ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる（2/3 ページ）

SQLインジェクション

中：　「中に送り込むんだろ……相手チームの投手に下剤入りジュースを飲ませて試合に出られなくさせる。どう？　あってる？」

エ1：　「全然違う」

エ2：　「これはどう？　試合の当日、スタメン票は必ず監督が審判に渡すという取り決めがあるとする」

中：　「うんうん」

エ2：　「監督がメンバー票を直に渡さなくてはいけないから、監督以外ではダメ。そこで、監督にウソのメンバー票を渡し、監督が中身を確認しないまま審判に提出してしまう」

中：　「監督の脆弱性を突く行為だ」

エ1：　「なんか違う気がするな……」

クロスサイトスクリプティング（XSS）

中：　「中二病を刺激するかのようなネーミングだね」

エ1：　「昔は掲示板の書き込みからされてたね」

エ2：　「投稿するときにJavaScriptを混ぜて、JavaScriptを被害者本人に実行させる。例えばCookieを盗んだり」

中：　「だまされた側は、気付かずにやらされるわけだ。ピッチャーに催眠術をかけて……あなたは甘いボールを投げたくなーる……と信じ込ませて打たれまくられるようにする行為でどう？」

エ1：　「違うな」

エ2：　「敵チームのサイン票があったとしよう。カーブはこれ、スライダーはこれ、みたいなのがビッシリ書き込まれているの」

エ1：　「ドキュメントになってんの……？　速攻で流出しそう」

エ2：　「そのサイン票を不正にデタラメに書き換える。例えば、『投球直前に1回動きを止めて、それから投げましょう』というウソの指示を書く」

中：　「選手はそれに従ってボークを連発し、押し出しで延々と失点を重ねる……これは恐ろしいハッキング」

エ2：　「監督の指示だからと、忠実に指示に従ってしまうことでだまされるわけ。指示を書き換えられる脆弱性が残っていることを突く……あってるよね？」

エ1：　「やっぱり、たとえられていない気がする……」

クロスサイトリクエストフォージェリ（CSRF）

中：　「中二病を超えて、黒魔術のような名称になってきた」

エ1：　「よくあるのが、攻撃者が掲示板などに興味を引くような文言と一緒にURLを貼ってクリックさせる手口ね」

エ2：　「意図しない書き込みや操作をしてしまうという攻撃。構造はクロスサイトスクリプティングに似てる」

中：　「説明が抽象的すぎてイメージできないな」

エ1：　「Amazonにワンクリックで買えるボタンあるでしょ？　あれって、Amazonの商品ページだけに存在すべきだよね」

エ2：　「全然他のサイトでクリックされたものが、購入とカウントされていたら怖くない？」

中：　「どういうこと？」

エ1：　「悪意ある人が不特定多数の人に意図しない買い物をさせ、買った覚えのない商品を送り付けられてしまう……」

中：　「怖い怖い。野球にたとえるとどうなる？」

エ2：　「ピッチャーが頑張って三振を獲りまくっているのに、球場のスコアボードにそれがカウントされず、他球場のカウントが増えてしまう」

中：　「スコアボート管理者の脆弱性を突く行為か」

エ2：　「審判にスコアボードだけを見て、『あれ？　スリーアウトだと思ったけど、まだツーアウトか……じゃあプレイ再開！』と勘違いさせてしまう」

中：　「そんな状況、起こり得るのだろうか」

エ1：　「野球として1ミリも成立してないぞ」

ソーシャルエンジニアリング

中：　「ハッキング感を感じさせない一般用語風だけど、これもハッキング手口？」

エ1：　「企業のネットワーク管理者から，その企業の社員を装ってIDとパスワードを電話で聞き出しちゃう」

エ2：　「制服、警察、警備員の格好で油断させるってこともある」

中：　「思い込み、人の意識の甘さ、行動特性、感情、心理の隙につけ込む方法か……」

エ1：　「アナログでウェットな手段だけど、何気に効果はあって、いまも横行しているよ」

中：　「野球にたとえると？」

エ2：　「そうだな……予告先発の仕組みがない前提になるが……敵の先発ピッチャーが誰か知りたい。それを事前に知ることができれば、試合を有利に進められるから」

エ1：　「監督行きつけのバーのママに裏でつながって、スタメン投手の名前を聞き出してくれたらお金を払うってことにすれば……」

エ2：　「監督がぽろっと口を滑らせたらもうけもの。これは今もどこかで行われていてもおかしくないね」

中：　「ようやく野球にうまくたとえることができたね」

エ1：　「いや、例えられていない。野球界におけるソーシャルエンジニアリングの事例を単に紹介しただけだ（笑）」