もっと知りたいセキュリティのこと

TOUCH THE SECURITY

TOUCH THE SECURITY vol.04

ハッカーとクラッカーを知ろう

セキュリティサービスグループ編集部

ハッカーとクラッカーを知ろう

皆さんは「ハッカー」と聞いてどんな人を思い浮かべるでしょうか。このハッカー及びハッキングという言葉ですが、ニュース等の媒体において、「インターネット上で悪事をはたらく人(事)」を指す場面で使用される事も多く、ネガティブな印象を持つ方も非常に多いのではないでしょうか。

今回は、このハッカーという言葉の持つ広義と狭義の意味合いや、IT従事者が明確に区別すべきである「クラッカー」という存在を考える事で、我々が理念とすべき行動について考察してみたいと思います。

ハッカーとクラッカーは何が違うの

ハッカーとクラッカー

先ずはハッカーとクラッカーの違いについて、改めて定義します。ハッカーとは、コンピュータやネットワークに関する高度な知識や技術を持つ人々の総称です。善悪の基準を指し示す言葉ではない為、例えば「迷惑行為を行う人」と「模範的な行動の人」といったように、両極の人々が含まれます。

但しここで「ホワイトハットハッカー」という言葉が用いられた場合、倫理や社会通念といった「正しさ」や「善悪」の価値観を帯びてきます。「ホワイトハット」とは「正しい行為」を意味するものです。「正しい行為」に基づくハッカーという事ですので、ポジティブなハッカーが存在する事になりますよね。

では逆にハッキング技術を「不正な行為」に用いる人はなんと呼べばいいでしょう。これはお察しの通り「ブラックハットハッカー」と称されます。尚、不正行為は「クラッキング」とも称される事から、このような人々を「クラッカー」とも称します。

ホワイトハットハッカーの物語 ~シモムラ・ツトム氏vsケビン・ミトニック氏~

ホワイトハットハッカーの物語

当時サンディエゴ・スーパーコンピュータ・センターに勤務し、アメリカでもトップクラスのハッカーであったシモムラは、様々な機関・団体から技術協力を求められる立場にあり、その実力はFBIにも認められるものでした。

一方、ネットワーク社会の中で暗躍しており、FBIによる追跡を受けていた”ブラックハット”のミトニック。ミトニックはある時、シモムラの自宅コンピュータのハッキングに成功、そこに保存されていた数々のデータの盗難に成功します。このデータには政府の依頼による極秘のプログラムも含まれていたとされており、ここにシモムラとミトニックによるハッカーの戦いの火蓋が切られる事になります。

自身の名誉の回復の為にも犯人を突き止めたいシモムラ。彼は、とあるプロバイダサービスに起こった、不審な出来事への調査協力を発端に、自身のデータが同プロバイダのサーバに隠されている事に気が付きます。その後、更なる調査によって実行者をミトニックと断定した彼は、同じくミトニックを追跡するFBIと合流。次第にFBIの捜査班を取り仕切るようになり、そのホワイトハットとしての技術力でミトニックを追い詰めた後、逮捕へと至りました。

当時、この出来事はニューヨークタイムズ誌に大きく取り上げられ、まさにホワイトハットハッカー対ブラックハットハッカーといった趣旨のごとく、大々的な報道がなされたようです。そしてダークサイドの権化の如く語られる事の多かったミトニック。実は釈放後、FBIに捜査協力を行い、現在はセキュリティコンサルティングとして活躍しています。その転身ぶりは映画の様なストーリー性も感じられますので、興味のある方は是非調べてみて下さい。

クラッカーの定義 ~法令の遵守~

クラッカー

「クラッカー」とは先に述べた通り、システムに「不正な行為」を行う人々です。「悪意の行為を行う人」と解釈する方も多いかもしれませんが、あらゆる事象を”勧善懲悪”の側面のみで語る事は難しいものです。

そこでクラッカーの定義を、ハッキング集団として著名な「アノニマス」を基に考えてみましょう。アノニマスは、サイバー空間において、独自の価値観に基づく工作活動を行う事で有名です。例えば、数ある活動の一部である「Operation Killing Bay」をご存知でしょうか。これは日本や北欧諸国の捕鯨・イルカ漁に抗議すべく、これらの政府や企業に対して、彼らがDDoS攻撃を行う為の作戦コードです。ここでテーマとなっている捕鯨やイルカ漁の妥当性は、その営みに関わる人によって解釈は様々であり、一概に推し量れるものでは無いものとします。ここで我々エンジニアが留意すべき点は、この行動が「法令に遵守しない行為」である事です。

「ねずみ小僧」は広く知られたお話ですが、金貨をばら撒く行為に対して、「善悪」といった情緒ではなく、「法令」という基準で是非を問う。これがエンジニアのあるべき姿ではないでしょうか。

不正行為の原動力

クラッカーの定義が、「善悪」よりも「法令の遵守」が重要視されるべきである事は先に述べた通りです。ここでは更に掘り下げて、「法令を遵守しない行為」の原動力を考えてみましょう。

先のアノニマスに代表されるハクティビストの行動原理には、常に「義憤」という感情が見え隠れするものです。その他の例はどうでしょう。昨今話題である、不正なメールに端を発する「標的型攻撃」は、機密情報の搾取や破壊といった活動を伴います。その背景には「金銭」や「諜報活動」「復讐」といった行動原理が挙げられるはずです。また、特定の標的を定めることなく、無差別に迷惑行為が行われた場合、「自己顕示」といった感情を伴うのではないでしょうか。

以上、不正行為の様々な原動力を挙げてみましたが、如何でしょう。善良であるはずの我々も、多かれ少なかれ心当たりがあるはずですが、決してダークサイトへ転じる事の無きよう、エンジニアには深い思慮が求められているのです。

終わりに

情報社会が当たり前になった現在、「クラッカー」の脅威はどこにでも潜んでいます。
そうなった今、高度な技術を持った「ホワイトハットハッカー」や我々のようなセキュリティエンジニアの力が非常に求められています。世界をサイバー攻撃の脅威から守るために、あなたも情報セキュリティの領域に踏み込んでみませんか。