「ハッカー攻撃者のやる気を削ぐ!」高校生が学ぶサイバーセキュリティ
インターネットイニシアティブ(IIJ)と日本経済新聞社は2025年10月17日、関西学院千里国際高等部(大阪府箕面市)の生徒を対象にした共同授業を実施しました。今回講師として派遣されたのはIIJで「サイバーセキュリティー」の伝道者と呼ばれる堂前清隆・技術統括部長。インターナショナルスクールを併設する多様性豊かな千里国際高等部の18人の生徒との熱い授業をルポします。
サイバーセキュリティの伝道者
■みなさん、動画を見る時に、再生ボタンを押すよね? そのとき何が起こっていると思う?
10月17日の昼休み明けの授業。教壇に立ったIIJ広報部の堂前清隆技術統括部長はいきなり生徒たちに問いかけた。18人の生徒は口々に「なんだろう?」「え?何が起こっている?」とざわつく。一人の生徒が「広告が再生される?」と答えると、堂前氏は「そういうこともあるね。ただ、サーバーという言葉をヒントに考えてみて」と促した。すると別の生徒が「サーバーに接続される!」と声を上げた。
私たちがスマートフォンやパソコンでネットを通じて見ている情報や動画は、プログラムがサーバーに要求を出し、サーバーが応答を返すことで画面に表示される。網の目のように広がる通信回線の中で、最適な道筋を選んで端末をサーバにつなげるのがインターネットの基本的な役割で、それを日本で初めて商用化したのがIIJ。知っているようで詳しくは知らないインターネットの仕組みを学ぶことは、サイバーセキュリティーを学ぶ基礎だ。
卒業アルバムも流出
講師の堂前氏は2001年にIIJに入社。社内で広報として活躍する傍ら、情報処理安全確保支援士の資格を持ち、社外でもサイバーセキュリティの重要性を伝えてきた。柔らかな関西弁のユーモラスな語り口が早くも生徒の心をつかんだ。 近年、企業や政府機関へのサイバー攻撃は後を絶たず、ニュースにならない日はない。堂前氏は日経電子版を使って、航空会社や気象情報会社が攻撃を受け、飛行機の運航や天気予報に支障がでたケースを紹介、サイバー攻撃が私たちの生活を常に脅かす危険性があることを伝えた。
中でも生徒の関心をひいたのは「卒業アルバム情報が17万件流出」(2025年4月11日付)という記事だった。高校生にとって身近なことがサイバー攻撃の対象となる。決して対岸の火事ではない「自分事」として認識させられる記事だ。
証券口座乗っ取りの脅威
サイバー攻撃には幾つかのパターンがある。最も多いのは攻撃によってWebサイトが動作停止するのを面白がるだけの「愉快犯」。中学生がハッキングしたと思われる事例もある。内容は稚拙で、春休みや夏休みに起きることが多いのが特徴だ。企業向けで多いのは「金銭目的」の攻撃。また、自分たちの主張を広める「ハクティビスト(ハッキングとアクティビストの造語)」も近年増えている。
戦争や諜報活動の一環として国家や政府の関与する組織による攻撃が行われたり、外貨獲得の手段にも使われたりするようになっている。攻撃の目的が多様化し、防御側のセキュリティーの手段は年々複雑さを増している。サイバー攻撃の入り口としてまず行われるのがパスワードやID情報の不正利用だ。生徒たちもSNSで日常的にログインしており、他人事ではない。堂前氏は今年5月に大きな問題となった証券口座の乗っ取りの記事「証券口座乗っ取り、17社に拡大」(2025年5月28日付け)を紹介した。
「株価操作」に敏感な反応
「犯罪集団が個人口座を乗っ取り、不正な売買で株価を操作して利益を上げているとみられる」と説明すると、生徒たちは興味深く耳を傾けた。生徒たちは授業の一環で仮想の株式投資を通して経済や社会を学ぶコンテストにも参加している。だからこそ株価操作の怖さには敏感だった。
ハッカー攻撃者は不正に入手した証券口座の情報でログインし、ネット証券の顧客になりすました。勝手に大量の買い注文を入れて、株価を釣り上げ、そこで売り抜け多額の利益を得ていた。なりすましだけでなく、株価そのものを操る巧妙な手口に、生徒たちは驚きの表情を浮かべた。
同世代の犯罪、どんな罪に?
次に紹介した記事は、「楽天モバイル狙った少年たち 不正アクセス、10代で横行」(2025年3月22日付)。警察が摘発した容疑者の3割弱が10代だった。同世代の犯罪に生徒たちも衝撃を受けた。堂前氏は「10代は犯罪という認識が薄いケースもある」と注意を促した。確かにゲーム感覚で軽い気持ちから犯罪に加担する可能性は大いにある。
「仮にクラスメイトのSNSアカウントに勝手にログインした場合、どんな罪に問われるのだろう?」という問いかけにも生徒たちは息をのみ、堂前氏の説明に聞き入った。他人のパスワードを入手した時点でまず「不正アクセス禁止法」違反となる。ログインすれば犯罪が成立する。さらに投稿をみたり、本人になりすませば「電磁的記録不正作出罪」などに発展し、3年以下の懲役または100万円以下の罰金が科される。生徒たちはIDやパスワードの重みを改めて理解した様子だった。
パスワードを破ってみる
「それではみんな、攻撃者の気持ちになってみよう!」。堂前氏はこう呼びかけ、ワークショップが始まった。攻撃者がよく使う「総当たり攻撃=ブルートフォースアタック」を体験するものだ。用意されたデモサイトを表示して、18人の生徒が同時にパスワードを推測する。お題は「アルファベット小文字4文字を解読せよ」。30秒でどれくらいパスワードを入力し、推測できるのか。
「アルファベットを順に組み合わせる、これが意外と効くんです」と言う堂前氏のヒントをもとに、スタートの合図で学生たちは一斉に「総攻撃」を始めた。沈黙の中、カタカタと生徒たちのキーボードは忙しく音を立てた。 あっと言うまの60秒。デモサイト上に入力されたパスワードの数は90通りほどだった。なかなかの数だ。
30秒で700通りを打ち込む
続いて、堂前氏がやや自慢げに「では私がやってみましょう」。事前に準備したプログラムを実行すると、モニターには圧倒的なスピードで候補が表示された。わずか30秒で700通り以上のパスワードが打ち込まれ、生徒たちは「すごい!」と声を上げた。
アルファベット4文字であれば約4万通りの数だ。この程度のパスワードであれば、プログラムを使えば一瞬で突破される。短いパスワードがいかに危険かを生徒たちはまざまざと見せつけられた。堂前氏は「サイバー攻撃は、攻撃にかける手間と、得られる利益の天秤です。私たちができるのは、攻撃者のやる気を削ぐことだ」と強調した。IDやパスワードは可能な限り面倒で文字数を多くすること、それこそが重要だと生徒たちは心に刻んだ。
(続く)
インターネットイニシアティブ(IIJ)
授業者:インターネットイニシアティブ技術統括部長 堂前清隆氏
