
11年前に数十ビットコインを購入した兄貴、パスワードを紛失した後、ハッカーが苦心して回復を手助け
TechFlow厳選深潮セレクト

11年前に数十ビットコインを購入した兄貴、パスワードを紛失した後、ハッカーが苦心して回復を手助け
過程が曲折しすぎている…
著者:留学生おじさん
2022年、スペインに住むマイケル(Michael)という男性が、ある難題に頭を悩ませていた。
実は2013年、まだそれほど注目されていなかったビットコインを総額5300ドルで購入しており、合計43枚を保有していた。
その後彼はそのコインを電子ウォレットに保存した。盗難防止のため、パスワード生成ソフトを使って20桁のランダムなパスワードを作成した。
同じソフトでこのパスワードを保管するのは危険だと考えたマイケルは、もしハッカーに解読されたりPCが紛失したら、相手が簡単にパスワードを見つけ出してビットコインを引き出せてしまうと恐れた。
そこで彼は独断で、この長いパスワードを別の文書に貼り付け、誰にもその用途が分からないようにした。さらにその文書自体にもパスワードを設定し、暗号化してしまったのだ。
こうした多重暗号化により、マイケルは完全に安全なビットコイン口座のパスワードを手に入れたと思い込み、ビットコインの価格上昇を待って引き出すつもりだった。
だが予想外の事態が起きた――パスワードを保存した暗号化ファイルが突然壊れてしまい、開くことができず、20桁の長大なパスワードもコピーできなくなってしまったのだ。
一方で、彼は目の前でビットコインの価値が過去の123ドル/枚から3万ドル超へと跳ね上がるのをただ眺めるしかなかった。
「私は財産を持っている。目に見えるのに、使えない。なぜならパスワードがないからだ。」
それ以来、マイケルは何年にもわたり、さまざまなパスワード復旧の専門家を探し続け、当時のソフトウェアが生成したランダムなパスワードを復元できるか尋ねてきた。
しかし無数のサイバーセキュリティの専門家が彼に告げたのは、「20桁のランダムパスワード? ビットコインのことは忘れたほうがいい。二度と取り戻せないよ。」という言葉だった。
この悪夢のような知らせを聞いたマイケルは、生涯かけてもこの巨額の富を取り戻すことはできないと思っていた。
だが2022年、ネットを通じてアメリカ人のハッカーであるジョー(Joe Grand)の存在を知り、マイケルは彼に助けを求めることになった。
ジョーは世界的に有名なハードウェアハッカーであり、電気エンジニアでもあり発明家でもある。彼のハッカーとしての歴史は10歳の頃までさかのぼる。
主流メディアにも認められ、システム開発者たちにコンサルティングも提供している。内容は「自分のようなハッカーからどうやって防御すべきか」というものだ。
また、ジョーには以前、二人の見知らぬ人に代わって失われた暗号資産のパスワードを回復した経験がある。
一度は、パスワードを保存したUSBメモリを湖に落としてしまい、ダイバーが回収した後、ジョーが物理的な手法でUSBの機能を復元し、まるで何も失われていないかのように中身のパスワードを取得できた。
もう一つはパスワードの解読に関することだった。ある家族の息子が急死し、死前に兄弟に「ビットコインのパスワードは祖母の名前に関係しているかもしれない」と伝えていた。そこでジョーはその手がかりに基づき「ブルートフォース探索」を行い、何百万もの組み合わせを一つひとつ試していった。
2022年、マイケルはネットを通じてジョーに連絡したが、ジョーは以前のようにすぐには応じなかった。
理由も単純だった。ジョーはハードウェア系のハッカーであり、ソフトウェアによってランダム生成されたパスワードの復旧には詳しくないのだ。
それに加え、暗号資産のパスワード探しは彼の専門分野でもなければ興味の対象でもなく、いくら高額の報酬を提示されてもやらないつもりだった。
そのため、当時ジョーは即座にマイケルの依頼を断った。
しかし昨年の夏、再び絶望の中からマイケルがジョーに接触してきたとき、今度は彼は「試してみる」と答えた。
これはジョーの心が変わったわけではない。彼のドイツ人パートナー、若いソフトウェアハッカーが、マイクの失われたパスワードを回復する可能性があるかもしれないと提案したためだった。
この若きハッカーの名前はブルーノ(Bruno)。ドイツ人で、ソフトウェアの脆弱性を専門としており、ジョーと同じく幼少期からシステムやソフトウェアのセキュリティホールに強い関心を持っていた。
ブルーノも時々、失われた暗号資産のパスワードについて人々からの相談を受けるが、マイケルのようなケースは初めてだった。
彼はジョーに「勝算があるかもしれない」と提案し、ふたりの天才ハッカーは困難だがわずかな可能性があるプロジェクトに強い興味を抱いた。
ジョーはヨーロッパへ飛び、ブルーノ、そしてマイケルと合流した。
マイケルがかつてそのランダムパスワードを生成したのは「RoboForm」というソフトウェアだった。これは世界でも初期のランダムパスワード生成ツールであり、今もなお使用されている。
ジョーとブルーノはこのソフトウェアをテストした結果、瞬間ごとにまったく異なるパスワードを生成できることを確認した。
ふたりにとって、マイケルの当時のランダムパスワードを見つけるのは、まさに「大海から一本の針を探す」ようなものだった。
「すべての可能なパスワードの組み合わせを試す必要があるなら、それは地球上の水滴の数の100兆倍に相当する。
もし各パスワードを一滴の水だと想像すれば、それが川底を流れるかもしれないし、空から降ってくるかもしれない。世界中のどこかの海の中にいるかもしれない。
しかし、なんとかしてその範囲を狭めることができれば、解決不可能に思えた問題を、成功可能な課題に変えられる。」
ふたりはRoboFormの動作原理を把握した後、時間軸に沿って検索範囲を狭める手がかりを探し始めた。
すぐに彼らは、ソフトウェアのバージョン更新履歴の中で2015年の記述に不審な点があることに気づいた。
「パスワード生成のランダム性を強化しました。」
この一文に、ふたりの天才ハッカーは警戒心を抱いた。「ランダム性を強化?」
ということは、2015年以前のバージョンでは、生成されるパスワードはそれほどランダムではなかったのでは?
コンピュータのソフト・ハードの天才であるジョーとブルーノは、そもそもコンピュータが常に「完全にランダム」な数字列を生成することは「非常に非常に難しい」と知っていた。多くの場合、乱数は特定の参照パラメータと関連していることが多い。
「もし我々がこの『ランダム性』を操作できれば、予測可能な出力を得ることができ、それを用いてマイケルのウォレットパスワードを解読できるかもしれない。」
だが今は2023年。10年前、マイケルがパスワードを作成した時代に戻り、当時と同じようにソフトウェアを動かすにはどうすればよいのか?
ここでふたりの専門知識が光った。彼らはソフトウェアに対してリバースエンジニアリングを行い、バージョンを2013年のものに戻しただけでなく、システムデータを改ざんして、ソフトウェアに「2013年からのユーザー命令を受けている」と錯覚させた。
「我々はシステムを騙して2013年に戻した。つまり、マイケルがパスワードを生成した時間帯だと認識させ、その期間内でのパスワード生成を可能にしたのだ。」
「タイムマシン」に乗って10年前に戻ったふたりは、NSA(米国家安全保障局)も使うソフトウェアツールを駆使し、過去のパスワード生成の法則を探ろうとした。
「このソフトはマトリョーシカ人形のようだ。私たちの狙いは、真ん中に隠れた小さな人形――パスワード生成部分だ。」
計算とテストを繰り返した結果、ふたりは驚きの発見をする。当時のランダムパスワード生成には確かに規則性があり、その鍵は「システムの時刻」だったのだ。
つまり2013年のこのソフトは、ユーザーがパスワードを作成した時刻に基づいて、「擬似ランダムパスワード」を生成しており、その瞬間のパスワードは作成時刻と直接的に関連していたのである。
パスワードがマイケルが作成した時刻に関係しているという重要な手がかりを得て、ジョーとブルーノは大いに興奮した。
これはつまり、マイケルがパスワードを作成した日付とおおよその時刻がわかれば、有限の候補パスワードを算出し、それらを一つひとつ試行することで解読できる可能性があることを意味する。
だが意外にも、マイケル自身、10年前にいつどの日にソフトを開いてパスワードを生成したかなど、まったく覚えていなかった……。
それでもジョーとブルーノは落胆せず、さらに丹念に調査を進めた。
彼らはまず、マイケルがビットコインを電子ウォレットに移した時期が2013年4月であることを突き止めた。
常識的に考えて、マイケルはその時期の前後数ヶ月以内にパスワードを作成したはずだ。そこでジョーとブルーノは、同年3月から4月末までの期間に検索範囲を絞った。
徹夜で議論し、計算し、コンピュータの処理結果を待ったが、結果は残念なものだった。マイケルのビットコインアカウントを解除できるパスワードは一つも見つからなかった。
仕方なく、ふたりは再度マイケルに連絡し、正確な日付を思い出そうと努力してもらった。
だがマイケルも10年前のことなど頭が混乱するばかりで、はっきりとは思い出せなかった。
そこで今度は、ブルーノがマイケルに、当時同じソフトで作成した他のいくつかのパスワードを送ってもらうよう依頼した。同じソフトで作った他のパスワードから何か手がかりが得られないかと考えたのだ。
すると、マイケルの他の2つのパスワードには、特殊文字(¥……&などの記号)が一切含まれていなかった。
特殊文字を含めるかどうかはユーザーが設定できる項目だが、ふたりはその情報を手がかりに、検索範囲から特殊文字のオプションを除外し、さらに検索期間を2013年6月1日まで延長した。
そして、あるごく普通の深夜、ブルーノの目の前の画面に、数字とアルファベットで構成された特定の文字列が突如現れた。
画面上に、唯一の結果が表示された!
ソフトウェアの専門家であるブルーノですら予想しなかったこと――なんと唯一の答えが存在したのだ!
狂喜するブルーノ
結果によると、マイケルは2013年5月15日午後4時10分40秒に、このパスワードを作成していた。
昨年11月、ジョーとブルーノはこの衝撃的な朗報をマイケルに内密にし、マイケルに贈呈する160万ドルの巨大なフォームボードを特別に制作。飛行機でバルセロナまで輸送することに成功した。
そしてマイケルがカメラの前で、自分がいかにして巨額の財産を失ったかを語っている最中、ジョーとブルーノが突然登場し、プレートを持ってこの朗報を伝えた!
三人とも、喜びを抑えきれなかった。
5か月間にわたる努力の末、ジョーとブルーノは不可能と思われたことを100%達成したのだ。
報酬として、パスワード解読成功後、マイケルのビットコイン口座から一定割合のビットコインを受け取ることになっていた(解読成功時にのみ報酬を支払うという契約は事前に結んでいた)。
昨年11月時点で、マイケルのビットコインは10年前の5300ドルから160万ドルにまで成長していた。
ジョーとブルーノはこの物語を短編ドキュメンタリーとして撮影。今年5月に公開された時点で、その価値は160万ドルから300万ドルにまで上昇していた……。
昨年末、マイケルは一部のコインを売却し、恩人にもコインを分け与え、自分は30枚を保有し続けた。
彼はビットコインが10万ドル/枚に達するまで、残りのコインを売却しないつもりだという。
最後にマイケルは、ジョーとブルーノに感謝すると同時に、かつての「賢さが裏目に出た」自分にも感謝した。
「もしパスワードを失っていなかったら、10年も待たずに、もっと早く売ってしまっていたかもしれない。」
どうだろう。ふたりの天才ハッカーの尽力に加え、たまたま過去のソフトバージョンに重大なシステム脆弱性があったおかげで、マイケルのパスワードは太平洋に消えることはなかった。
せめて教訓を胸に刻んでほしいものだ……。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News


































