僕はネットや各種端末から物を購入する、いわゆるオンラインショッピングシステムを作る所の下っ端プログラマである。というとJavaやPerl、PHPあたりで仕事をしていそうだが、そうではない。またVB、C#を使用してオペレータが操作する画面を作っているのでもなくて、DB周りや外部の決済、在庫関係のサーバと通信する所が担当なのだ。だから、仕事ではC、各種DB用の言語(PL/SQL等)、シェルスクリプト、自分用ツールを作るときにRubyなんかを使っている。
新しいプログラムをリリースする時はせいぜい数台のUNIXマシンにソースをrcpしてmakeをかけ、後は動作をチェックするだけで済んでしまうから、リリースの規模によっては相当暇を持てます。そういう時はドキュメントを整理したり、何か考えている振りをしながら机でボーっとしているのだが、前回のリリース時は珍しい暇つぶしが出来た。
リリースの時は当然お客さんの担当部門*1の人も一緒にいるんだが、その方に頼まれごとをされたのだ。なんでも、決済関係のIDに適当な値を入れて何回も送信し、使用可能なIDを収集している人がいるので、それがどの人か特定してくれとの事。不変の条件があれば、Webサーバやそれ以降のゲートウェイではじく事もできるからだそうで。実際動いているマシンの上で作業するのは怖いので先輩が1日分のログをテスト機に落としてきて、それを見て怪しいデータを探す事になった。ログは一日分でも100M程度あるので、適当にスクリプトを書いてファイルを切り分け、それから条件をつけてソートする。確かに怪しい人が何人かいて、同じ名前、住所なのに、微妙に違うIDを沢山使用していて、しかも全ての取引が決済で失敗している。
使用したIDの種類が多い順に並べ情報を整理をしたテキストファイルをお客さんに渡してその日(火曜)は帰ったのだが、今日連絡があって、やっぱりその怪しい人は逮捕されたんだそうだ。ただ、逮捕されたのは僕がログを眺めたりする以前の事で、想像するに決済会社から警察に連絡が行ってまず逮捕、その後で
−お宅のサーバからこんな奴がきとったでぇ
と、お客さんの所に連絡が行き、じゃあ、うちの取引も調べてみるかって事になったんだろう。
適当なIDで購入を試しただけで逮捕されてしまうのかどうか僕には良くわからないので、もしかすると実際に他人のIDで何かを購入したのかもしれないな。意外に身近な所にサイバー犯罪者がいるもんだと思って感動した。クレジットカードの不正使用被害額ってすごいもんね。
んー、でも良く考えるとファイル交換だとかサーバへの攻撃だとかネット上の犯罪はありふれすぎてる。今回は実際に逮捕された、ってのが僕にとって珍しいってだけか。