TRPG紹介の置き場所

遊んだTRPGを紹介してアフィで儲けて新しいTRPGを買うためのブログ(赤字)

〈コンピューター〉技能:ハッキングの基本的なアプローチ / クトゥルフ神話TRPGのための覚書

クトゥルフ神話TRPGのためのシナリオフック、ハウスルールの手引としての雑記です。テーマは「情報技術とハッキング」です。

基本的に「新クトゥルフ神話TRPG(第七版)」を前提にしますが、一般的なミステリーやホラーにおいてコンピュータ技術を取り扱う際のヒントになると思います。

新クトゥルフ神話TRPG(第七版)の紹介:遊び心地が大きく改善された最新版

最初に断っておきますが、ほとんどのハッキングは犯罪であり、またこれを書いている私はいわゆるハッカーではないです。

ハッカーと画家 コンピュータ時代の創造者たち

クトゥルフ神話TRPGにおけるコンピュータ関連技能

クトゥルフ神話TRPGにおいて、コンピュータに関連する探索者(プレイヤー・キャラクター)の技術の高さは〈コンピューター〉技能で表現されます。また、〈科学:暗号学〉〈電気修理〉〈電子工学〉〈図書館〉〈心理学〉も関連する技能と言えるでしょう。それぞれの技能の領域を整理しておきます。

コンピューター技能(63p)

探索者は、さまざまなコンピューター言語でプログラムを作成したり、不明瞭なデータを検索して解析したり、セキュリティーで保護されたシステムに侵入したり、複雑なネットワーク内を探したり、不正侵入やバックドア、コンピューター・ウイルスを検出もしくは利用したりできる。

〈コンピューター〉技能は現代でのみ使えるもので、ルールブックを読めば分かる通り、ただスマホを操作したりパソコンを使ことを技能の領域としていないことがわかります。ほとんどの場合、単にコンピュータを利用するために技能ロールは必要ないというわけです。

「コンピュータ専門家としての知識と経験」がこの技能の範囲と言えるでしょう。もちろん一般的なコンピュータ利用者としての知識も含まれますが、一般的な利用者は〈コンピューター〉技能を持っていなくても問題ないよう運用するほうが良いでしょう。(少なくとも2010年以降の先進国が舞台なら)

科学:暗号学(59p)

暗号技術のすべて

暗号技術のすべて

  • 作者:IPUSIRON
  • 発売日: 2017/08/03
  • メディア: 単行本(ソフトカバー)

暗号学は基本ルールブックに記述されている科学の分野の一つです。

情報技術というと、コンピュータが生まれてから発達した技術だと思われがちですが、じつはその一分野である暗号はコンピュータよりも遥かに古い歴史を持っています。例えば古代ギリシャで用いられたスキュタレーという道具が通信文の暗号に用いられたそうですが、これが使われた記録は紀元前に遡るそうです。

スキュタレー - Wikipedia

コンピュータによる電子的な暗号以前にも、数多くの暗号が存在しました。そのため、技能としての〈科学:暗号学〉はコンピュータに依存しません。技能の領分としては、「コンピュータ技術を礎にした暗号技術」が共通する部分で、他の部分はそれぞれ重複していないと考えるのが妥当でしょう。

電気修理(69p)

ルールブックでは明確に「現代では、この技能は〈電子工学〉とはほぼ無関係だ」と記述されていますが、実際のところ全く重なる領域がないわけではありません。が、ほぼ別物だと捉えて良いでしょう。

コンピュータの電源関連については、〈電気修理〉の領域になるかと思います。サーバールームの電源系統はもちろんこの技能の範囲ですし、デスクトップパソコンの電源くらいまでならこの技能の範囲と言えるでしょう。CPU、GPUNICチップセット、多くのセンサー、ほとんどのパソコン周辺装置は、〈電気修理〉の領分ではありません。

電子工学(69p)

現代にのみ存在する技能で、1920年代においては〈電気修理〉がこの技能の代用となります。高度に集積された電子回路が利用され、一般に広まったのは現代になってからであるためです。この技能は「電子回路への理解とそれを製作・取り扱いするための知識と経験」を表している技能であり、例えばBTOパソコンを組み立てるのに〈電子工学〉技能は不要でしょう。

図書館(71p)

〈図書館〉技能は図書館で情報を探し出すための技術ですが、データベースから情報を探し出しまとめる技術もその領域に含まれているようです。英語では Library Use という名称で、図書館を利用する技能であることがわかります。1920年代の図書館はそこから目的の本を探し出すためにもノウハウが必要で、それを表現したのがこの技能です。基本的には「莫大な情報から目的の情報を探し出す技能」として用いられますが、やはり本来のターゲットは図書館そのものなんですね。

心理学(65p)

心理学という学問分野とコンピュータは基本的に直接のつながりはありません。ただし、ハッキングという観点では別で、ソーシャル・エンジニアリングという分野があります。これは心理学的なアプローチで……つまり、コンピュータ技術をつかっている人間の意識や心理の脆弱性をついて機密情報を得るという手段です。こういった分野に関しては、心理学知識が大きく関連するでしょう。

最も、クトゥルフ神話TRPGにおける〈心理学〉技能は「相手のパーソナリティの分析」を主眼にしていて、学問としての心理学は本筋ではありませんが。

ハッキングの扱い

クトゥルフ神話TRPGにおいてハッキングは非常に扱いにくいと思います。多くの人は「ハッキングで何ができるのか」「どれくらいの実現性があるのか」がイメージできないためです。探索者による個々の挑戦がどれくらい妥当なのかを判断するためには、専門的な知識が必要になります。

もちろんクトゥルフ神話TRPGの目的はみんなで楽しく遊ぶことですから、ざっくりと「〈コンピューター〉技能に成功したらこういう情報が手に入る」とするのもいい方法です。しかし、ここではもう少し突っ込んだ部分を解説してみます。

ハッキングという言葉は非常に多義的で、具体的な行為を指しているわけではありません。しかしここでは、「コンピュータ・システムに非正規にアクセスして、内部の情報を盗み出すこと」としておきます。だいたいハッキングというとこのイメージですよね。

例えば「他人のパソコンにアクセスしてメールを盗み見る」とか「企業のデータベースにアクセスしてカルトへの献金記録を見つける」とか「行方不明者のSNSアカウントにアクセスしてダイレクト・メッセージを確認する」とかです。 

ここで重要なキーワードを2つ説明します。「アクセス権限」と「認証」です。

アクセス権限とは、あるコンピュータ・システムやサービスを利用する権利です。

認証とは、アクセス権限を持っていることをコンピュータに対して証明することです。

よくわかりませんね。具体例を上げましょう。

普通の個人用パソコンにおいて、パソコンを持っている人はアクセス権限を持ちます。そしてそれを証明する=認証するために、パソコンを起動したらまずパスワードを入力します。

スマートフォンにおいては、当然ですが所有者がアクセス権限の所持者です。指紋認証、暗証番号、顔認証などで所持者であることをスマートフォンに認識させており、この手順が認証にあたります。

複数人で共用しているパソコンであれば、ユーザーを別々にすることもあります。これは、それぞれのユーザーごとにアクセス権限を分割しているわけです。アリスとボブが共用しているパソコンでは、アリスは自分のアクセス権限においてパソコンを利用でき、ボブのアクセス権限が必要な情報にはアクセスできません。アリスは自分のパスワードを使って、自分のアクセス権限だけを証明することができます。アリスはボブのパスワードを知らないので、ボブのアクセス権限を証明する(偽証する)ことはできないわけです。

こういう、認証のために必要な情報(暗証番号、パスワード、指紋、顔、その他の生体情報、物理的な品物の所持、他のアクセス権限)をここでは便宜上「アクセスキー」と総称することにします。

ハッキングの最も基本的なことは、このアクセスキーを盗むことです。

ハッキング対象と方法論

ハッキングの対象は様々です。ここではいくつか事例をあげながら、クトゥルフ神話TRPGでどう扱うのが妥当か提案していきます。

個人用コンピュータ

まずハッキング対象に上げられるのは個人用コンピュータでしょう。スマートフォン、パソコン、タブレット端末などは、誰でももっている可能性があり、しかも個人情報の塊です。これらをハッキングするとなると、やはり暗証番号やパスワードを盗むのが一番最初に思いつくやり方です。

具体的な方法は述べませんが、それぞれの端末に物理的に接触することができ、〈電子工学〉技能でハード以上の成功度を出せば、パスワードを突破することはできることにしても良いでしょう。ただしコンピュータに様々な痕跡が残ります。〈電子工学〉技能や〈コンピュータ〉技能に優れた人物なら、その痕跡を発見できると思います。これには少なくとも数時間が必要で、簡単な工具もなければなりません。

ターゲットのコンピュータに物理的に接触できない場合、遠隔でのハッキングになります。これは非常に難易度が高く、そもそも技術的にハッキング不可能である場合もあります。ターゲットとなるコンピュータがインターネットに接続されていない場合は絶対に不可能ですし、接続されていても、なんらかの足がかりがなければハッキングに挑戦することさえできません。足がかりとなるのは、以下のようなものです。

  • おなじWiFiを利用している。
  • 相手のメールアドレスなど対象となるコンピュータで使っている連絡先がわかっている。
  • 対象となるコンピュータで相手があなたの運営しているウェブサイトやシステムにアクセスしている。
  • 以前にそのコンピュータに侵入したことがある。
  • USBメモリやメールなどを使って相手にソフトウェアを実行させることができる。

一部の足がかりには、当然ですが〈幸運〉が必要になります。こういった方法で足がかりを得れば、あとは〈コンピューター〉技能の出番で、ハード以上の成功を出せば、相手のコンピュータへの遠隔アクセスが可能になるとしても十分だと思います。

例外的な手法として、相手からパスワードをそのまま盗むということもありえます。スマートフォンのパスコードを入力しているところを盗み見るとか、眠っている相手の指紋をつかってロックを解除するという方法です。

サービスのアカウント

TwitterFacebookInstagram、Piterest、DriveThruRPGニコニコ動画YouTube など、インターネットを利用したサービスは枚挙に暇がありません。こういったサービスのアカウントにアクセスすれば、その人物の活動の痕跡をたどることができます。得られる情報はもちろん対象としたサービスによって異なりますが、TwitterFacebook なら個人的なメッセージが含まれる可能性は非常に高いです。

まず大前提として、探索者がこれらのサービスの運営者で、さらにサーバーの管理を任されるほどの立場の人間ならば、情報のコピーはできないとしても(社内規定と管理体制による)、メッセージのやり取りを盗み見るくらいは可能です。もちろん懲戒免職の対象となるでしょうし、同時に犯罪ですが、恐るべきカルトを追い詰めるためには必要な場合もあります。

そうでない場合、二つのアプローチがあります。アカウントの所有者のセキュリティを破る方法と、サービスそのもののセキュリティを破る方法です。後者については後から解説するとして、ここでは前者について取り扱います。

対象となるアカウントの所有者のセキュリティを破る方法では、最も簡単な方法は「その人の個人情報からパスワードを予測したり、総当たりでありそうなパスワードを全部試したりする」です。前者は〈科学:暗号学〉技能や〈心理学〉技能の領域でしょうし、後者はサービスごとに簡易的なツールをプログラムする必要があるため〈コンピューター〉技能を用いることになるでしょう。TwitterFacebook に通じるハッキング用ソフトウェアを作るためにはイクストリーム以上の成功が必要でしょうが、小さなサービスであれば通常成功でも十分です。

フィッシングと呼ばれる方法で所有者に直接パスワードを入力させることも考えられます。これは正規のウェブサイトを装った偽物のウェブサイトをつくり、ターゲットを騙してアクセスさせ、パスワードを入力させる方法です。ウェブサイトの偽造技術は〈コンピューター〉技能や〈製作:ウェブサイト〉の範囲で、通常成功で十分でしょう。対象を騙してアクセスさせるには〈心理学〉や、キーパーが認めるなら文書による〈説得〉〈言いくるめ〉などが必要になるかもしれません。

特定の企業の社内ネットワークや業務用データベース(インターネット・サービスのデータベースではない)へのアクセスは、その企業のセキュリティレベルによって難易度が変わります。

どのケースであれ、〈幸運〉ロールも必要になります。そして、ターゲットのセキュリティ意識によってボーナスダイスかペナルティダイスがあるかもしれません。

サーバー

サービスを運営している企業のサーバーのセキュリティを破れば、サービスのデータベースへのアクセス権限が得られます。これは最も難易度が高く、また発覚時のデメリットは莫大なものです。少なくともニュースの一面を飾ることになりますし、成功させた探索者の名前はハッカー史に残るでしょう。特に大きなサービスであればなおさらです。また、アクセス権限とまではいかなくとも、一部のアカウントへのアクセス権限を盗み出すことができる場合もあります。

どのような場合であれ、こういうケースで頼りにできるのは〈コンピュータ〉技能のみであり、イクストリームの成功を複数回連続で達成する必要があるでしょう。これは長時間の集中が必要な作業であり、ターゲットにするシステムの解析から始まるため、少なくとも数日か数ヶ月の時間がかかります。でも、たまに数分でイケる時もあります。

これらのハッキングはサービスの管理者の手によって暴かれる可能性があり、探索者は犯罪者となるリスクに手を染めることになります。サービスの規模によって管理者の〈コンピュータ〉技能は(少なくとも60%以上はあると思われる)決定され、痕跡を発見されるかどうかの対決が行われて然るべきです。

こういったハッキングの成功で得られるのは、そのサービスのデータベースへのアクセス権であり、サービスの利用者のすべての情報です。サービス運営者の情報は、運営者を対象とした個別のハッキングとなるでしょう。

スパイウェアによる情報収集

特定のコンピュータ機器やサービスに蓄えられている情報を閲覧するのではなく、リアルタイムで情報収集するための特別なソフトウェアを対象のコンピュータに送り込むというやり方もあります。これらのソフトウェアは一見すると便利そうに見えて、その裏ではあなたのために情報を集めてくれるのです。ソフトウェアの作成には当然ながら〈コンピューター〉技能が必要であり、どんなソフトウェアに偽装するかによって追加で何らかの技能ロールを求められるべきでしょう。両方に成功すれば、有用なソフトウェアを作ることができたことになりますが、それをターゲットに使ってもらうには更に一工夫が必要かもしれません。

こういった特別なソフトウェアをスパイウェアと呼びます。

最近ではスパイウェア対策も進んでおり、一筋縄ではいかなくなっています。ターゲットに直接ソフトウェアを送ることができるならともかく、そうでないならハード以上の成功が必要になるでしょう。当然、ターゲットがソフトウェアを使ってくれるかどうかは、ターゲットのセキュリティ意識によっても変わってくるかもしれませんし、またターゲットとあなたの間柄によっても変わってくるかもしれません。一般にスマートフォン向けのスパイウェアは難易度が高く、イクストリーム以上の成功が必須です。

スパイウェアでは、ものによって様々な情報が得られます。GPSの位置情報、他にどんなソフトウェアをインストールしているか、そのコンピュータが通信した別のコンピュータの宛先、コンピュータの利用時間や頻度、キーボードで入力したすべての文字列(パスワード含む)、コンピュータ内部に存在するファイルの内容などです。

〈コンピューター〉技能が40%以上あるような人物は、他人から受け取ったソフトウェアや素性のわからない怪しいソフトウェアを使うことはほぼないでしょう。こういった人物にスパイウェアは通用しません。

ウイルスによる情報収集

コンピュータ・ウイルスはスパイウェアとは違い、自己増殖能力を持ちます。(ウイルスと呼ばれるのはこの自己増殖性のため)

こういったウイルスの中にはスパイウェアのように情報収集を行うものもあります。もし探索者がコンピュータ・ウイルスに精通しているなら、即座に使える検体(コンピュータ・ウイルスの対策のために、ウイルスのプログラムを安全な場所で隔離して分析できるようにしたもの)を持っているかもしれません。これらのウイルスを活用するのは、〈コンピューター〉技能の出番です。

日常的にセキュリティに関連する仕事をしているか、職業ハッカーでなければ、こうした方法を採用するのは難しいでしょう。ゲーム上は、得られる情報はスパイウェアと同等で良いと思います。

ハッキングによって得られる情報

ハッキング対象によって異なります。現実的には、ハッキングに成功したからといって目的の情報が得られるとは限りません。普通はハッキング前に「多分こういう情報が出てくるだろう」と当たりをつけますので、まったくの空振りに終わることは少ないものではありますが。

  • ターゲットの個人的なメッセージのやり取り(ハッキング対象:サービスアカウントやメールアカウント)
  • その人が持っている他のコンピュータの位置情報(ハッキング対象:コンピュータ)
  • キーボード入力の内容。パスワードやメッセージなどあらゆるものが含まれる(パスワード対象:コンピュータ、ハッキング手法:スパイウェア
  • ターゲットが所持しているファイル(ハッキング対象:コンピュータ)
  • ターゲットの他のサービスアカウントへのアクセス権限(ハッキング対象:コンピュータ)

目的の情報が即座に手に入らなくとも、連鎖的にハッキングを行うことでうまくいく場合もあります。例えば Twitter にアクセスすることでターゲットのメールアドレスが入手でき、そこから同じパスワードを使ってメールアカウントにもアクセスできたりします。あるいはコンピュータのパスワードが分かれば、コンピュータでメールアドレスを開いてパスワード変更手続きを行うことで、メールアドレスにどこからでもアクセスできるようになります。こうした連鎖的なハッキングに必要な技能ロールは〈コンピューター〉技能、場合によってはINT×Nロールでも可能かもしれません。

ハッキングで得られる情報は、他の情報と同じように様々な方法でキーパーがコントロールできるでしょう。ルールブックの198ページから記述されている「情報を膨らます」のセクションは非常に有益です。

バックドア

一度ハッキングに成功すれば、二度目はもっと簡単に成功します。そのための足がかりをバックドアと呼びます。バックドアを仕掛けておけば、二度目以降の同じ対象へのハッキングは自動成功にしても構わないと思います。

逆にバックドアを発見して解除するには、〈コンピューター〉技能が必要になります。

ハッキングに必要な時間

数分で終わることはほぼありません。たまにありますが、まあだいたい無理です。

基本的にハッキングは数日の時間が必要な大掛かりな作業です。最低1度は技能ロールを行い、もしキーパーが必要だと考えるなら数回の技能ロールを行わせても良いでしょう。関係する技能が複数あるなら、それぞれで成功度をテストすべきです。

複数の探索者が共同でハッキングを行うことはほぼほぼ不可能です。双方がハッカーとして協業の経験を十分に積んでいるのなら別ですが、そうでない場合、ハッキングは個人的な作業となります。仮に協業できるとしても、二人なら必要時間が単純に半分になる、といったこともありません。せいぜい、三割減というくらいでしょうか。

ハッカーを雇う

探索者自身がハッカーでなくとも、ハッカーを雇うことができるかもしれません。犯罪者のハッカーグループは実在しており、ダークウェブで彼らに接触すれば、必要な手助けを得られる可能性はゼロではないでしょう。ただし、少なくとも〈信用〉技能を減少させるくらいの出費が必要になるでしょうし、ダークウェブでの〈図書館〉や〈幸運〉にも成功させなければなりません。

探索者がハッカーで、他のハッカーの連絡先を知っている可能性も考えられます。その場合、ハッカーとコンタクトを取る難易度は非常に下がるでしょう。自分では手が回らない調査を依頼することができる可能性はあります。

もちろん彼らハッカーがなにかクトゥルフ神話にまつわる証拠を見つけて、個人的な興味で事件に踏み込んでしまい、帰らぬ人となる可能性は、非常に高いものです。キーパーはもちろん、セッションの楽しみが損なわれるなら、こういったNPCの雇用を認めないべきです。

コンピュータと神話的事象

魔術として使える情報

涼宮ハルヒの憂鬱において、SOS団のロゴは「くそでかサイズの情報を圧縮したデータと偶然一致した」ために一騒動を起こしたりします。こういう「情報そのものが特別な意味を持つ」という形式で、或る種の魔術を行使することができるというのは、SF+オカルトでよくある設定でしょう。呪文のカスタマイズ版として、画像データや音声データを特定のフォーマットで再生する、といった形式はありかもしれません。この場合、データの圧縮やフォーマットの変更は呪術的特性を失わせることになるでしょう。

コンピュータ・ウイルスの神格

コンピュータ・ウイルスの定義は「他のコンピュータ・プログラムに寄生することで、自己増殖し、また意図しない動作を引き起こすもの」です。特定の宿主に寄生し、その構造を利用して自己増殖するところが、実際のウイルスと非常に似ているため、このように呼ばれます。

コンピュータ・ウイルスのように情報で自己を構成する神格がいても不思議ではないかもしれません。肉の体だって、地球環境上で動作する原子の配列と化学反応に基づいた構造体です。コンピュータの演算上にしか存在しない情報の体を持つ神格というのも、考えられるでしょう。

情報技術を介して広がるミーム

ミームとは、「脳内に保存され、他の脳へ複製可能な情報」です。要するに情報なんですが。例えば、「井の頭公園集団自殺事件が起こった」という情報はメディアや噂で広まるわけですが、この情報を主体に考えると、メディアや噂によって自己複製を繰り返したと捉えることもできます。またその過程で、言い換えや勘違いによって、自己改変を行っていきます。こうして考えると、情報も生物に似た特徴を持っていると考えることもできます。

こうした情報=ミームの形式をした神格も存在できるかもしれません。そうしたミーム的存在は、自己の出発点となるウェブサイトやSNS上のアカウントを所持しているかもしれず、ハッキングによってその不整合に触れることもあるかもしれません。(アカウントがサービスのデータベースに実在しないのに、そのページにはアクセスできるなど)

虚構推理 (講談社タイガ)

虚構推理 (講談社タイガ)

まとめ

ハッキングはかっこいいイメージですが、実際にセッションで扱うとなると、どんな情報を出して良いのか悩むと思います。

クトゥルフ神話TRPGでは職業サンプルにハッカーが挙げられていますが、せっかくハッカーの探索者を作ってもハッカーらしいことができないということは大いにあります。この記事がセッションに彩りを添えることができれば幸いです。

何がゲームで起こるかを判断する際には、現実の感覚とあなたが劇的な状況を生み出すと考えていることとのバランスをとるようにしよう。

大事なのはゲームであり、面白さです。リアリティではありません。

本記事で紹介した判定の事例はあくまで私見による提案であり、実際のセッションの場においては、当然ですがキーパーの裁量を優先してください。