二大ハッカー集団「Anonymous」と「LulzSec」は、大企業や政府機関のウェブサイトを標的とした大規模な攻撃とデータ窃盗を仕掛け、コンピュータセキュリティへの懸念を高めています。両集団は過去2ヶ月間で30件以上の攻撃を仕掛け、米国上院やCIAのウェブサイトをダウンさせ、巨大企業ソニーの地位を脅かし、ウェブ全体で約200万件のユーザーログイン情報とIDを不正に取得しました。
セキュリティ専門家は、主に若い男性ユーザーが、大義のためにハッキングに熱中し、オンラインで自分の功績を自慢する権利を巡って再びハッキング行為が続くと警告している。今のところ、2つのハッキンググループのメンバーの大半は影に隠れている。グループには中心的な指導者も正式な組織もない(LulzSecは6月に正式に解散した)。セキュリティ専門家は、Anonymousのようなグループを「グループ」ではなく「アイデア」だと表現している。
ハッカー組織の不在にもかかわらず、法執行機関はハッキング攻撃の撲滅に向けた努力を止めていません。英国、オランダ、スペイン、トルコ、そして米国の法執行機関は、様々なハッキング攻撃の捜査の一環として、数十人の逮捕と捜索を行っています。例えば、6月下旬には、英国警察が19歳のライアン・クリアリーを逮捕しました。彼は、LulzSecが英国重大組織犯罪対策庁(SOCA)への攻撃に使用したボットネット構築ツールを配布した容疑で逮捕されました。
ハッキング攻撃のパーフェクトストーム
改心したハッカーから民間のセキュリティコンサルタントに転身したマイケル・カルス氏は、脆弱なセキュリティ、使いやすくますます高度化するハッカーツールキットの存在、そしてソーシャルネットワーキングサイトの組み合わせが、今日の多くのハッカーにとって最悪の状況を作り出していると語る。
「ハッキングをしていた頃は、現状維持や自尊心、そして誰が最高のハッカーかを試すことが目的でした」とカルセ氏は語る。「今は金銭的な利益や、活動家が主張を表明することが目的です」。カルセ氏は2000年、「マフィアボーイ」というオンライン名義で、Amazon、CNN、Dell、eBay、Etrade、Yahoo!などのウェブサイトを機能不全に陥れた一連のサービス拒否攻撃を実行した。カルセ氏はその後、自身のハッキング行為をまとめた本を執筆し、米国で今年8月に出版予定だ。
エゴからハクティビズムへ
カルセ氏によると、今日のハッカーはお馴染みの雰囲気を漂わせているものの、2000年頃のハッカーのような自己中心的な個人攻撃は見られないという。今日のハッカーは依然としてサブーやトピアリーといったオンライン上のペルソナを使用しているが、大半はアノニマス、アンチセック、グノーシス、ラルズセック(「ラルズ」は「笑い」を意味するオンラインスラング、「セック」はセキュリティを意味する)、スクリプトキディーズといった組織傘下で活動している。彼らの目的は、ハッキングに関する意識を高めることだと考えられている。
セキュリティ上の問題に取り組み、間違っていると思われることに抗議します。
昨年12月、オランダ当局は、ハッカー集団「アノニマス」の一員とみられる19歳のマルタイン・ゴンラグを逮捕した。ゴンラグは、ウィキリークスを支援するためだと主張し、コンピュータシステムをハッキングした際に当局に対し「デジタル座り込み」を行ったとして逮捕されたと供述している。
それ以前にも、ソニーはハッカーによる一連の攻撃を受け、オンラインビデオゲームユーザー1億人の個人情報を盗まれた。ハッカーによると、これらの攻撃は次のようなものによって引き起こされた。
ソニーのプレイステーションコンソールを脱獄したとして告発されたジョージ・ホッツに対して、強硬な法的措置を取った。
これらの攻撃やその他のいわゆるハクティビスト行為の根源は、アノニマスがサイエントロジー教会を攻撃し、この宗教団体がオンライン上で自らの情報を管理しようとしていることに抗議した2008年に遡る。
LulzSecが解散して以来、同グループのメンバーらはAntiSecと呼ばれる新たなハッカー集団を結成し、6月30日にはアリゾナ州警察の氏名、住所、メールメッセージ、その他の個人情報を公開した。さらに7月4日には、Script Kiddiesを名乗る別のグループがFox NewsのTwitterアカウントを乗っ取り、オバマ大統領が射殺されたと虚偽の報道を行った。翌日には、AnonymousとAntiSecハッカーグループのメンバーらが、フロリダ州の投票システムからハッキングしたデータとオーランド地域の民主党員の個人情報を公開した。おそらくこれは、6月6日にオーランドでFood Not Bombsのメンバーが逮捕されたことに対する報復の約束を果たすための、ハッカーらの精一杯の行動だったのだろう。
次: ハッカーがメディアをどのように利用するか、など。
歪んだ希望の光
専門家らによると、唯一の救いは、ハッカーがセキュリティ上の脆弱性に注意を喚起しており、それを黙って悪用していないことだという。
LulzSecは、一連のハッキング活動は脆弱なコンピュータへの注意喚起を目的としていると主張している。一方、新たなAntiSec運動は腐敗の摘発を目指している。こうした可視性への渇望は、ステルス侵入を誇り、企業スパイ活動、ランサムウェア攻撃、クレジットカード情報の窃盗を行う他のハッカーとは対照的だ。
( PCWorld の2005 年シリーズ「Web of Crime」を参照してください。)
「以前は犯罪的な要素が強かったため、それほど報道されませんでした。ウェブサイトが突然脆弱になったわけでもなかったのです」と、アプリケーションセキュリティ企業Veracodeの共同創業者兼CTO、クリス・ワイソパル氏は語る。
ハッカーがメディアを操る
状況は変わった。ワイソパル氏によると、最近のデータ窃盗は、比較的新しいハッカーのツール、つまりメディアを活用した広報キャンペーンのおかげで、より多くの注目を集めているという。
LulzSecとAnonymousのメンバーは、公開Twitterアカウントを保有し、データ漏洩を発表するプレスリリースを投稿しています。LulzSecは、一般からの攻撃依頼を受け付けるための電話番号を公開したこともありました。
「LulzSecやAnonymousのようなグループによるハッキングの新たな傾向は、攻撃者がそれをさらに公表しようとしているために顕著になっている」とワイソパル氏は言う。
10年以上前、ケビン・ミトニック、エフード・テネンバウム、マイケル・カルスといったハッカーたちがウェブサイトをダウンさせたり、大規模ネットワークに侵入したりしていました。カルス氏によると、当時のハッカーたちのモチベーションは、何が可能か、そして何に侵入できるかを知りたいという、ただの興味だけだったそうです。IRC(インターネット・リレー・チャット)のチャットルームでは、ハッカーたちが互いに標的型サービス拒否攻撃を仕掛け、オフラインに追い込もうとするオンラインコンテストが盛んに開催されていました。
「LulzSecやAnonymousについては心配していません」とカルセ氏は言う。「耳にしないハッキングの方が危険です」。LulzSecも最近、同様の主張を展開し、オンラインセキュリティに対する真の脅威は、データ窃盗を世界に公表しない犯罪者だと主張した。
ハッカーはハッカーだ
セキュリティ専門家は、より悪質なハッカーが依然として存在することに同意しているものの、LulzSecやAnonymousのようなグループがそれほど脅威ではないという考えには疑問を呈している。確かに、これらのグループはハッキング被害者に大きな損害を与えてきた。ソニーは、最近一連の攻撃を防いだことで、同社に1億7100万ドルの損害が発生したと推定している。
3月には、正体不明のハッカーがセキュリティ企業RSAからデータを盗み出し、同社の二要素認証製品SecurIDが危険にさらされました。この盗難は、5月に米国の大手防衛関連企業ロッキード・マーティンへの攻撃につながりました。ロッキード・マーティンは、この攻撃によるデータ漏洩はなかったと述べています。これとは無関係の事件では、大手銀行のシティグループがハッキング被害に遭い、20万人以上の口座保有者のデータが盗難の危険にさらされました。
これらの攻撃は、LulzSec が頻繁に行っていたように、大量のゲーマー ID や Web サイトのログイン情報を Pastebin にダンプするよりもはるかに深刻だったと言えます。ただし、LulzSec のデータダンプに関連する詐欺行為の報告もいくつか出ています。
しかし、ハッカーが「lulz」を探しているにせよ、防衛機密を探しているにせよ、この種の活動はおそらく当面続くだろう。「LulzSecとAnonymousは、中程度のスキルレベルがあれば何ができるかを示している」とワイソパル氏は言う。「彼らがやっているのなら、他の国にも同じように簡単に同じようなことをやっている輩がいるはずだ」
最新のテクノロジー ニュースと分析については、Twitter で Ian Paul (@ianpaul) および Today@PCWorld をフォローしてください。
