2010年12月、「Operation Payback」と名乗る約3,000人の活動家グループがPayPal、MasterCard、Visaに対しオンライン攻撃を仕掛け、3社のウェブサイトを一時的にオフラインにし、消費者がオンラインバンキングサービスにアクセスできないようにしようとしました。活動家たちは、内部告発者データのオンラインリポジトリであるWikiLeaksとの関係を断った3社への報復として、この攻撃に踏み切りました。WikiLeaksには、米国務省をはじめとする世界各国の政府機関による数千件もの秘密通信が含まれていました。9ヶ月後、世界中の企業、軍事、政府機関のウェブサイトが新たな攻撃にさらされる中、10人以上(主に19歳から24歳)がこれらのサービス拒否(DoS)攻撃に関与したとして逮捕されました。
ハッキングと社会運動を組み合わせたハクティビズムは、デジタルツールを用いて政治的目的を達成することと定義されます。最も初期の例は1999年に遡ります。当時、Cult of the Dead Cowとして知られる緩やかなネットワークが「ハクティビズモ」を設立し、情報の自由は基本的人権であると唱えました。このグループは、一部の政府が国民の特定のコンテンツ閲覧を阻止するために用いていたインターネット検閲を回避するソフトウェアを開発しました。
しかし最近では、「ハクティビズム」という言葉が、多国籍組織、政府、さらには地方の法執行機関に対する抗議活動にも適用されるようになり、その戦術にはウェブサイトへのDoS攻撃や機密文書の一般への漏洩などが含まれるようになりました。ハクティビストは一般的に小売業以外の組織を標的としますが、これらの攻撃による影響は依然として数百万人に及ぶ可能性があります。
「インターネットと共に育った世代は、オンライン攻撃を仕掛けることで意見を表明することが、私たちにとって街頭に出てデモを行うことと同じくらい自然なことだと考えているようです」と、F-Secureのチーフリサーチオフィサー、ミッコ・ヒッポネンは語る。「違いは、オンライン攻撃は違法ですが、公の場でのデモは違法ではないということです。しかし、今の若い世代はそんなこと気にしていないようです。」
オンライン自警団
「公の場で活動している組織は、ハクティビストからであれ、正当なサイバー犯罪からであれ、攻撃を受ける可能性が高くなります」と、GFIソフトウェアのセキュリティソフトウェア担当副社長兼ゼネラルマネージャー、アレックス・エッケルベリー氏は述べています。「これはあらゆる組織、特に世間の監視の目が厳しい組織にとって懸念すべきことです」とエッケルベリー氏は言います。例えば、5月にはウィキリークスを批判するテレビ特別番組の放送後、PBSのウェブサイトが改ざんされ、個人情報が漏洩して公開されました。
「ハクティビズムは、多くの企業や政府、そしてセキュリティ業界全体がいかに脆弱であるかを露呈しました」と、マカフィーのセキュリティ調査・コミュニケーション担当ディレクター、デイブ・マーカス氏は述べています。攻撃を受けた組織の多くは、ある程度のセキュリティ対策を講じていましたが、抗議活動に耐えられるほどではありませんでした。「ハクティビズムは、多くの企業がデータ、特に消費者データの保護プロセスをいかにずさんに行っているかを明らかにしました」とマーカス氏は指摘します。「消費者は、自分のデータを保有する企業に対し、『本当に私の情報をどれだけきちんと保護しているのか』と問うべきだと思います」
巻き添え被害
今日のハクティビズムは、データ侵害や個人情報窃盗に関する企業のプレスリリースをはるかに超える、極めて深刻な羞恥心を生み出しています。「こうした情報は外部に漏れると、非常に公になり、非常に危険なものになり得ます。ハッキングされた組織だけでなく、巻き添え被害によって無実の人々にも被害が及ぶ可能性があります」とエッケルベリー氏は言います。
サンフランシスコのベイエリア高速鉄道システム(BAT)に対する最近の警察の対応に抗議する一件で、MyBART加入者(一般乗客)2,000人以上の氏名、住所、携帯電話番号がオンラインに投稿されました。1週間後、オンライン攻撃者がBART警察官102人の氏名と住所をオンラインに投稿しました。これらの情報公開に加え、BART駅での実際の抗議活動も行われました。
ソニーは、ハクティビズムが引き起こす波及効果の好例です。2010年、10代の研究者ジョージ・ホッツがソニーの秘密鍵をリバースエンジニアリングし、オンラインで公開しました。これにより、ほぼ誰でもファームウェアを書き換えることができ、ソニーネットワーク上で開発者を名乗ることで、ソニーのオンラインゲームに自由にアクセスできるようになりました。この行為は、「あらゆる情報、たとえ独占情報であっても、自由であるべき」というハッカーの哲学に合致しています。
ソニーはその後ホッツ氏を提訴し、その結果、ハクティビストの注目を集めました。その後、同社は数々の恥ずべきDoS攻撃とデータ侵害に見舞われ、1,200万人分の顧客クレジットカード番号が漏洩しました。ソニー・ピクチャーズは7万5,000件の「ミュージックコード」と350万件の「ミュージッククーポン」が漏洩しました。ソニーは、顧客サポートの強化、顧客復帰のためのインセンティブ、訴訟費用、売上損失、そしてセキュリティ強化など、総損失を1億7,300万ドルと見積もっています。
政治的影響
政治的動機によるデータ侵害の中には、本格的な革命を誘発する事例もあります。2011年の春、中東では、若者を中心とした抗議活動家たちが街頭に繰り出し、数十年にわたり政権を握っていた政府に抗議しました。彼らを勇気づけた要因の一つは、テクノロジーでした。ウィキリークスやアノニマスと呼ばれる分散型オンライン組織は、政府の機密文書をオンライン上に公開することで、「アラブの春」の火種を作り出しました。
ほぼ同時期に、アノニマスは分裂し、ラルズ・セキュリティ(LulzSec)と呼ばれる小規模なグループを結成しました。このグループは、アノニマスを捜査していたFBI傘下の組織を攻撃したとされ、後にアリゾナ州の移民政策に反対していたため、アリゾナ州公安局を攻撃しました。50日後、ラルズセックはアノニマスに再び合流しましたが、7月中旬に再び分裂し、ルパート・マードックのニュース・インターナショナルを攻撃するという明確な目的を掲げました。表向きは、同組織による有名人の携帯電話ハッキング疑惑に抗議するため、マードックの電子メールをオンラインに投稿しました。
ハクティビズムに良い面はないのか?
インタビューを受けたセキュリティ専門家の誰もが、ハクティビストの最近の行動を容認しませんでした。無差別な情報漏洩は人命を危険にさらす可能性があり、セキュリティ意識の向上には大きな代償が伴います。2011年の春から夏にかけて、標的となった企業の機密文書や人事情報など数千ページに及ぶ情報が、Pastebinなどの公開サイトに掲載されました。法執行機関は、犯人の特定に徐々に取り組んでいるようです。
アノニマスの元メンバーの一人は、既に関与を後悔している。Cisco Securityとのインタビューで、「SparkyBlaze」は「(アノニマスが)人々のデータをオンラインに公開しておいて、自分が英雄だと言い張るのにうんざりしている」と述べた。さらに彼は、「ファイルを入手してウィキリークスに渡すといった行為は、確かに政府に悪影響を及ぼします。しかし、ユーザー名とパスワードをペーストビンに載せることは(政府に)何の影響も及ぼしませんし、自分が擁護する人々の情報を投稿するのは全く間違っています」と述べている。
