ハーメルンの笛吹き男とサイバー兵器

『ハーメルンの笛吹き男』は、実際にあった悲劇的な事件を表した話だと言われています。私たちの目から見ると、あの事件に重なります…。

一般的な見解とは違うかもしれませんが、おとぎ話や昔話は娯楽として考え出されたのではなく、重要な教訓を、理解しやすい形で子どもたち(と大人)に教えるために作られたものです。はるか昔から、語り部たちはインターネット(その登場を予知していたのです)を安全な場所にしたいと願い、物語の中にサイバーセキュリティのヒントを織り込んできました。たとえば、『赤ずきん』は中間者攻撃について警告していますし、『白雪姫』は国家支援型のAPT活動を予見していました。このほかにもいろいろあります

不幸なことに、人類はおとぎ話の明白な教訓を無視し、尋常ではない執拗さで同じ過ちを繰り返してきました。『ハーメルンの笛吹き男』も、そうした例の一つです。

ハーメルンの笛吹き男

古い伝承にはよくあるように、この物語もいくつかのバージョンが伝えられていますが、基本的な筋は同じです。ドイツにあるハーメルンという町では、ネズミが大繁殖していました。ネズミたちは食料を荒らし、人間や家畜を襲ったので、人々はひどく悩まされていました。

事態に対処しきれないハーメルンの自治体は、風変わりな衣装を身にまとったネズミ捕獲の専門家を雇いました。その男は魔法の笛を使ってネズミを町から誘い出し、近くの川まで連れて行って溺れさせました。

ところが、けちな町長は約束を守ることを拒否し、ネズミ捕獲の専門家、もとい笛吹き男に対し、契約よりもはるかに少ない報酬しか支払いませんでした。笛吹き男は何も言いませんでした。その代わり、再び魔法の笛を使って復讐したのです。ネズミたちと同じ方法でハーメルンの町からおびき出されたのは、子どもたちでした。

子どもたちがその後どうなったのかは、語り手が生きていた時代や、語り手の楽観度合い(基本的に高くありませんが)によって異なります。ネズミと同じようにヴェーザー川で溺れてしまったパターン、コッペン丘に連れて行かれて二度と戻ってこなかったパターン、丘を越えて遠くへ行って街を見つけたパターン(これが一番新しいバージョン)があります。

寓話の裏にある意味

興味深いことに、この出来事には「1284年6月26日」という具体的な日付が与えられています。町の年代記にこの言い伝えが最初に記録されたのは1375年で、その後何度か書き換えられたり語り継がれたりするうちに、細部が付け加えられ、話がふくらんでいきました。付け加えられた部分の大半には、明らかな政治的または宗教的な意図があります。たとえばハーメルンの住人の強欲さに焦点を当てた内容になっていたり、笛吹き男をあからさまに悪者扱いしていたり。ここでは中世の人々が持っていた偏見については触れず、基本的な事実に注目することにしましょう。

ハーメルンへの攻撃

私たちが見たところ、ハーメルンのインフラは未知の悪意ある者から攻撃を受けています。攻撃者たちは文字通り、有形資産(穀物)と情報(法的文書)を食い荒らし、住人の健康を脅かしています。

攻撃の詳しい説明は残されていませんが、この攻撃者たちが「ネズミ(Rat)」と呼ばれているのは、おそらくRemote Access Tool(またはRemote Access Trojan)を使用していたためです。どちらも略すと「RAT」です。RATはシステムにリモートからフルアクセスできるようにするツールなので、よからぬ意図で使われることがあります。

雇われた専門家

町の住人は、エンドポイントを保護するために、まずは猫を使ったソリューションを試しました。効果がないことが分かると、今度は攻撃者のRATの脆弱性について知っている外部のエキスパートを雇いました。エキスパートはその脆弱性を狙う強力なサイバー兵器を組み立て、RATを操るコンピューター群をリモートコントロールし、一種のボットネットに変えました。すべてのコンピューターに侵入した笛吹き男は、脅威の無効化に成功したのでした。

住人が標的に

RATの攻撃がやむと、当局は愚かにも、専門家との契約を反故にしました。ほとんどのバージョンは金銭面で意見の相違があったとしていますが、真偽を確かめることはできません。それはさておき、町の子どもたちが使っているデバイスにも、同じ脆弱性が存在することが判明しました。

RATの使い手と一般の人々の両方になぜ同じ手法が有効だったのか、その理由を示す技術的情報は、残念ながら示されていません。そこで、どこにでも存在するもの(たとえば、ネットワーク上のリソースへリモートアクセスするための一般的なアプリケーション層の通信プロトコル)に脆弱性があったと仮定しましょう。

一方、いわゆる大人たちがその脆弱性の影響を受けなかった理由もよく分かりません。もしかすると、物語の中の「子ども」という言葉は、未成年ユーザーを表すのではなく、最近のOSを搭載した新世代のデバイスを指すのかもしれません。そういったデバイスが、先ほど述べたプロトコルをきちんとアップデートできていなかったために脆弱性を抱えてしまった、ということでしょうか。

いずれにしても、結末は悲劇です。笛吹き男は例のボットネットの手口を、今度はRATの使い手に向けてではなく、町の子どもたちに向けて行使したのでした。

現代版ハーメルンの笛吹き男

こうして見ると、ハッカー集団のShadow BrokersとEternalBlueの流出、その後に続いたWannaCryの大流行とその他ランサムウェアの流行を強く連想せずにはいられません。EternalBlueの流出があった直後に『ハーメルンの笛吹き男』を読んでいたら、私はその流出インシデントのレポートだと思ったことでしょう。政府機関が強力なサイバー兵器の開発を委託したところ、予想に反して同国住民に対して使われてしまう。そのままではありませんか。

この大いなる偶然は、らせん状に進むという歴史の性質に起因すると考えられます。16世紀ドイツの情報セキュリティエキスパートは明らかに問題に気付いており、政府が後押しするサイバー兵器プログラムの危険性について自分たちの子孫(私たち)に警告しようとしたのです―そのサイバー兵器がいずれ、一般市民であるユーザーに牙をむき、ひどい結果をもたらすかもしれないことを。

ヒント