システム、ハッカーが鍛える 客員論説委員 土屋大洋

2019年9月25日(水)付

 #NIKKEI

(以下転載)
ハッカーは悪者というイメージが定着してしまったが、もともとは技術に精通し、それを活用できる人といった意味であった。しかし、常人には彼らの繰り出す技が魔法のように見えてしまうため、ハッカーたちは魔女狩りのように悪者にされてしまった。

米マサチューセッツ工科大ではハッキングといえば「みんなをアッと驚かせるいたずら」を意味し、必ずしも悪事ばかりというわけではない。それでは、正義のハッキングはあり得るだろうか。

エシカル(倫理的な)ハッキングという言葉がある。これは企業や政府の脆弱性を見つける目的で、あえて善玉ハッカーたちにハッキングをしてもらうことである。

かつて米軍では、秘密の演習が行われた。1997年6月、米政府のインテリジェンス機関の中でも高いハッキング能力を持つ国家安全保障局(NSA)が、レッド・チーム(業務改善を目的として意図的に組織に挑む独立のチーム)を設立。米統合軍のひとつである太平洋軍と国防総省の電話、ファクス、そしてコンピューターネットワークにサイバー攻撃をかけた。 

この「エリジブル・レシーバー97演習」は、当初2週間の予定だったが、軍の中枢のネットワークが乗っ取られたことで、たった4日間で終了した。戦時に大統領の命令を発する国軍指揮センターは、初日に陥落していた。多くの軍のコンピューターがパスワードすら設定されておらず、あったとしても「password」「12345」といった容易に推測されるパスワードだった。すべての電話回線はつながらなくなり、ファクス回線は鳴りっぱなしになった。

レッド・チームが最も苦労したのが統合参謀本部のインテリジェンス部門のサーバーだった。だが、チームの一人が国防総省のIT部門のふりをして電話をかけ「技術的な問題からすべてのパスワードをリセットする必要がある」と担当者に告げると、まんまとパスワードを電話口で聞き出せた。

97年はまだインターネットが広く普及する前の時期ではあった。だが今も国防総省(通称ペンタゴン)では「ハック・ザ・ペンタゴン」というイベントを開催。悪玉ハッカーたちにやられてしまう前に善玉ハッカーたちにシステムの脆弱性を見つけてもらい、報奨金まで出している

企業も、わざわざサイバーセキュリティー会社に頼んでハッキングしてもらうことがある。個人情報が漏洩してからでは取り返しがつかないので、先に自社システムの脆弱性を見つけてもらうのだ。見つかった問題に対処しておけば悪玉ハッカーにやられる危険性は減る。こうしたサービスとしてのハッキング、ハッキング・アズ・ア・サービス(HAAS)は大きな市場になりつつある。

サイバーセキュリティーにおいては、防衛と攻撃は表裏一体である。攻撃手法を理解しなければ防衛手段を打つことができない。本来は実地訓練も欠かせない。しかし、実地訓練は難しいので、多くの場合はインターネットとは切り離された仮想環境で訓練が行われている。HAASは実地訓練になるので、サイバーセキュリティー会社の能力向上にも資する。

さらにグレーな領域としては、ガバメント・ハッキングと呼ばれる行為もある。人体や物体に被害を及ぼすようなサイバー攻撃には至らない範囲で、他国や自国の犯罪者や敵対勢力の監視を目的に、政府がハッキングを行う。例えば監視対象者のスマホにひそかにアプリを忍び込ませ、メールや通話を監視する。

もはやこうなると演習とはいえず、ハッキングされる側から見ると違法行為にみえるが、あくまで政府による合法的な活動とされている。

自衛隊にはサイバー防衛隊が2014年に設置された。しかし、自衛隊はサイバースペースでも防衛に徹することが求められている。あえて自衛隊サイバー・レッド・チームを作り、政府のシステムを攻撃させて能力向上を目指してはどうだろうか。

頂いたサポートは、書籍化に向けての応援メッセージとして受け取らせていただき、準備資金等に使用させていただきます。