SecurityAffairsの世界ハッカーインタビュー (2) サイバーセキュリティ業界を変えたいハクティビスト「GhostShell」

『Security Affairs』

June 6, 2016 10:30
by 『Security Affairs』

GhostShellが戻ってきた。そして私は彼にインタビューする機会を得た。GhostShellのような才能ある人物の考えや意見を理解することは重要なことである。

5月17日に私は、最も有名なハッカー Ghost Shellが戻ったというニュースをレポートした。彼は32社のデータを流出させた人物だが、怠慢なネットワーク管理者を懲らしめる新たなキャンペーンを開始した。

GhostShellとは誰か?  GhostShellをハッカーやハクティビストに分類するのは単純すぎる。そこで私はインタビューを通して裏側に迫り、彼を捉えようと決心した。

GhostShellのような才能ある人物の考えや意見を理解することは重要なことであると私は考えている。ハッカーにはそれぞれのコード、経験、成長過程、知識がある。これらは実際にサイバーセキュリティに携わる人物にとってだ。

GhostShell がインタービューに応じてくれたことにここでお礼を述べたい。彼に心から感謝している。

ではインタビューをお楽しみいただこう。

Q:動機となるものについて教えてください。ハッキングをする理由は?

A:私がハッキングを行うのには、多くの理由がある。まず、私はハクティビストなので、私が実行する公のハッキングや漏洩は「政治的動機に因る」ものだ。理由はハッキング毎に異なる。過去には教育部門や、ロシアや中国のような国での政府による国民に対する力の乱用といったトピックに焦点を置いていた。また、世界中のハッカー仲間を逮捕したことで米当局を狙っていたこともある。また世界の別の場所、例えばアフリカなどで蔓延する汚職に重点を置いていた時期もある。

制限が何もなく、誰にも評価されない状態でインターネットを検索するのが私の密かな楽しみだ。

新しくて、常に形を変えるこの世界のどこであれ心の望むままに探索できるようになることで、本当の自由を少し経験することができる。暑い夏の日の涼しい風のように、短いけれど素晴らしいものだ。

Q:あなたの技術的な経歴を教えてください。あなたはITの専門家ですか?

A:私はこの業界の正式な(技術的)経歴を持っているとは強く言えない。私が知っていることや、私ができることは全て独学で勉強したり身に付けたりしたことだ。実のところ、私がこの世界に初めて登場した頃は、私のTwitterアカウントにはフォロワーは誰もいなかった。文字通り、私には友達も繋がりも何もなかった。私がこの話を持ち出した理由は、サイバーセキュリティを学ぶのに民間のクラスであれ政府のトレーニングであれ専門家の手を借りる必要は何もないということを証明するためだ。少しの好奇心と決意がある人なら、この分野に関連するどんなトピックでも追求することができる。

私が過去に惹きつけられたトピックは、一般的なペネトレーションテストから様々な言語での一般的なプログラミング、暗号学などのジャンルだ。暗号については解読に大きく重点が置かれているものの、最近では暗号が解読できることはほとんどない。侵入してプライベートなデータを抜き出したとして、暗号化されたデータに出くわした場合はどうなるだろうか? レインボーテーブルによる一般的なMD5パスワードクラッカーはもはや役に立たない。ハッカーはこの変わり続ける環境と同時に、進化・順応していかなければならないのだ。

ここだけのちょっとした情報を明かそう。それは、私はこの業界だけでなく他の様々な業界でも存在感を示しているということだ。私は、何年かゲーム開発者をしていて、ゲームのプログラマー・デザイナーのどちらもやったことがある。またロボット工学の理論ハードウェアハッカーとして、主に回路シミュレーションや簡単なプログラミングに従事していた。しかし、IT業界ではないところに関係していたこともある。

これ以上のことをお話ししたり、さまざまな詳細に踏むこむことはできない。今年の初めに私が登場した時に言った通り、あなた自身や他人のプライベートな類の情報をあなたが公開した時には、これらの情報はすでにあなたのものではなく他のみんなのものになっているのだ。しかし、サイバーセキュリティに興味があり、ペネトレーションテストについて学びたいと思うなら、オープンなネット上にあるさまざまなチュートリアルに当たることから始めるといいだろう。

大部分の情報やエクスプロイト、ステップ・バイ・ステップのチュートリアルは全てオンラインで見つけることができる。OWASPなどは、初心者にとって非常に素晴らしい場所だ。世の中の様々な種類の攻撃について詳しく知ることができ、ブログからオンラインビデオに至るまでの無料で入手できる多数の情報ソースが大いに役立つ。新人であるなら特にだ。

新人は自分の知識追求に際し、決して気落ちしてはいけない。プロの荒らしや馬鹿な研究者が我々に貼るレッテルを気にせず、現段階で積み上げている自分の知識に誇りを持ち、更に追求するために前進するのだ。私にとってのハッキング(サイバーセキュリティにおいて言う場合の)とは基本的にコーディングとセキュリティテストである。特に部外者や、西側世界のこの業界にいる典型的な上流階級の中高年のような人々は、全てのものや人のネームブランディング、物事の文化的側面の細かな管理に夢中になりすぎている。彼らへのたった一つのアドバイスは、批判する前にもっとセキュリティテストを実施すべきだということだ。

Q:最大のチャレンジを教えてください。

A:最大のチャレンジは、私の事件に取り組む業界の人全員それぞれが行うシステマチックな破壊を防ぐことだ。これは、私が最初に侵入を行った2013年の初めに彼らのせいで始めることとなり、まさに今日この日まで続いている。連邦機関から彼らを手助けする民間企業まで、私の事件を担当する人々のことに私は初めから気付いている。2013年、私は彼ら全員の身元をリークしようと準備していた。そして、ハッカーたちが誘導され追い込まれていた全てのハニーポットを正確に摘示しようとしたが、これを思いとどまった。

世界中のモニターに誰かの身元や人生を晒して、彼らの災難を笑いながら論じたり批評したりさせることは、当局が生活のためにやっていることと同じだ。

私は彼らのような古くさい生き物にはなりたくなかった。

Q:ハッキングにおいて挑戦していることを教えてください

A:特定の標的念頭にはない。しかし最も難しく、同様にイライラするサイバースペースは南アフリカの低速な接続やサイト上の不十分な設定のエンコード、そして私のキャンペーンを今までで最悪なハッカー経験にしてしまう、システムに組み込まれた全くもってトリッキーな対策全般であることは確かだ。

彼らのドメインをペネトレーションテストしていると自分が窮地に陥ったように感じさせられてしまう。これでは私が彼らのサイバースペースを称賛しているようなものだ。

攻撃におけるまた別の挑戦分野は中国だ。ここでも低速な接続がとても大きな役割を果たしている。これに加え、欧米のネットワークでは見たこともないような新しくて珍しいエンコーディングもある。5億以上のネチズン集団を囲い込んでいる隠者のサイバースペースを調べ上げようとするなら、多数のさまざまな問題に出くわすことになる。中国には5億人以上の利用者がいるが、現実的にはTwitterユーザーのうちどれくらいが中国本土のウェブサイトを10以上挙げられるだろうか。欧米の無知と情報不足のせいで、いつか我々は逆転されることになるだろう。

Q:インターネットで最も恐れていることを教えてください

A:人だ。私は人を恐れている。ものごとを処理する能力は小さくても、悪用しようという衝動を抑制できないような人は特に怖い。

デジタルな現実を作ったり、壊したりする能力が私にはある。けれども、私が積極的にウェブサイトを乗っ取ったり、サーバーのデータを改ざんしたり、不正アクセスして取得した最新の銀行関連の情報や個人的な医療記録といった個人情報を漏洩させたりするのを皆さんは見たことがないだろう。私がその範囲を少し越えた最近のリーク「Light Hacktivism」でさえも、その例は古いあるいは失効した認証情報や、一般的に患者には影響しないがそれ自体が証明にはなるような編集済みの医療記録など、ほんのわずかだ。インターネット上で、保護されず誰でも見られる情報がどれだけ多数、多量に存在しているかを考えてみると、こういった気遣いはあまり見られることはないものだと思う。

私も欠点があり、間違いも起こすので、ここであまり高い道徳的な立場を主張することはできない。しかし子供や若者を監視したり、罠にかけたりして政府のために、あるいは政府に協力して働いている最低な大人は、このレベルにすらほど遠い。連邦政府機関が、15歳くらいの若者が単にネットワークのセキュリティを調査したり、純真すぎて通常のよくある罠に引っかかってしまっただけで犯罪者やテロリストというレッテルを貼り、マスコミを通じて騒ぎ立てているのを見ると、胸がむかむかするのだ。

Q:サイバーセキュリティ業界で変えようとしているものとその理由を教えてください

A:子供たちや若者を業界の犠牲にして搾取する古い慣習以外で、ということだろうか。1日の終わりにインターネットでこのようなニュースを目にしたことが何回もあるだろう。

企業は欠陥のある製品を売りつけていながら我々のハッキングに過剰反応している。連邦捜査局は政治的傾向を持つものは何でも用いて我々を罠にはめようとする。その一方でどっちつかずの第三者は我々を投獄する必要のある犯罪者やテロリストであると言い続けている。

近い将来、皆の注目が必要なトピックについて挙げるとしたら下記となる。

(1)ハッカー、特にハクティビストに対する公的捜査における政府の慣習の変化。常に混乱させられたり、何年間も監視されたり誤った情報を流されたりした場合の心的トラウマは、このような状況にいる人が考えるよりも相当大きなものだ。被害妄想や不眠症、鬱、パニック障害、その他の様々な不調など、我々の心には一生消えない傷ができることとなる。逮捕され、社会に復帰した後でもだ。

(2)現在も続く、企業による子供や若いハッカーの搾取は終わらせなければならない。彼らは裏でいくら稼いでいるのだろうか。サイバーアルマゲドンが迫っており、唯一の救済方法は自分たちのソフトウェアであると言い、我々を指弾することで獲得した顧客はどれくらいいるのだろうか。私はこういった人々をビジネスマンとは呼べない。むしろ、我々に汚名を背負わせる、宗教狂信者の新しいデジタル形式と呼ぶべきだろう。

(3)サイバーセキュリティ業界にはもっと女性が必要だ。私が言いたいのは、マーケティングや広報活動、採用、経理や秘書として椅子に座っているだけの若い女性という意味ではない。私は実際のサイバーセキュリティ専門家を指している。

Q:ハッカーやペネトレーションテストの専門家である女性を何名ご存知ですか。ネットワーク設計者やデータ・マイニングの専門家では?

A:ハクティビストという意味だろうか。各分野から5名の名前を挙げられる人がいれば、単にインターネットを探すのが上手いということだ。もし調べずに1人2人も挙げられなければ、我々は問題を抱えているということが分かるだろう。様々な業界で様々なアイディアが生まれ、これがより革新的な創造につながっている。このことは誰にとっても、考えるまでもないだろう。一緒に良い方向へと変化をもたらす努力をしよう。

サイバーセキュリティの未来の真剣な話をする。ここで私が言いたいのは、ソフトウェアよりも人だ。なぜならば、結局のところ業界を作り上げるのは人だからだ。ドラッグや虐待、アルコール等の我々が直面している繊細な問題についてもっと話し合うべきだ。我々は過去にもこれを指摘してきたが、実際になんらかの結論に至ることは決してなかった。これに対して我々ができることあるのだろうか。ハッカーやセキュリティ専門家が薬物依存やアルコール中毒になるのを阻止するのを手助けできるだろうか。恐らく彼らのためのサポートグループが必要だろう。恐らく我々は批判しがちになるのを止め、提起された問題の理解をより深める必要があるのだろう。恐らくこれが、大惨事を避ける方法なのだろう。

恐らくこれは上記3つの問題全てに通じるだろう。

Q:このインタビューに応じた理由を教えてください。普通は答えを留保するのに、今回はなぜ応じてくれたのですか。

A:私があなたをジャーナリストとして尊敬しているからだ。あなたは、私がこの世界に来る前からハッカーの状況を報じてきた独立した人々によるオリジナルチームの一員だ。あなたは初期の頃から私のプロジェクトや活動を記事にしてくれていた。その事を私は感謝している。他の情報セキュリティ関係者も同じ気持ちだろう。同じレベルの視点から我々の活動を報告してくれるジャーナリストがいるというのがどれだけ素晴らしいことか、あなた方には分からないかもしれない。これは、ハッカーとジャーナリストの溝を埋める手助けとなるのだ。Hacker Teamのジャーナリストが組織されてから、物事が変化して、ハッカーの活動の一部がわかりにくくなると考えていた。しかし物事が変わらないままでいることを嬉しく思う。

我々は皆、リアルタイムのニュースを報じるという自分たちの職務を全うする地に足のついたジャーナリストを必要としており、彼らに感謝している。
 
翻訳:編集部
原文:Hacker Interviews Speaking with GhostShell
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




違法スパイ装置と見なされたIoT人形「ケイラ」とは?(前編)

February 27, 2017 08:00

by 江添 佳代子

ドイツの連邦ネットワーク規制庁Bundesnetzagenturは2月17日、インターネット接続の人形「マイ・フレンド・ケイラ(My Friend Cayla、以下ケイラ)」を違法な監視デバイスであると判断し、すでに国内市場から排除していることを発表した。 ドイツの連邦ネットワーク規制庁の発表 ドイ…

ハッカーの系譜(10)マービン・ミンスキー (5) 伝説のダートマス会議に参加

February 23, 2017 08:00

by 牧野武文

暇つぶしで共焦点顕微鏡を発明 しかし、なにもしないわけにはいかないので、好きな機械いじり三昧をしている間に、共焦点顕微鏡のアイディアを思いついた。これは顕微鏡にピンホール(小さな穴)を使うというアイディアだった。 レンズを組み合わせて構成されている一般の光学顕微鏡では、試料を観察するときに焦点を合わ…