『ミスター・ロボット』振り返り:シーズン3プレミアでDEF CON CTFをハッキング

『ミスター・ロボット』振り返り:シーズン3プレミアでDEF CON CTFをハッキング
ミスター・ロボット
(Twitter写真@whoismrrobot経由)

ネタバレ注意:各番組の技術的な詳細を分析するため、各エピソードを詳細に解説する必要があります。ネタバレを避けるため、「ミスター・ロボット」Eps3.0_Power-Saver-Mode.Hをまだ視聴していない方は、この先を読むのを止めてください。

「Mr. Robot Rewind」へようこそ。この記事シリーズでは、テレビシリーズ「Mr. Robot」のハッキングについて説明し、その技術的正確性、つまり「ハッキュラシー」を分析します。

シリーズ最新作:シアトルに拠点を置くWatchGuard TechnologiesのCTO、Corey NachreinerがGeekWireで「Mr. Robot」のエピソードをレビューします 。番組はUSA Networkで毎週水曜午後10時に放送されています。Twitterで#MrRobotRewindをつけて会話に参加し、Coreyの@SecAdeptをフォローしてください。

長い休止期間を経て、この番組が復活しました。第1話はプロットの展開が目まぐるしい展開で始まりました。シーズン2では登場人物(必ずしもプロットではない)がゆっくりと、時には地味なペースで描かれていましたが、シーズン3では第1話で多くのプロットポイントが網羅されました。この記事にとってさらに重要なのは、初回エピソードには分析すべきハックが数多く含まれていたことです。

さあ、始めましょう。まず、このエピソードから 3 つの「ハック」を分析し、見逃したかもしれないイースターエッグをいくつか指摘し、最後に、前回の記事で私が立てた予測に関連して、番組全体の理論について話して締めくくりたいと思います。

2分でCTFをハッキングする

エリオットは銃撃後の昏睡状態(6日後)から目覚めると、すぐに中断していたところから再開した…ステージ2のハッキングを阻止しようとしたのだ。このハッキングは、Eコープの建物とそこに保管されている紙の財務記録を破壊する可能性があった。結局のところ、私たちが知っている「善良な」エリオットは、大量殺人に加担したわけではない。

しかし、エリオットはダーク・アーミーのサーバーにも、Eコープのバックドアを仕掛けたネットワークにもアクセスできなくなっていた。ハッキングで侵入するにはインターネット接続が必要だが、停電し電気も通っていないこの街で、一体どうやってインターネット接続を手に入れればいいのだろうか?アパートでダーリーンを見つけたエリオットは、どうやらまだ電気と高速光ファイバー回線が使える地下ハッキングクラブの存在を知り、ダーリーンと共にクラブを訪れる。

ミスター・ロボット
DEF CON 21 CTF の地下ハッカーのたまり場。(USA ネットワーク写真)

実際のハッキングの話に移る前に、このクラブがインターネットにアクセスできるという前提には、いくつか技術的な矛盾点があります。街全体が何日も停電していることを思い出してください。街のほとんどのショットでは、高層ビルも含めてすべてが真っ暗です。確かに、発電機を使って特定の場所で発電することはできますが、インターネット接続が機能するには、自分のコンピューターやルーターに電力を供給するだけでは不十分です。あなたとインターネット上の接続先との間のすべてのルーティングホップにも電力が必要です。つまり、ISPも稼働を維持するために発電機を保有しているという前提です。また、エリオットがアクセスしようとしているEコープのサーバーにも電力が供給されているという前提です。エピソードでは既に、Eコープの建物(特に紙の記録を保管している建物)が完全に停電している様子が描かれています。ニューヨークの小さなハッカーのたまり場が、コンピューターを起動させるのに必要な電力だけでなく、その間にあるすべてのネットワークホップも稼働しているというのは、この広範囲にわたる停電中に、少し奇妙に思えます。

多くの人がバックアップジェネレータを所有することは技術的には可能なので、この件については許容します。とはいえ、インターネットを提供するためのバックアップジェネレータを1つのISPが所有しているのであれば、他のISPも所有しない理由はありません。いずれにせよ、これは大した問題ではないので、ハックの話に戻りましょう。

この地下のたまり場にいるハッカーたちが、DEF CON CTFコンテストに参加していることが判明しました。これが一体何を意味するのか、詳しく見ていきましょう。

まず、DEF CONはよく知られたハッキン​​グコンベンションです。世界中から数万人のハッカーがこのカンファレンスに参加し、最新のハッキングや研究について学び、仲間と交流し、楽しいハッキングコンテストやイベントに参加します。

番組は DEF CON を正しく理解していますか?

一見、そうでもないようですが…実はもっと深い理由があります。DEF CONといえば、ニューヨークではなくラスベガスで開催されるメインカンファレンスを思い浮かべる人が多いでしょう。このカンファレンスには、クラブに集まる50人のハッカーだけでなく、大勢の参加者が集まります。このクラブの雰囲気は、本物のDEF CONとは全く違います。

しかし、DEF CONは非常に人気を博し、ニューヨークのDEF CON 201のようなサブグループが誕生しました。地元のハッカーグループがDEF CONの名前を使って時折集まることは、それほど珍しいことではありません。現実のハッカーミートアップは、番組で描かれているようなネオンライト、大音量のEDM、そして歓声を上げる群衆といった映画的な光景ではありません。それでも、地元のハッカーグループは楽しみのために集まり、ハッカーゲームを楽しんでいます。

このミートアップでは、ハッカーたちがキャプチャー・ザ・フラッグ(CTF)と呼ばれるコンテストに参加しています。これは、ハッカーたちがコンピューターセキュリティの課題で互いに競い合うコンテストです。例えば、あるコンテストでは、対戦相手に攻撃を仕掛けながら、自チームのサーバーを守ることを強いるというものがあります。サーバーには、あるデータ、つまり「フラグ」が保存されており、相手チームがそれを最初に奪取すれば勝利となります。また、リバースエンジニアがネットワークサービスの脆弱性をいち早く発見し、それを悪用するコンテストもあります。

いずれにせよ、CTFチャレンジは現実味を帯びており、多くのハッキングやコンピュータセキュリティ関連のカンファレンスやイベントで非常に人気のあるアクティビティです。観客の密度は高くなく、歓声もそれほど大きくないかもしれませんが、このエピソードのCTFシーンは現実に非常に忠実でした。

舞台に戻ります。この演技で、エリオットは2つのハッキングを披露します。まず、インターネット接続のためにCTF会場のコンピューターの1台にアクセスする必要があります。しかし、CTFの開催中は誰もコンピューターを使わせてくれないので、彼はCTFコンテストで素早く勝利を収めなければなりません。次に、観客の気を逸らした隙に、そのコンピューターを使って真のハッキングを実行します。それは、Eコープ社のサーバーにあるバックドアへのアクセスを奪還することです。

エリオットは、このCTFチャレンジの本質は、ハッカーがネットワーク接続されたマインスイーパーゲームの脆弱性を見つけることだと知ります。適切なエクスプロイトを使えば、ゲームを実行しているサーバーを乗っ取り、サーバー上の「フラグ」を奪取できるのです。残念ながら、番組にはこのゲームやハッキングに関連する判読可能なスクリーンショットは掲載されていません。エリオットが出場者に何をすべきかを説明する場面だけが聞こえてきます。エリオットは出場者に、ゲームの弱点はセーブ&ロードの仕組みにあると伝えます。攻撃者はこの仕組みを利用して悪意のあるコードをゲームに注入することができます。しかし、セーブの仕組みを守るため、ゲームはサーバー側のリモート「キー」を使ってセーブデータを暗号化します。攻撃者はまずこのキーを逆順に暗号化し、正しく暗号化されたセーブデータを作成する方法を見つけ出さなければなりません。どうやら、マインスイーパーゲームに勝利することで、エリオットはゲームのシンプルなセーブ暗号化の仕組みを逆順にするために必要なボードレイアウト情報を手に入れたようです。そしてエリオットはそれを成功させ、2分でCTFを制覇しました。

このハックは現実味を帯びているのでしょうか?残念ながら、番組では技術的な正確性を検証するのに役立つような画面は公開されませんでした。しかし、番組のコンサルタントの一人が、このチャレンジは過去に実際に行われたマインスイーパーCTFイベントに基づいていると語っていました。実際、実際にチャレンジをクリアした人がこの記事を書いており、エリオットの解法をほぼ網羅しています。つまり、このCTFハックは(エピソードでは実際に紹介されていませんが)完全に現実味を帯びています。唯一の疑問は、コードの抜粋を30秒見ただけで、たった2分で全てを解き明かすことができた人がいるのか、ということです。少し無理が​​あるかもしれませんが、ハック自体は本物です。

失われたバックドアを取り戻す

エリオットはCTFチャレンジに勝利すると、観衆が勝利に気を取られている間に、インターネットに接続されたコンピューターを数分間使用しました。

ミスター・ロボット
エリオットがDEF CON CTFチャレンジで優勝。(USAネットワーク写真)

昨シーズンを覚えている方もいるでしょうが、ダーク アーミーはフェムトセル ハッキングを利用して E 社のネットワークへの内部アクセスを獲得し、それを使ってステージ 2 攻撃のために E 社の UPS システムにバックドアを設置しました。

ほとんどのバックドアマルウェアは、コマンド&コントロールチャネル(C&CまたはC2とも呼ばれます)と呼ばれるものを使用します。このネットワーク通信チャネルは、攻撃者のネットワークアドレスにビーコンを送信し、被害者のネットワーク外部からバックドアを制御するために必要なリモートネットワークアクセスを攻撃者に提供します。

エリオットのナレーションによると、UPSバックドアのC2は現在、ダークアーミーのコンピュータにビーコンを送信するように設定されているが、エリオットは既にそのコンピュータにアクセスできなくなっている。エリオットはC2を自分のコンピュータ(CTFで使用しているコンピュータ)に誘導したいと考えている。UPSバックドアはC2チャネルにハードコードされた(変更不可能な)ドメイン名を使用するように設定されているとエリオットは述べている。

ご存知のとおり、ドメイン名はネットワークIPアドレス(コンピュータがネットワーク上で互いを見つけるために使用する番号)を指す、覚えやすい名前です。バックドアC2がハードコードされたIPアドレスを指していた場合、パブリックIPアドレス(IP)はISPによってのみ割り当てられるため、そのバックドアを新しいコンピュータと通信させることは容易ではありません。しかし、C2がドメイン名を使用している場合は、その名前を新しいIPアドレスに参照させるチャンスがあります。

ドメインネームシステム(DNS)は、ドメイン名を検索し、IPアドレスに割り当てるために使用するプロトコルです。「レジストラ」と呼ばれる組織は、ドメイン名の販売事業を運営し、顧客がドメインが指すIPアドレスを変更できるようにしています。今回のケースでは、Dark ArmyはC2が指すドメイン名を所有しており、そのドメインにマッピングされるIPアドレスを制御しています。バックドアのC2が自分のコンピュータと通信できるようにするには、ElliotはDNSレジストラをハッキングし、Dark Armyドメインのドメイン情報を変更する必要があります。

残念ながら、このエピソードではエリオットがドメインレジストラをハッキングする様子は見られません。よく見ると、中国のDNSレジストラの画面は映っていますが、エリオットがどのようにハッキングしたかは詳しくは分かりません。本当に可能でしょうか?あるいは現実的でしょうか?もちろんです。過去には、サイバー犯罪者がDNSレジストラを乗っ取って重要なドメインを乗っ取るという攻撃が実際にありました。例えば、先日起きたブラジルの銀行強盗事件などがそうです。

ミスター・ロボット
エリオットが中国のDNSレジストラをハッキング。(USAネットワーク写真)

とはいえ、DNSレジストラはハッカーの主要な標的であり、そのため、多くのレジストラは平均的な企業よりもセキュリティ対策を強化しています。エリオットがいかに優れたハッカーであっても、ほとんど準備や偵察もせずにDNSレジストラをあっという間に乗っ取ることができるという設定は、少々「ハリウッド的」すぎると言えるでしょう。特に、この重大なハッキングがどのように行われたのか、番組では実演も説明もされていません。結局のところ、この種のハッキングは実際に起こり得るので、番組のリアリティを損なうものではありません。しかし、技術的な詳細が省略されているのは少し残念です。

いずれにせよ、エリオットの謎めいたDNSレジストラハッキングが成功したことは明らかです。彼はバックドアのC2を再び掌握したのです。このシーンの残りの部分は、まさに現実味を帯びています。あるスクリーンショットには、rwwwshellというツールが見られます。これは、古いとはいえ実際に存在するWebベースのリバースシェルスクリプトで、攻撃者がC2通信チャネルを作成するために使用する可能性のあるツールです。エリオットがこのシェルを介してバックドアにアクセスすると、shredコマンドを使用します。これは以前のエピソードで彼が使用したのと同じ「安全な」削除コマンドであり、このコマンドは基本的にE Corpのサーバー上のすべてのバックドアツールを消去し、バックドアを削除します。

ミスター・ロボット
エリオットはバックドアを強制的に削除し、ファイルを3回上書きした。(USAネットワーク写真)

アーヴィングがFBIのSUVをハッキング?

このエピソードでは、きっと私のお気に入りになるであろう新キャラクター、ボビー・カナヴェイル演じるアーヴィングが登場します。アーヴィングは昼間は中古車セールスマン、夜はダーク・アーミーの犯罪フィクサーとして活躍しています。バックドアを破壊した後、エリオットとダーリーンはダーク・アーミーのチンピラ数人にハッカー集会から連れ出されます。彼らが去ろうとすると、アーヴィングがタクシーでやって来て、FBIがダーリーンを追っていると警告します。そこで彼らは、ダーリーンを追い払うために飛び乗ります。

以下は、理論的に現実的なソーシャル エンジニアリングによる自動車ハッキングです。

タクシーの中で、アーヴィングはエリオットにFBI車両のナンバープレートを調べるよう頼みます。そして、ダーリーンに自分が用意したノートパソコンでそのナンバープレートを調べさせます。ノートパソコンはNYSP NCICというサイトに接続されています。これはニューヨーク州警察がナンバープレートに基づいて車両に関する追加情報を検索するために使用しているサイトのようです。これはニューヨーク州警察のサイトの正式な名称ではないと思いますが、警察がナンバープレートに基づいて車両の所有者情報を検索できる社内ウェブサービスやデータベースを持っているのはごく普通のことです。

ミスター・ロボット
FBIのSUVの車両識別番号を調べている。(USAネットワーク写真)

この検索により、アーヴィングはFBI車両のVIN番号を入手しました。アーヴィングはOnStarに電話をかけ、おそらく有効なバッジ番号を持つ刑事を装います。現実世界では、OnStarは車内のコンピューターの一部に重要なアクセス権を持っており、ドアの解錠、エンジンの始動、アラームの作動など、多くの操作が可能です。さらに重要なのは、OnStarが車のエンジンを停止できることです。アーヴィングはまさにこれを実行し、追跡中のFBIのSUVを停車させました。

つまり、このソーシャルエンジニアリングによるちょっとした車のハッキングは、全くあり得る話だ。唯一の疑問は、アーヴィングがどのようにしてNYSPのウェブサイトにアクセスできたのかということだ。NYSPのウェブサイトはVPNで保護されており、正当な認証情報が必要となるはずだ。もしかしたら、アーヴィングはかつて警察官だったのかもしれない。

ShodanでE Corpの穴を見つける

このエピソード最後のハッキングは、ミスター・ロボットが主導権を握っています。エリオットはアンジェラの家に戻り、眠りに落ちます。しかし、彼の別人格であるミスター・ロボットが目を覚まし、本物のエリオットがステージ2のバックドアを削除したことに憤慨します。アンジェラとミスター・ロボットはタイレルを訪れ、ミスター・ロボットがEコープのネットワークへのアクセスを回復する方法を模索し始めます。

このシーンでは、ミスター・ロボットが Shodan.io というサイトを訪問しています。これはセキュリティ専門家やハッカーの間で人気のある、非常に正当なサイトです。Shodan のサーバーは nmap に似たスキャン ツールを使用して、IPv4 アドレス空間のほとんどをクロールしてスキャンし、基本的にインターネットに接続されているすべてのデバイスを見つけ出してフィンガープリントを作成しようとします。Shodan のクローラーは、各インターネット デバイスがリッスンしているネットワーク サービスを見つけ出すほか、インターネットに接続されたこれらのデバイスが使用するソフトウェアやハードウェアのフィンガープリントを作成できるすべてのヘッダー データを取得します。Shodan は、このすべての情報をデータベースに保存するため、ユーザーはソフトウェア名を検索して、そのソフトウェアを使用している可能性のあるインターネット上のデバイスを見つけることができます。特定のソフトウェアに対する新しいエクスプロイトを使用するハッカーは、インターネット上で被害者を見つけるためのツールとして Shodan を使用します。

短いクリップで、Mr. Robot が Shodan に次の検索を入力する様子が見られます。

org:”Evil Corp” 製品:”Apache Tomcat”

ミスター・ロボット
Eコーポレーションの弱点を捜索するミスター・ロボット。(USAネットワーク写真)

検索の「org」タグは、検索結果をE Corp所有のデバイスのみに限定し、「product」タグは、非常に具体的なネットワークサービス(この場合はApache TomcatというWeb Java製品)のみを検索対象としています。つまり、これはハッカーがShodanをどのように利用するかを正確に表しています。例えば、実際のShodanサイトで組織名をGoogleに置き換えると、Apache Tomcatを使用しているすべての公開Googleサーバーがすぐに見つかります。

では、なぜミスター・ロボットはこんなことをするのでしょうか?それは偵察のためです。標的を狙うには、標的がどのようなネットワークサービスを公開しているかを知る必要があります。ミスター・ロボットはApache Tomcatの脆弱性を既に知っているはずです。もしかしたら、そのソフトウェアのゼロデイ攻撃の脆弱性を突いているのかもしれません。おそらく、EコープにTomcatサーバーがあるかどうかを調べ、後でその脆弱性を悪用しようとしているのでしょう。

ちなみに、Apache関連の話題にどこかで聞いたことがあるという方は、最近Equifaxが大規模なデータ侵害を受け、米国顧客1億4500万人分の個人情報が流出した事件をご存知でしょうか。噂によると、この侵害はApache Strutsのパッチ未適用バージョンが原因で、最近重大な脆弱性が修正されたばかりだったとのことです。TomcatとStrutsはApacheの異なるパッケージですが、どちらも過去に重大な脆弱性を抱えていました。今後のエピソードでは、Mr. Robot/ElliotがTomcatサーバーをハッキングする場面が見られるかもしれません。

隠された技術的なイースターエッグ

いつものように、このエピソードには映像の中にたくさんの技術的なイースターエッグが隠されていました。いくつかご紹介します。

  • ダーリーンがNYSPのサイトを訪れ、アーヴィングのナンバープレートを調べている場面で、そのサイトのURLが表示されています。番組制作者は「ミスター・ロボット」の世界観を現実世界にまで広げるために、これらのサイトを実際に立ち上げるのに多大な労力を費やしているので、ぜひこれらのURLにアクセスしてみてください。実際、これらの偽サイトでは、エピソードで見られるような操作(ダーリーンが入力したナンバープレートの入力など)が可能な場合が多いです。さらに、ソースコードを調べるエリオットのような賢いハッカーは、隠された驚きを発見することもあります。
  • エリオットが社会について熱く独白する場面で、彼は行方不明者の写真が貼られた壁の前に立っています。ロメロの写真の横にあるQRコードに気づきましたか? クリックしましたか? もしかしたら、クリックした方がいいかもしれません。
  • 先ほど、Shodan.ioのリアルな検索について触れました。Shodanは実在のツールですが、E Corpは明らかに実在しません。とはいえ、「ミスター・ロボット」専用のShodan検索を試すと、興味深いサーバーへの検索結果が表示されます。これは、番組制作者がオンラインゲームのために用意した機能です。
ミスター・ロボット
このQRコードに従ってみてください。(USAネットワーク写真)

予測は大きく外れたのか、それとも大きく当たったのか?

この振り返りを終える前に、今シーズンに関して私が立てた予想のいくつかについてコメントせずにはいられません。主な理由は、第 1 話でそれらの予想の多くに何らかの形で触れられているからです。

ワシントン・タウンシップ発電所(WTP)には核兵器が関わっているだろうと予想していましたが、すぐにチャン国防相(ホワイトローズ)が原子力発電所内を歩いているシーンが出てきます。この原子力発電所には見た目以上の何かがある可能性は否定できませんが、この物語には間違いなく原子力エネルギーが関わっています。

また、ステージ2は予想通りには機能せず、EコープビルはUPS機器によって爆破されないだろうとも言いました。今回のエピソードでは、エリオットがステージ2のバックドアを破壊したので、その予測も的中しました。

しかし、少し心配なのは、「MR. ROBOT」が現実に根ざした展開を続けるのではないかということです。その予測の中で、パラレルユニバースのような説を示唆しつつも、エリオットとホワイトローズにまつわる謎はSF要素を帯びないだろうと述べました。

この説に疑問を抱き始めています。というのも、このエピソードには並行宇宙や多元宇宙論への明白な、あるいは微妙な言及が数多く含まれていたからです。例えば、原子力発電所のシーンでは、科学者が多元宇宙について具体的に言及しています。さらに重要なのは、冒頭のクレジットシーンで、ホワイトローズがワシントン・タウンシップ原子力発電所の珍しい装置の横に立っていることです。説明はありませんが、私にはヨーロッパの大型ハドロン衝突型加速器(LHC)に似た大型粒子加速器のように見えます。粒子加速器は並行宇宙と直接関係しているわけではありませんが、これらの衝突装置によって並行宇宙が作られるという(架空の)説がいくつかあります。最後に、アンジェラはエリオットに、何らかの方法で時間を戻して両親が死なない時点まで戻すことができるとほのめかします。これはおそらくタイムトラベルではなく、両親がそもそも死ななかった別の宇宙を示唆しているのかもしれません。

ミスター・ロボット
これはWTPにある大型粒子加速器でしょうか?(USAネットワーク写真)

私自身は、これらが巧妙に仕組まれた誤報であることを願っている。多元宇宙論や仮説は確かに存在する――実際、そのアイデアのいくつかはスティーブン・ホーキングのブラックホール研究に由来している――が、未だに証明されていないため、私の意見ではSFの域を出ない。SF番組は好きだが、「MR. ROBOT」の魅力は、それがいかに現実に根ざしているかにある。私の「現実に基づいた」予測が大きく外れるのか、それとも正しかったのかは、時が経てば分かるだろう。

Shodan検索エンジンから学ぶ

このエピソードには「ハッキング」関連のシーンが数多くありましたが、その多くは組織のインフラへの直接的な攻撃ではありませんでした。例えば、「ミスター・ロボット」のShodan検索は、阻止できるような直接的なハッキングではなく、組織の弱点を偵察するものでした。しかし、そこから学ぶことはあります。

Shodanの存在は、インターネット上に公開しているすべてのネットワークサービスが世界にさらされているということを改めて認識させるはずです。攻撃者はすぐにそれを発見でき、さらにShodanのようなツールは、あなたが使用しているネットワークソフトウェアのバージョンを特定します。公開ネットワークサービスにパッチを適用しないと、攻撃者はそれを見つけ出し、脆弱性を悪用する方法を知ることができます。公開サーバーには常に迅速にパッチを適用してください。そうすれば、たとえ攻撃者がShodanでサーバーを見つけても、ハッキングすることはできません。

ハッキングとストーリー展開満載の第1話で、今シーズンの「MR. ROBOT」は既に波乱万丈の展開になりそうです。番組が次にどんな展開を見せるのか、今から待ちきれません。来週は第2話のハッキング分析にご参加ください。いつものように、コメント、考察、フィードバックをお待ちしています。