ハックって何?

実際のハッカーたちにとっては残念なことに、「ハッキング」という言葉はさまざまな形で、実際にコンピュータ・システムに侵入するということとはかけ離れた意味で用いられるようになりました。例えば大胆に住宅を改造する人を、DIY(Do It Yourself)ハッカーと呼ぶことがあります。ものを作る人がハッカーという呼ばれるのに異を唱えることはほぼないでしょう。ホームスクーリング(homeschooling)を行っている知識の豊かな親は自分の子供の教育をハックしていますし、シリコンバレーの起業家はサプリメントや刺激剤でブレインハックを行っています。

ですから、主流メディアが「ハック」という言葉を多少大まかな意味で使っていても、何ら驚きではないでしょう。報道によると、数週間前、ヒューストン・アストロズがセントルイス・カージナルスのフロントオフィスの従業員に「ハックされた」ということです。「記憶屋ジョニィ」のような人がいたわけでもないですし、実際、これはハックと呼べるようなものではありません。以前はカージナルスで働いていて、現在はアストロズで働いている従業員たちが、単純に両方の組織で同じパスワードを使い回していたというだけのことだったのです。

情報漏えいと言われつつ、結局は社員のミスや機器の紛失、内部リークだったといったケースを何度目にしてきたでしょうか?ちまたでは本当のハッキングが多々行われています。長期にわたるスピアフィッシングのキャンペーンでハッカーたちがネットワークの奥深くへ入り込んでしまったり、あるいは無線の安全を確保されていなかったり、あるいはクロスサイト・スクリプティング攻撃など、例を挙げればきりがありません。しかし、ハッキングが本当にハッキングであるというのは、どういう時なのでしょうか。単なる注意不足やミス、セキュリティ不備であるというのは、どういう時なのでしょうか。

ハッキングはかつて、安全なシステムにひっそりと侵入するための組織的な試みを意味するものでした。ハッカーたちは脆弱性を利用し、システムにマルウェアを注入し、自分たちの行動を隠そうと試み、そしてネットワーク内で動き回ります。新しく働き始めた会社のデータベース上で昔使っていたパスワードを使うなどということを試みるでしょうか?あり得ないでしょう。

しかし言ってみれば、ハッキングという言葉の定義はそれほど重要ではありません。結果は一緒なのです。非公開にしておくべきデータや情報が、それを持つべきでない者の手に渡ってしまうのです。野球のプレイブックであろうと、クレジットカードの番号であろうと、核ミサイル発射のコードであろうと、それは抜け穴です。セキュリティには最も基本的なレベルで、2つの目的があります。

  • 悪者を近づけない
  • データを漏らさない

悪者が侵入してデータを盗み出したのであれば、その理由は何であれ、セキュリティが役目を果たさなかったということになります。もし私の犬がご近所さんの庭で用を足してしまったら、フェンスを跳び越えていったのか、リードを壊してしまったのか、あるいは子供がドアを閉めるのを忘れたために外へ出てしまったのかは、問題ではありません。犬を連れ戻し、ご近所さんの芝を綺麗にしなければなりません。サイバーセキュリティもこれと大差ありません。ただ、飼い犬の粗相の後始末には料金はかかりませんし、ご近所さんが多少不機嫌になる程度で、必要なのはビニール袋だけです。これに対し、情報漏えいの後始末には何百万ドルという費用や膨大な時間がかかり、顧客が集団訴訟を起こすことも考えられます。

ですから、「ハック」という言葉の定義が広がっていることはこの際、気にしないようにしましょう。ここで問題なのは、セキュリティ障害、別の言い方をすれば情報漏えいなのだということを理解してください。ユーザーには合理的な予防措置を取り、その予防措置を実行するためのポリシーを設定し、そのポリシーを施行するためのハードウェアやソフトウェアを購入してもらいましょう。大切なのはデータであって、それがどういう経路でウェブ上に公開され、サイバー犯罪者に売られたのかではないのです。