攻撃用のフラッシュコンテンツはwww.attacker.example.com上からビクティムのパソコンへダウンロードされ、パソコンのフラッシュプレイヤー上で実行される。ビクティムのパソコンで動作するフラッシュプレイヤーには、ある脆弱性が存在するため、コンテンツを表示すると同時に特殊なプログラム(ここでは「シェル」と呼ぶ)が起動するようになっている。
「今回の攻撃に使ったフラッシュプレイヤーの脆弱性は、大規模なサイバー攻撃にも悪用されました。現在ではこの脆弱性は修正対応されていますが、それが残っている古いバージョンをあえて使っています」と北原氏。
ビクティムのパソコンで起動したシェルはアタッカーのパソコンから遠隔操作が可能で、北原氏は、ビクティムのパソコンのデスクトップ画面を取得したり、壁紙を書き換えたりしてくれた。これだけでも衝撃的だが、北原氏が次に言ったことにはもっと驚いた。
「次に、ビクティムのパソコンに登録されているユーザー名とパスワードを取得してみましょう」
パソコンへのログインに使うユーザー名とパスワードを取得
もちろん、これはそう簡単に行うことができてはいけないことだ。パソコンに詳しい人は、パソコンでのログインに使うユーザー名やパスワードは元に戻せないような特殊な処理(ハッシュ化)が行われて保管されていることをご存じだろう。さらに、ハッシュ化されたその情報は、システムプログラムだけが持つ最高レベルの権限がなければ取得することができないぐらい厳重に守られている。
それでも、管理者権限の取得に成功していれば、 パスワードの取得が可能になる場合があると北原氏はいう
「実はウインドウズでは、基本ソフトのプログラムが、パソコンのメモリー上にログイン中のユーザーの名前とパスワードを保管しています。そこでメモリー情報を取得する攻撃ツールを使えば、パスワードを取得できるのです。メモリー情報を取得する攻撃ツールはネット上からも取得可能なものです。ここではそれをビクティムのパソコンへ送り込んで起動しましょう」