去る 2011 年 8 月 4 日~ 7 日、米ラスベガスで世界最大のハッカーの祭典「DEFCON (デフコン)」が開かれたことはご存知の方も多いと思います。デフコンは毎年夏にラスベガスで開かれ、今年が 19 回目だそうですが、今年も全世界から 1 万人以上の参加者が集結し、最新ハッキングの講義や発表、コンテストなどが行われました。
面白いと思ったのは、コンピューターのハッキング技術とは別に、 会話を通じて相手から機密情報を盗み出す 「話術」のコンテスト。昨年から始まったようですが、これも立派な「ソーシャル・エンジニアリング」なんですね。結果は、なんと企業の従業員役を扮した人から、実に様々な情報 (社内のソフトウェアのバージョンや、社内の運用情報、社員食堂に食事を提供している業者まで…) をいとも簡単に引き出せたそう。社内の別部門の人間のふりをしたり、取引先の顧客のふりをしたり、というのが最も効果的な手法のようで、 身内を装い安心を買う …って、なんだかオレオレ詐欺みたいですね。
昨今のサイバー犯罪行為は、 人の心理や行動につけこんだ攻撃手法 、つまり ソーシャル・エンジニアリング を利用することが多いです。他者を信頼する文化のある日本は、悪意のあるハッカー (クラッカー) からすると、世界でも攻撃を仕掛けやすい国とも言われています。パソコンや携帯電話のみならず、スマートフォン、ゲーム機器、自動車や家電など、あらゆる媒体でインターネットと繋がるようになった今、私たちも警戒対象をますます広げていく必要があるのかもしれません。
他に面白いと思ったのは、今年初めてだそうですが、8 ~ 16 歳向けの「デフコンキッズ」が開かれたことでしょうか。これは、増加するサイバー攻撃で 10 代の逮捕者も出る中、 IT 技術の正しい使い方を早期に教え、将来の仕事としても関心を持ってもらう ための試みのようです。デフコンキッズでは、様々なハッキング講義や競技に加え、米政府の情報部門、国家安全保障局 (NSA) の職員による暗号講義、米軍専門部隊「サイバーコマンド」の元幹部らとの交流などが設けられたようで、ネット世界での自己防衛のための技術習得という以上に、国家としての 次世代の優秀なハッカー育成 に重きが置かれている印象を受けました。
このデフコンには企業や政府機関が多く足を運び、秀逸な人材を取り込もうとしているようです。近頃は雇われハッカー – 企業の許可の下、自社システムに侵入させ、ネットワークにある穴を見つけてもらう – のビジネスも成立しています。Advanced Persistent Threats (APT) などの複雑なサイバー攻撃が一般化する中、日本でも今後、情報セキュリティ対策の一環としてハッカーを当たり前のように雇う時代が来るのでしょうか。今年のデフコンでは日本チームも初めて予選を突破したと聞き、なんとなく少し安心した次第です。