特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (1) 事件の背景にある様々なハッカーの存在

（※本稿は2011年5月17日に公表されたレポートに執筆者が一部加筆を行った）

はじめに

米国のソニー子会社から前代未聞の情報漏えい事件が発生しました。その概要はプレイステーション・ネットワーク（PSN）のアプリケーション・サーバが侵害され、バックドアが設置され、背後で動作するDBサーバへアクセスされたというものです。

ソニーといえば、今年始めのハッカーとの抗争が記憶に新しいです。事の発端は、ハッカーのホッツ氏がプレイステーション3をジェイルブレイクしたことです。この事に対し、国際ハッカー集団「アノニマス」がホッツ氏を擁護し、ソニーのサイトを攻撃したとされています。今回の事件においても、当初はアノニマスが関与しているのではないかとの憶測がありましたが、真相は分からないままです。

尚、本稿ではクラッカーやブラックハット、スーパープログラマなどを総称してハッカーと記載しています。今回のような事件には、必ずしも悪意のある技術者だけが関わっているとは限らないためです。

そこで、本コラムでは、本事件の背景や手法や目的の推察、今後発生しうる事象の考察、どのような視点をもって対策を講じれば良いのかを、「私自身の見立て」としてまとめてみたいと思います。公表されている事実や事実と考えられる報道と、これまでに私自身が対応したセキュリティ事件からの経験を踏まえ、考えていきたいと思います。

1．事件の背景にある様々なハッカーの存在

効率の良い対策を行うためには、相手の狙い（事件の本質）を押さえる事が重要となります。報道などで、「凄腕のハッカー」「伝説のハッカー」「サイバー犯罪で暗躍するハッカー」などと「ハッカー」という一言でくくられますが、おさらいを兼ねて、私なりに整理をしてみました。

A-type：パイオニア
一般的に、市販の機器は仕様を満たすだけではなく、事業を守るために、本来の能力を制限し、制御するように作られています。以前は独自に一から作り上げていきましたが、最近は高機能で汎用的でしかも低価格な、例えばLinuxのような基盤を使用しています。そのため、その制限を取り払い（ハックする。Jailbreak：ジェイルブレイク：提供者の統制からの脱獄。）、本来の機能を使用したいと考える人（マニア的な方々）たちが必ずいます。

目的は様々ですが、例えば、スマートフォンの場合、指定の通信キャリア以外でも使用できるようにする、或いは、提供者側が用意したアプリケーションだけではなく、自分が作成したアプリケーションや友人からコピーしたアプリケーション（海賊版を含む）を実行させるといったことが考えられます。

例えばそれは、市販の自動車は、排ガス規制や安全対策で性能を制限されていますが、その制限を見つけ改造することと、少し似ています。しかし、デジタルな世界では高度な知識と腕が無ければ出来ないジェイルブレイクも手順が公開されツール化されると誰でもが簡単に出来るようになり、海賊版の流通など犯罪を後押しし、提供者の事業基盤をあっという間に崩壊させる危険性をはらんでいることが、大きく異なります。

つまり、提供者側は、事業の基盤を支えるセキュリティを突破されることが、どれだけとんでもない脅威になるかが想像できると思います。従来の銀行が、金庫の堅牢さだけではなく、そこにたどり着くまでの多重の防御システム、さらに侵入者をいち早く発見し通報するシステム、警察による徹底的な捜査など、多くの仕組みにより成り立っていることを想像してください。

このタイプのハッカーは、高い技術をもち、ジェイルブレイクへの道筋を付けていきます。それは、対象システムのセキュリティ上の欠陥（脆弱性）を見つけ、システム内部に侵入し、調査し、管理者権限を奪取し、提供者が準備しているセキュリティシステムを無効にしていく方法を見つけるのです。

ただし、その目的は様々で、純然たる技術的興味＋密かな楽しみ、公開して有名になる、売却して金銭を得る、暴露し提供者の社会的信用を失墜させる、自らが使用するなどが考えられます。今回、ソニーのPS3をジェイルブレイクしその内容を公開したジョージホッツ氏は、「暴露し提供者の社会的信用を失墜させる」と「公開して有名になる」という二つの狙いがあったのではないかと推測します。

B-Type：開発者
他人が発見した脆弱性やジェイルブレイクへの道筋を、誰でもが利用できるようなツールを開発する人たちがいます。セキュリティの診断ツールやセキュリティの強化を行うツールから、簡単ジェイルブレイクツールや海賊版ソフトを稼動させるツール、さらに、ウイルスなどの不正プログラムを作成し配布ツールや侵入、情報窃取を行うツールなど、セキュリティ強化に役立つものから犯罪を支援するものまで幅広く存在します。

C-type：ネット市民運動
実社会には様々な市民運動が昔から存在しています。法を守り静かに活動するグループから、総会屋や調査捕鯨を妨害するシーシェパードのような犯罪組織も存在します。同様にサイバー社会にも市民運動が存在します。今回、ソニーに対して攻撃を行っていたという、アノニマスは、この分野の強硬派兼武闘派に相当すると思います。告知サイトで知られるWikileaksやその関係者もこの分野の人々と考えられます。

良いか悪いかは別としても、国家や企業の犯罪を告発し、彼らからの制限や統制に対して戦う使命感が原動力だとみられることから、ある種のマスコミもこの分野の使命を果たしていると言えます。昨年、日本で発生した中国船衝突ビデオ流出事件や警視庁外事三課からと言われている情報流出事件の首謀者もこの分野に属すると考えられます。

この分野では、職業的に動いている人もいれば、ボランティア的に動いている人も世界中に存在していると推測され、ネット世界における匿名性担保とソーシャルメディアの発展による情報共有が後押しをし、今後ますます増大していくものと考えられます。多くの方は法にのっとり良き市民として穏健に行動しているものと思いますが、中には強硬派も存在し、犯罪行為に走る武闘派も存在することを覚えておかなければなりません。多くの組織で、組織の内外に、この分野の人々が存在していることを前提としておかねばならないと考えます。

D-type：犯罪者
攻撃ツールなどを使用して妨害を行い商売敵にダメージを与える、恐喝まがいの商売を行う、サイトや企業内ネットワークに侵入し個人情報などを窃取する、産業スパイをはたらくなどし、金銭を得る事を目的とした人々です。

E-type：セキュリティ関係者
セキュリティ会社、研究機関や研究者、さらに、各国のサイバー戦部隊やサイバー諜報部隊などの職業的な目的により、高度な技術を持ち応用する人々です。

以上、「ハッカー」に対しては様々な意見や思想がありますが、犯罪の周辺に存在していると考えられるハッカーを、私なりに整理をしてみました。（つづく）

（株式会社ラック最高技術責任者西本逸郎）

※本稿は2011年5月17日に公表されたレポートに執筆者が一部加筆を行った

【関連リンク】
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (1) 事件の背景にある様々なハッカーの存在
http://scan.netsecurity.ne.jp/archives/51981695.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (2) 金銭目的ではない犯行、犯行動機の脅威と変化
http://scan.netsecurity.ne.jp/archives/51981701.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (3) 「閉鎖環境だから安全」に疑問符がつく、攻撃手法の考察
http://scan.netsecurity.ne.jp/archives/51981958.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (4) 情報開示や対策が的確だったのかを考察
http://scan.netsecurity.ne.jp/archives/51981961.html
特別寄稿「ソニーの情報漏えい事件で我々は何を学ぶか」 (5) そろそろ発想を変えた対策を考えよう
http://scan.netsecurity.ne.jp/archives/51981965.html

株式会社ラック
http://www.lac.co.jp/
情報流出緊急対策セミナー流出背景と企業が今すぐ実施すべき対策（株式会社ラック）
http://www.lac.co.jp/event/20110602.html
西本逸郎氏 Twitter 公式アカウント
https://twitter.com/dry2
対談：サイバーセキュリティ探偵とサイバーミステリー作家　第1回「企業の生命は事業継続」
http://scan.netsecurity.ne.jp/archives/51947983.html
対談：サイバーセキュリティ探偵とサイバーミステリー作家　第2回「内部犯行の犯人特定」
http://scan.netsecurity.ne.jp/archives/51947984.html