1週間ほど前までは、HBGaryのことを聞いたこともありませんでした。おそらくあなたもご存知でしょう。Anonymousの匿名ハッカーを暴露して名を上げようとした試みが、様々な意味で裏目に出た今、HBGaryのことを私たちはよく知っています。
アノニマスは、ウィキリークスをオフラインにし、資金提供を断とうとした企業やウェブサイトに対する「ハクティビズム」活動によって、事実上誰もが知る存在となった。アノニマスの活動は違法だったが、多くの人々にとって、情報開示と言論の自由を守る英雄的な行為だった。アノニマスはその後、インターネットのロビンフッドとしての役割を担い、新たな標的を攻撃し続けている。最近では、ウェストボロ・バプティスト教会とそのサイトgodhatesfags.comを閉鎖すると脅迫した。彼らを好きにならないのは難しい。
その後、サクラメントに拠点を置く小規模セキュリティ企業HBGaryが、アノニマスのリーダーたちの正体を知っていると主張し、それを暴露すると脅迫しました。アノニマスはこの脅迫を快く思わず、数時間のうちにHBGaryのウェブサイトをハッキングして改ざんし、サーバーに侵入しました。こうして数万件ものHBGaryのメールがウェブ上で公開され、HBGaryの問題はここから始まりました。
Anonymousに攻撃され、機密情報が漏洩しただけでも十分ひどい状況なのに、公開されたメールの内容から、HBGaryの関連会社であるHBGary Federalが関与する、より深刻なスキャンダルが明らかになりました。どうやら、HBGary Federalは、偽のソーシャルネットワーキングプロフィールを使って米国商工会議所を批判する団体の信用を失墜させるという、倫理的に疑わしい計画に関与していたようです。
では、この忌まわしい話からどんな教訓が得られるでしょうか?まず、サーバーをロックダウンしてデータを保護するのは複雑で困難な作業だということです。HBGaryは情報セキュリティ企業であり、情報セキュリティに関する知識が平均以上にあることが伺えますが、わずか数時間でハッキングされたのです。
第二に、この事件は熟練したハッカーが恐るべき力を持つことを示しています。自動化ツールを使い、ハッキングの方法を熟知していないスクリプトキディのような悪質なハッカーが世の中にはたくさんいます。しかし、真のスキルを持つ攻撃者にとって、セキュリティ対策は鉄壁というよりスピードバンプのようなもので、それを破ったり回避したりできるかどうかという問題ではなく、いつ破れるかという問題なのです。
第三に、善人と悪人の間には微妙な境界線がある場合もあることが分かります。表面上は両者はほぼ同じスキルセットを持ち、真に両者を隔てているのは倫理観とある種の道徳規範だけです。しかし、それが欠如していると、本来は正当なセキュリティ専門家であっても、そのスキルを善ではなく、あるいは善に加えて悪のために使うことを止めることはできません。
最初の2つの教訓として、IT管理者は万能薬は存在しないこと、そしてネットワークとデータのセキュリティ確保が「完了」するということはあり得ないことを理解する必要があります。適切なセキュリティ対策を多層的に導入し、脅威や不審な活動を24時間365日体制で綿密に監視する必要があります。
3つ目の教訓は、セキュリティコンサルタントと取引したり、セキュリティ会社を雇ったりする前に、必ずデューデリジェンス(十分な調査)を行うことです。仕事を遂行するために必要なスキルを持ち、一線を越えない倫理観を持つ人と取引するように、最善を尽くしてください。
