昨日はかの有名なKMC（京大マイコンクラブ）の新歓に参加した。KMCは歴史あるサークルの一つで、ゲームやWeb制作から、競技プログラミングまで、情報系の活動を手広く行っている。多くの部員が、Slackというメッセージングアプリを通して繋がりあいながら、個々のやりたいことをやるというスタイルのようで、面白そうだった。

新歓の内容は、ハッキングの体験だった。プレゼンターの家には、自作した赤外線を放ちエアコンを遠隔操作する装置があるらしく、Web上でパスワードなどを入れることによって装置にアクセスできるようになっていて、そこに仕込まれている脆弱性を利用してパスワードを突破するというものだ。比較的高度な内容だが、部員のヒントに沿ってやっていくとできるという、あくまで「体験」で、ほぼ初心者の僕にもできる内容だった。

まずは装置ににアクセスするためのパスワードを突破したいので、脆弱性を探る。やけにパスワードの検証が速いので、ブラウザ側で検証が行われているのではというヒントが与えられたので、Webページを動かしているプログラムを開いてみる。何が書いてあるのか全ては理解できないなりに、何となく怪しいif節を見つけたのでよくよく見ると、日本語っぽい、というかまんま日本語の単語を発見した。それをパスワード欄に入れてみると———突破できた。要はWebページのプログラム上にパスワードが直接記述されていて、利用者が見ることができる状態になっていたのだ。

それだけでは終わらず、装置にアクセスした後エアコンを操作するにはまたパスワードを入力しなければならない構造になっていた。今度はプログラムを探っても何もなく、SQLインジェクションというハッキング手法を使うとのことだった。SQLインジェクションとは、パスワード入力欄にプログラミングを入力することで、プログラムを書き換えてしまうという手法である。部員のアドバイス通りに文字列をパスワード入力欄に入れてみると———突破することができた。

Web制作や情報セキュリティについてのイメージを持つことができたのは良かったのと、何より楽しかった。情報系のサークルは他にもあるため、色々と探ってから決めようと思う。