Security Wars: エピソード 1 -ハッカーと暗黒面-

3. 社会と暗黒のハッカーとの闘い

ジェダイオーダーと日々の修行

「おまえはダゴバ星系へ行き」ベン・ケノービの霊体は命じた「ジェダイ・マスターであるわが師ヨーダの教えを受けるのだ」[1]

ダースベーダーの誕生とオーダー 66 のドロイド軍団の前に、従来のジェダイ騎士団は、崩壊してしまった。最後の希望であるルーク・スカイウォーカーは、ヨーダとともに修行を重ねるのである。もともと、フォースを使う才能のある者は、ジェダイ騎士団 (オーダー) の健在なうちは、ジェダイ・マスターのパダワン (弟子) となり、ジェダイの歴史とモラル (morals) を集団生活の中でおのずと感得していたのである。

これらの事実は、フォースが、その才能と力を用いるためのモラルがもっとも重要な事実と、それを備えた高潔な者のみが、そのような力を使うことができるということを物語っている。

一方、ネットワーク社会において、ハッカーは、その卓越した能力で、社会に対して種々のインパクトを与えることができる。では、その卓越した能力を、どのような方向で生かすべきなのか。また、社会は、そのようなハッカーに対して、どのような態度で応じるべきか。ロスト・トゥエンティの銅像の示すものは何なのであろうか。これから、これらの問題を考えていくことにしよう。この問題を考えるにあたって、一つの図は、思考を助けてくれるだろう (図 1）。

ハッカーが技術を用いて実現しうることは非常にたくさんあるだろうし、それは、社会の可能性を拡大してくれることになる。しかしながら、その中で、社会として許容されることと許容されないことがある。技術のサークルの中に法など (社会) があるというのは、そのことを物語っている。そして、ハッカーは、その中で自らの判断で行為をしていくのが通常である。上の図は、この、もっとも通常な場合を例にしているが、これらの 3 つのサークルは、微妙な位置関係にあり、それらが社会にいろいろな問題をなげかけていくのである。

3.1. さまよえるハッカー

ア. 社会のスタンス

「・・ジェダイにとってフォースは知覚の手段だ。間違っても攻撃の道具ではない」[2]

暗黒のハッカーは、実際に侵入したとしても、「ファイル等に対して実際に変更を加えなければ、困ることはない。むしろ、その脆弱性を無償で発見して、教えてやっているのだ」とうそぶくであろう。そして、コンピューター システムの可能性を最大限に追及している自分に対して社会が何をできるのかというかもしれない。技術の可能性をすべて法や社会は許容すべきだということになり、3 つのサークルの図でいえば、技術のサークルと法などのサークルが一致すべきだということになる (図 2)。

しかしながら、社会は、このような言い分を認めるものではない。コンピューター システムが現代社会において極めて重要性なものであり、また、侵入者が、システムにいろいろな仕掛けを残していくこと、また、侵入の痕跡を消去してしまおうと試みたりすることがあったのも事実である。システムを管理する企業等においては、侵入によるシステムの被害を避けるために相当のコストをかけており、万が一、セキュリティ システムを破られたときには、その損害および復旧のためのコストは極めて膨大になってしまうものである。このような現代社会においては、コンピューターのインテグリティ (完全性) は、最大限に保護されるべきものであり、コンピューターの無権限アクセスに対する立法の根拠は、実質的には、このインテグリティの保護を目的とするものである。 このような配慮から、世界各国において、権限なしにコンピューターのアクセス制御機能を破ってしまう行為 (具体的には、他人のアカウント情報を権限なしに利用してコンピューターに侵入する行為や脆弱性をついてコンピューターにアクセスする行為) に対して刑事罰を課す法律が制定されている。(我が国においては、不正アクセス禁止法が制定されている。もっとも、公式には、制度趣旨として、電子計算機の動作に対する社会的期待を保護すると説明がされている。)

イ. 脆弱性情報と責任

コンピューターの完全性の保護が極めて重要なものであると社会的に認識されている現代社会において、セキュリティ上の問題点である脆弱性の情報を認識している人間は、その情報をどのように扱うべきかという局面にたたされる。これは、あたかも、ジェダイが、その自らのフォースをどのように扱うべきか厳しく自らを律してきたことにもなぞらえることができる。

ここで、脆弱性という言葉について説明しておくと、脆弱性というのは、「ソフトウェア等において、コンピューター不正アクセス、コンピューター ウイルス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所」といわれている。これは、(1) 不具合であること－プログラム等が意図した (正しい) 結果をもたらさない状態であること (2) セキュリティに関すること－少なくても、その「不具合」が、電子計算機の運用に関する機密性、保全性、可用性に関連するものであること、(3)(1) の不具合が、外部からの攻撃を誘引するものであること－プログラム等自体が単独でセキュリティ上の問題点を引き起こす場合を含まないということなどを意味している。脆弱性を認識することができれば、その利用の仕方によっては、他人のコンピューターを自由自在に操ったり、動作不能に陥れたりすることができるのである。

この脆弱性については、いろいろな手法で認識することができる。いわゆるリバース エンジニアリングによってソースコードを取得し、そのソースコードを分析することによって、脆弱性を分析する行為が注目されている。このような行為については、著作権法上、違法な複製にあたるのではないかという議論がなされていたが、現在は、脆弱性調査目的のためのかかる行為については、適法であることを明確にすべきではないかと議論がなされている。

脆弱性情報は、上述のように攻撃として用いることができることからして、それを発見した場合、技術者は、その情報をどのように取り扱うべきかということになる。この論点は、ロスト・トゥエンティで、Office 氏の事件として紹介した論点である。ソフトウェア等についていえば、この脆弱性情報を開発者等に伝え、ソフトウェアの改良等をしてもらい、安全性についてのパッチを公開してもらうために利用してもらうということが、ソフトウェアの利用の安全性を高めるべきということになろう。しかしながら、技術者が、「私は、ソフトウェアの安全性の調査をしている○○といいますが、あなたの会社のこのソフトウェアについては、このような脆弱性があります」と開発者に伝えたしても、真剣にとりあげてくれるとは限らない。話として聞いてもらえたとしても、脆弱性としては、脅威の程度はたいしたことがないので、パッチは開発しませんとか、次のバージョンアップで対応しますといわれるのにすぎない場合も多い。場合によっては、脆弱性を発見したとかいってまるで脅迫でもするのですかなどとクレーマー扱いされないとも限らない。また、脆弱性情報の発見が、社会的に極めて重要な意味をもつものだとしても、その発見にいたるまでの労力に対して適切な評価、とくに経済的な評価がなされているのかという問題もあるであろう。

このような状況のもとで、技術者は、脆弱性情報を悪用して、実際に侵入して、みずからの技量を証明しようとする自己顕示欲の罠、脆弱性情報を第三者に売却等して経済的な利益を得ようとする経済的貪欲の罠などに陥る危険性に直面することになるのである。 この罠の前で、何が技術者の導きとなるのか。それを考える前に、今一つの、技術の免罪符の罠についてみてみよう。

ウ. 技術の免罪符の罠 - 技術の限界への挑戦

「わたしが読んだかぎりではダークサイドは超自然の力と見なされている多くの能力を手にする道のようだな」「伝説によれば、彼はミディ＝クロリアンを操り、命を作り出すことができた。その能力があれば、生きている者の命を保つのは簡単なことだ」[3]

パルパティーン議長によれば、ジェダイは、ダークサイドを恐れる余り、人生の最も重要な要素である情熱から自分たちを切り離してしまうという。すべての感情を肯定し、なにをも制限を付さずに、その限界を究めようという感情とそのための力を肯定する。

技術というものは、その限界を究めようとするための努力がなされ、その努力のもとに新しい創造が生まれることになる。コンピューター セキュリティの世界においても、遠隔地のコンピューターを優れたインターフェイスで自由に操作することができれば、カスタマー サービスなどで優れた効用を発揮するであろう。また、脆弱性のある場所を容易に発見できれば、ネットワークの弱点を発見し、その弱点をふさぐのに有効に活用したりすることができる。また、ネットワークにおける匿名技術なども同様である。図 3 は、ハッカーが、技術の限界を拡大している様子を示している。

ハッカーのなかでは、個人的に成したいことが、社会の許容する法などのサークルから乖離していることに気がついているのかもしれない。しかしながら、そこで、自分の心のなかのダークサイドに導かれ、技術の限界を究めるのに法律が邪魔することは許されない (図 2 参照) という免罪符をもとに、自己の行為が社会的にも許される、否、社会は許さなければならないと勝手に思い込んでしまうという誘惑にかられることがある (図4)。

このようにある一線を越えて、ダークサイドに足を踏み入れてしまった場合には、極めて大きな問題を発生させる。一線を越えてしまえば、他人のコンピューターの中を自由自在に見て回り、そこで得た情報を利用して経済的な利益をあげることもできる。また、脆弱性をついて、コントロールを奪ってしまうことも可能になるのである。 では、その一線を越えることが許されないとして、どこからが、その「一線」であるのか。技術者にとって越えてはいけない「一線」というのは何で、どのようにして知ればいいのか。その点について、社会が、なんらの手がかりも与えないで、「ダークサイド」呼ばわりするのは卑怯であるともいえる。なんらの手がかりもなければ、技術者は、ただ、その可能性を目の前にさまようことしかできなくなってしまうかもしれない。