Security

驚きの顛末、グーグルの脆弱性が採用メールから悪戯されるまで

「グーグルのセキュリティがそんなに甘いはずがない」──彼はその脆弱性を、志望者が気づくかを試す意地悪な採用テストの一環ではないかと結論づけた。
驚きの顛末、グーグルの脆弱性が採用メールから悪戯されるまで
PHOTOGRAPH BY BRYNN ANDERSON/WIRED

35歳の数学者、ザック・ハリス。

数学者のザッカリー・ハリスのもとに奇妙なメールが届いたのは昨年12月のことだった。グーグルの採用担当者を名乗る送り手からのメールは、ハリスにグーグルでサイト信頼性エンジニア(site-reliability engineer)として働くつもりがないかを訊ねるものだった。

「あなたはLinuxやプログラミングへの情熱を持っているようですね。グーグルでの仕事に就いてみようという気はありませんか?」 とこのEメールには書かれていた。

ハリス氏は好奇心をそそられたが、このメールが本当にグーグルから来たものかどうかを疑わしく思った。突然舞い込んだメールだったし、グーグルが提示したポジションをこなす人材として、数学者の彼が理想的だとも思えなかったからだ。

そこで、ハリス氏はこのメールがグーグルの担当者になりすました詐欺師によるものではないかと疑いをかけた。だが、メールのヘッダー情報を調べてみても、やはりこれはグーグルの誰かが送ってきたメールとしか思えなかった。

そうしているうちに、ハリス氏はある奇妙な点に気づいた。それは、メールの送信元がグーグルの企業ドメイン内に置かれたマシンであることを証明するための暗号キーが、同社にしてはお粗末なものだということだった。この暗号キーを破ってしまえば、創業者のサーゲイ・ブリンやラリー・ペイジも含め、グーグル社内の誰にでもなりすますことが可能だった。

グーグルが送信ドメイン認証に使っていたのは「DKIM(DomainKeys Identified Mail)」と呼ばれる電子署名技術。この仕組みでは通常、セキュリティ上の理由から1,024ビット以上の長さの暗号キーを使うことが推奨されている。しかし、グーグルが利用していたのは512ビットの暗号キーで、クラウドコンピューティングの能力を少し利用すれば、容易に破ることができるものだった。

「グーグルのセキュリティがそんなに甘いはずがない」と考えたハリス氏は、このメールが採用候補者を試すある種のテスト──その脆弱性に志望者が気づくかを試す、意地悪な採用テストの一環ではないかと結論づけた。「採用担当者がやったのかもしれないし、採用担当者が気づかないうちにグーグルの技術チームが仕掛けたかもしれない」 。そんなふうに彼は考えていた。

ハリス氏はグーグルのポジションに興味はなかったが、好奇心に負けて暗号キーを破り、セルゲイ・ブリンになりすまして、ラリー・ペイジに自分のウェブサイトのリンクを貼りつけたEメールを送った。以下がそのEメールの文面。

やあ、ラリー

ここにまだ未成熟だけど面白いアイデアがあるよ。

http://www.everythingwiki.net/index.php/
What_Zach_wants_regarding_wiki_technology

もしくはこんなのはどうかな。

http://everythingwiki.sytes.net/index.php/
What_Zach_wants_regarding_wiki_technology.

グーグルでこの人とかかわれるかどうか考えてみるべきじゃないかな。どう思う?

セルゲイより

Most Popular

ハリス氏は、ブリンとペイジが暗号鍵を破った方法を聞けるように、返信メールがちゃんと自分のメールアドレスに届くようにしていた。ただ、二人からの返信はなかった。そして2日後、グーグルの暗号キーは突然2,048ビットになり、彼のウェブサイトには同社のIPアドレスから大量のアクセスがあった。

そしてハリス氏は、自分が見つけた脆弱性は採用テストの一環などではなく、本物だと気づいたのだった。

TEXT BY KIM ZETTER

PHOTOGRAPH BY BRYNN ANDERSON/WIRED

TRANSLATION BY WATARU NAKAMURA