「報復ハッキング」の4大問題

2015年12月17日

報復、正義、あるいは復讐とでも言いましょうか。最終的に悪者の自業自得で終わる映画ほど気分のいいものはありません。しかし、いわゆるビジランテ映画は、法律を遵守する国民の大半は自ら裁きに乗り出すものであるかのように描かれています。現実には、文明国は国民に対し、自らの手で問題に対処「しない」ようにと説いてきました。それは警察やFBIに任せるべきことなのです。

wide11

その根底にあるのは、法執行機関は私たちに代わって力を行使するための人員や資金を持つのだ、という信任です。このような信頼があれば、大半の国民は銃を持たずに外出するでしょうし、必要であれば、犯罪者への「報復攻撃」は警察に任せるでしょう。

サイバー犯罪はどうでしょうか。現在、1日に発見されるマルウェアの数は、2006年の1年間で発見された数を上回ります。また、当社の最も正確な推定によると、ハッカーは年間2,500億ドル以上に上る額の損害を米国に与えています。モノのインターネットをカウントしなくても、米国で日常的に使用されているインターネット接続型デバイスの中には、マルウェアの入り口となり得るポイントが10億か所以上あります(英語記事)。米国政府にはこれに対処するリソースがないと言ったら、驚く人はいるでしょうか?少なくとも1つの委員会が、被害者救済のために、報復ハッキングの権利を合法化するよう要請しました。なぜなら、「サイバー空間で窃盗にあった企業は、盗まれた電子ファイルを取り戻せて然るべき」(英語記事)だからです(サイバー世界のおかしな理屈ですが、それについては後述します)。

しかし、超初心者向けのハッキング解説本を買ったりハッカーを雇って守りを固めたりする前に、サイバー攻撃の3つの特徴について考えてみましょう。実際、これらの特徴によってサイバー分野が極めて独特なものになっているため、米国のサイバー軍事機構内部に大きな盲点(英語資料)が生じていると言われています。つまり、米国のテクノロジーが権勢をふるっているその他4分野(陸、空、海、宇宙)と同じようになってほしいのに、サイバー空間は根本的に違っています。このテーマでまるまる1本の論文や1冊の本(英語資料)が書けるほどですが、サイバー攻撃が特別である理由の上位4つを簡単にまとめると次のようになります。

  1. 攻撃者は永久に名前を明かさずにいられる
  2. サイバー攻撃は非対称的である。つまり、ハッカー1人で企業1社を丸ごと破壊できる
  3. ハッカー組織の再結成は簡単で費用がかからず、時間と場所を問わず可能である。システムが物理的に破壊されたとしても問題ない
  4. 組織犯罪はサイバー犯罪を積極的に活用している(つまり、フェアプレーは期待できない)

実世界での犯罪に例えて考えてみましょう。穏やかな週末のある日、庭で一人でくつろいでいるとします。突然、誰かがフェンスの向こうから絵の具でいっぱいの水風船を投げ入れてきました。目の前にあるものすべてに絵の具が飛び散ります。犯人は隣家の子供に違いありません。駐車スペースを巡ってくりひろげられている争いがエスカレートしたものであることは明らかだからです。そうはいっても、器物損壊は間違いなく一線を越えています。そこで、あなたは憤然として、犯行の様子を写真に収めようと、携帯電話のカメラを手に犯人のいるほうへ向かいました。しかし、そこにいたのは隣の子供ではありませんでした。覆面を付け、SWAT装備に身を固めた男たちの集団で、あなたに向けて銃を構えていました。多勢に無勢です。しかも、逃げ隠れするところもありません。

このシナリオはサイバーセキュリティをうまく表しています。サイバー攻撃の背後に機密情報を盗もうとする国家が潜んでいることが多々あり、時には、サイバー傭兵や犯罪組織を動員して汚れ仕事をやらせることもあります。新しく任務に就いたCEOが世間の注目を浴びようとして「どんなハッカーでも当社製品にはかなわない」などと発言するとハッカーの攻撃が激しくなる、という現象が数年ごとに確認されています(英語記事)。そんなことをしたら次に何が起こるか、これまでの歴史が如実に物語っているにもかかわらず、新米CEOは情け容赦なくハッキングされて度肝を抜かれるのです。また、イスラエルのサイバーセキュリティ会社の幹部が、自分たちはハッカーを撃退できると主張したこともありました。その結果、幹部たちはサイバー攻撃を受けただけでなく、次に失うものはこれだとばかりに、我が子の写真が送られてきました。インターネットの陰に隠れた闇の力には少しも「現実感」が沸きませんが、生半可な気持ちでちょっかいは出せません。

確かに、攻撃してきた相手に攻撃し返すのは、自分が不死身であることを自慢するのとはちょっと違います。被害者の動機はさまざま。実際、報復ハッキングに至る動機には6種類あります。しかし、そもそも報復することが企業の利益になるのでしょうか?そんなことをしてちゃんと採算が取れるでしょうか?私の次回のブログ記事では、この6つの動機について考察します。