(編集部註:本記事の全文は 5,334 文字あります)
BlackHat USA と CODEBLUE で、ランサムウェアのプラットフォームに侵入した人物が講演を行った。聴講したり関連記事を見た人も少なくないだろう。2024 年のことである。
もっとわかりやすくいえば、犯罪者の保有するインフラやシステムに対してハッキングを行い、コマンドを実行したりデータを盗んだりのいやがらせ(ハラスメント)の限りを尽くして、それを国際的に注目度の高いカンファレンスで堂々講演したということだ。もはや本誌的には快男児としか呼びようがない。なかなかロックな研究者といえる。
● 自称「トヨタカローラペンテスト」犯罪者御用達システムをファジング
この講演は、BlackHat USA 2024 において「Behind Enemy Lines : Engaging and Disrupting Ransomeware Web Panels」というタイトルで発表されたのが最初である。発表者は Atropos 社の CTO、Vangelis Stykas 氏。その名もなかなか味わい深い。再エネ、EV、太陽光システムなどエネルギー関係のペネトレーションテストを専門とする会社で、彼は CTO として業務システム等の管理や信頼性維持の責任を負っている。
同氏は IoT の API、C2 サーバー、マルウェアの研究を続けているが、自身はコードをディスアセンブルしたりリバースエンジニアリングするほどの技術レベルには到達できていないという。
基本的なプログラムは Python などで書けるが、彼自体が行うのはマルウェアをサンドボックスで実行して挙動を確かめたり、システムのデフォルトパスワードをググったりするだけだ。今回の研究でも使ったツールは、FFUF、Burp Suite などの基本的なファジングツールや Tor ブラウザ、と大量のコーヒー(どちらかというと Vangelis は下戸らしい)だという。
Vangelis は、自らが行うペネトレーションテストやハッキングを「トヨタカローラペンテスト」と自虐的に呼んでいた。しかし、そんなトヨタの大衆車のような「セクシーでもスマートでもない地味な作業だが、サイトを渡り歩く過程でランサムウェアのコントロールパネルへのアクセスを得ることができた」 という。基本ツールやコマンドを駆使して地道に脆弱性を発見するのもまたプロの仕事だと思う。
● ありえないテンションの低さと犯罪者に容赦ないスタイル
Vangelis の講演スタイルは独特だ。Black Hat USA という大変な倍率をくぐり抜けて採択されたプレゼンテーションなのにも関わらずボソボソと低血圧感満載でしゃべる。まちがいなく同時通訳(BH USA では同時通訳はない)が困るタイプの講演者だ。テンションもあまり高くなく非常に面倒くさそうに話す。おなかには脂肪も蓄えていた。そう。あらゆる点で、パリッとした服装のボディメイクした美男美女が自信満々で登壇して、成功者のオーラを垂れ流す、あの TED の真逆を行くスタイルなのだ。もちろん本誌が応援するのは Vangelis の方だ。
BlackHat USA での講演では、冒頭から「このセッションはPG-18(18禁)なのでよろしく」と宣言した。理由は「ドラッグについてもしゃべるし、僕は『F●ck』が口癖だから」だそうだ。Vangelis はドラッグは嫌いでやったことはないというが、本当に講演は 4 文字言葉やスラングの連発だった。
彼は、標的(研究対象)となったランサムウェアギャングたちのことを本当に大嫌いらしい。ことあるごとに「クソ野郎ども」「クソ××(ソフトウェア名、マルウェア名など)」とディスっていた。それも大声上げたりするのではなく、つぶやくようにだ。
では、講演が下手だったかというとそうでもないのだ。話し方に表面的な熱意は微塵も感じられないが、惹きつけられる何かがある。おそらく、嫌いなものをハッキリ嫌いと否定する素直な感情が伝わるからだろう。犯罪者に容赦のない言葉を浴びせるのも演出でそうしているわけではなく、素でこの感じなのだろう。それが逆にクールにさえ見えてくる。
● グレーゾーン研究のリスク
とはいえ、建前論では彼の行為はあまり褒められたものではない。相手が犯罪者だとしても、そのサーバーに侵入し、なにかをインストールしたり、何かを持ち出したりしているわけで、流行りの能動的サイバー防御の議論でもガチでグレーゾーン領域のものばかりだ。
