サイバー攻撃と脆弱性──27歳･女性ホワイトハッカーの「犯罪手口」入門書

インターネットを利用する以上、マルウェア（コンピュータウィルスをふくめた「悪いプログラム」の総称）にまったく感染しないのは難しいのではないか。コンピュータについてある程度知っている人間なら、みなそう結論すると思われる。

いい例がサイバー攻撃のひとつ、DDoS攻撃だ。あれは主として、利用者が感染していることに気づかずに使っている機器を用いて行われる（そのへんの事情は拙著『ＳＮＳって面白いの？』に書いた）。要はあんたのパソコンやスマホは犯罪の片棒をかついでるってことさ。そのくせ、あんたはそれに気づいていない。

マルウェア（ウィルス）は基本的に、ユーザに気づかれないことを目的につくられる。したがって、感染していても実害がなければまずわからない。セキュリティソフトもそれを見つけられない。だって、セキュリティソフトにひっかかってたら目的完遂できないもの。そこは制作者も細心の注意を払う（WindowsXPなど、新しいセキュリティソフトを入れられない古いOSをねらうケースもある）。

ネットにつなぐということは裸で街中を歩き回るのと同じことだ。感染して当たり前。危険な目にあわなければ、ラッキー。そういう認識を持ったほうがいい。

ただし、防御術がまったくないわけじゃない。すごくたやすい。使わなきゃいいのだ。情報処理は昔のように紙とエンピツを使う。スマホもパソコンも捨てる。それで安全だ。

聞いた話なのでホントかどうか知らないが、国家機密に属する情報を保存したコンピュータは絶対にオンラインにしない（ネットにつながない）そうだ。とても正しいと思ったが、本書ではそういうネットワークがマルウェアの餌食になった事例も紹介されている。要因はUSBメモリだそうだ。やっぱり紙とエンピツで情報処理するしかないのかな。

どんなものでもそうだが、利便性が高まれば危険性も高まる。自動車の最高速度は時速200キロだっていいのに、そうなっていないのは、利便性が倍になると危険性も倍になるからだ。セキュリティとは、利便性と危険性のバランスの間で適当な点を選び取ることである。絶対の安全は、使わないことによってしか手に入らない。利便性を享受するなら、危険性を受け入れるほかはない。

もちろん、対策がまったく講じられていないわけではない。本書の著者、中島明日香さんも、日に日に激化するサイバー犯罪と戦っているひとりだ。中島さんは2013年慶應義塾大学卒業後、NTTのセキュアプラットフォーム研究所に所属し、セキュリティコンテストSECCON実行委員、世界最大級のセキュリティ国際会議Black Hatの地域査読委員などをつとめておられる。いわばネットセキュリティの若き研究者だ。

本書は、サイバー攻撃の実際がどのようなものか、主にソフトウェアの脆弱性を中心に紹介している。「可能なかぎり誰にでもわかるように」という努力は随所に見受けられ、中島さんが本書の執筆にかなりの力を割いたことが伝わってくる。

彼女の履歴はたいそう立派だけれども、自分がもっとも感銘を受けたのは本書の記述のほうである。画像閲覧ソフトIrfanviewの脆弱性を発見し、検証し、報告するプロセス。こいつぁすげえやと心底感心してしまった。この本には、そんな手に汗握るドキュメントも掲載されている。

脆弱性は本書の重要なテーマになっていて、かなり詳細に説明されている。

誤解を恐れず噛み砕いていえば、脆弱性とは家にあいた大きな穴みたいなものだ。戸締まりをきちんとしたと思っても、穴があいてる家に住んでいるなら意味はない。この穴をドロボウより早く見つければその家に住む人の勝ち。ドロボウが先に見つけて被害が出て、では穴をふさぎましょうとなれば、ドロボウの勝ち。ソフトウェアの周辺にはそういう攻防が常にある。

本書では悪者がその穴をいかにして見つけるか、どういう種別があるか、どうやってそれ（穴）を大きくするかが詳しく述べられている。つまり、悪者の手口について語られているわけだが、このことに批判が寄せられることもあるらしい。

「攻撃技術を勉強するなんてけしからん」

あーやっぱりそういう人いるんだ。アホだなあ。もっとも優秀な探偵はもっとも優秀な犯罪者になれる人なんだ。コンピュータ関係ない話だぜ？　わかんねえのかよ。

中島さんは優秀な犯罪者になれる技術を持ちながら、探偵になることを志し、日夜戦っている人である。本書にも書かれているが、この世界、悪者になった方が断然儲かるのだ。捕まることも滅多にない。なのに、中島さんは探偵になったのである。素晴らしい！

本書では、このままでは悪者が増えるばっかりだとして、減らす方策の提案もしている。情報セキュリティの専門家しか語れない意見だ。とても興味深い。