WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
今日のサイバーセキュリティ界の著名人の多くは、Facebookの元最高セキュリティ責任者アレックス・ステイモス氏を含め、@stakeという企業にルーツを持つ。ジョセフ・メン著『 Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World』からの以下の抜粋は、同社の永続的な影響力を辿るものだ。
9.11の2年前、崩壊寸前のユーゴスラビアに駐留していたNATO軍がベオグラードの中国大使館に5発の爆弾を投下し、3人が死亡した事件の際、情報機関の契約職員であるロドリゲス氏は北京にいた。ワシントンは標的を誤認したとして速やかに謝罪したが、中国側は激怒した。当時中国副主席だった胡錦濤氏は全国放送された演説で、この爆撃を「野蛮」かつ犯罪的だと非難した。数万人の抗議者が街頭に繰り出し、投石を行い、北京の米国大使館や他の都市の領事館の門に押し寄せた。
『Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World』より抜粋。Amazonで購入。PublicAffairs
アメリカは怒り狂う群衆が次に何をするかを知る必要があったが、大使館員は建物の中に閉じ込められていた。中国で民間人として働くロドリゲスはまだ移動可能だった。彼はCIAの中国担当部署にいる友人に連絡を取り、何か手伝えることはないかと尋ねた。アナリストはロドリゲスに、何が起こっているのか調べてからインターネットカフェに行き、そこから報告書を提出できるか調べるように言った。インターネットカフェに入ると、ロドリゲスは再び電話をかけ、中国の国際通信網に引っかからずに情報を送信する方法について助言を求めた。アナリストはカフェの住所を尋ねた。ロドリゲスが自分の居場所を正確に伝えると、アナリストは笑って言った。「大丈夫、何も送らなくてもいいんだ」と彼は説明した。「Back Orificeはどの端末にも搭載されている」。ロドリゲスに座る場所を知らせるため、彼は遠隔操作で1台の端末からCDトレイを取り出し、北京からの現地レポートを精一杯打ち込みながら、ロドリゲスが書き込んだものをすべて読み上げた。ロドリゲスはタイプした内容を消去し、その書き込みの記録を残さずに出て行った。
ハッカーの中には、政府に奉仕することに大きな充実感を覚える者もいた。テロ攻撃の後、政府に奉仕したことで、以前はできなかった社会に溶け込むチャンスが与えられ、共通の大義で団結した。しかし、この集団のあまりに多くにとって、道徳的な清廉さから始まったものが、政府同士が争えば道徳は崩壊する可能性があるという認識で終わってしまった。それが、私がスティーブンスと呼ぶ cDc ニンジャ ストライク フォースの隊員の場合だった。アルカイダが破壊活動によって悪名と新兵を獲得するにつれ、米国統合特殊作戦軍(JSOC)はスティーブンスのようなアメリカ人ハッカーの雇用を強化した。一部の工作員はイラクのインターネットカフェにキーロガーを仕掛け、監視対象のメールアカウントにターゲットがいつサインインしたかを上司が確認できるようにした。そして、部隊はターゲットが去る際に物理的に追跡し、殺害した。
9.11の後、軍はスティーブンスを他国へ飛ばし、サーバーの設置から捕らえられたテロ容疑者の携帯電話への侵入まで、あらゆるオタク的な仕事を任せた。彼は技術スペシャリストだったが、少人数のチームは仲が良く、必要に応じてメンバーが交代で作業した。時には事態が悪化し、現場での判断で、訓練も受けておらず、精神的にも準備ができていない行動を取らざるを得なくなった。「私たちは人々に悪いことをした」と彼は数年後、今もトラウマに苦しみながら語った。
9.11以降、アメリカ政府は諜報活動を強化するにつれ、デジタル侵入を可能にする新たな脆弱性を発見する必要に迫られました。業界では、こうした脆弱性はしばしば「ゼロデイ」と呼ばれていました。これは、ソフトウェアメーカーとその顧客が、脆弱性を修正する必要があることを事前に知らされないためです。10日間の脆弱性は、企業がパッチを開発・配布する時間的余裕があり、顧客もパッチを適用する可能性が高いため、危険性が低くなります。ゼロデイ脆弱性に対する需要の高まりが、価格の高騰につながりました。
金額が何倍にも膨れ上がった後、他者が(自力でも専門ツールを使っても)見つけられないバグを見つける卓越したスキルを持つハッカーたちは、それだけで生計を立てられるようになった。そして彼らは選択を迫られた。政府の請負業者に直接売り、その欠陥が個人的に嫌悪する標的の追及に利用されることを期待する。請負業者に売り、何に使われようと気にしないことにする。あるいは、ブローカーに売り、その行き先をコントロールさせることもできる。ブローカーの中には、西側諸国の政府にしか売っていないと主張する者もいた。時にはそれが真実だった。顧客について何も言わないハッカーが最も高い金額を支払った。こうして初めて、最高のハッカーたちが倫理的な立場を選び、それに応じた料金を請求することが比較的容易になったのである。
この市場の詳細を明らかにすることは誰の利益にもならなかった。政府の役割は機密扱いされており、請負業者も同様に秘密保持義務を負っていた。ブローカーの顧客は、サプライチェーンに注目されることを望まなかった。そして、大多数のハッカーは、自分たちが傭兵であることを公表したり、他のハッカーや政府に狙われてゼロデイ攻撃を容易に仕掛けられそうになったりすることを望まなかった。こうして、Def Conなどでの有益な噂に後押しされ、グレートレードは成長を続け、10年間、公の目に触れることなく存在していた。
ゼロデイビジネスに関する最初の主流記事が登場したのは、2013年にエドワード・スノーデンがそれが米国政府の慣行の基本的な部分であると暴露する少し前だった。
攻撃能力が急激に向上する一方で、防御は行き詰まった。@stakeのような企業は、大手企業を守り、さらに重要なこととして、大手ソフトウェアメーカーに製品の改善を促そうとした。しかし、政府と同様に、犯罪者の世界もハッキングの実態を深刻に認識していた。セキュリティのわずかな改善によって、スパムを最も多く送信しているアドレスがブラックリストに登録された。これを受け、スパマーたちはウイルス作成者を雇い、スパムブロックを回避できるクリーンなコンピュータを数千台も確保しようとした。そして、「ボットネット」と呼ばれるロボットネットワークを構築すると、彼らはそれをさらに活用しようと考えた。2003年以降、アメリカにおける深刻なコンピュータ問題の大半は、組織犯罪者(その多くはロシアとウクライナに存在)によって引き起こされた。ボットネット運営者は、ビジネスに手軽な手を加えるために、ネットワーク上のキャプティブマシンを使ってサービス拒否攻撃を仕掛け、ウェブサイトへのアクセスを不能にし、ウエスタンユニオン経由の恐喝金の支払い停止を要求した。彼らはまた、何も知らない所有者からオンラインバンキングの認証情報を収集し、残高を盗み出していました。そして、アイデアが尽きると、ボットネットを見知らぬ人に貸し出し、別の策略を試させました。それに加えて、国際的なスパイ活動が活発化し、時には犯罪組織の仲間が当局の捜査に協力することもありました。
@stake からは攻撃と防御の両方の材料が生まれました。攻撃面では、マッジは失速から抜け出し、小さなセキュリティ企業で働き、その後BBNに戻り、諜報機関プロジェクトのテクニカルディレクターとして6年間勤務しました。@stake の同僚でNSAのベテランであるデイブ・アイテルは、Immunity Inc. を設立し、政府や企業がテストやスパイ活動に利用する攻撃ツールキットを販売していました。彼はゼロデイ脆弱性も販売し、それを報道で認めました。当時は倫理的な懸念と、どの顧客がその情報をどのように利用しているのかという追及を恐れ、このような報道は滅多にありませんでした。アイテルは、他の人も同じ脆弱性を見つけるだろうし、自分の情報をベンダーに渡して自分の成果を無料で利用させる理由はないと主張しました。防御側の視点から見ると、「他の人が知っているが自分が知らないバグが存在することを認めたら、脆弱性がいつ公開されるかではなく、どのような二次的保護を備えているかが重要になります」とアイテル氏は述べ、侵入検知ツール、更新されたオペレーティングシステム、不要なアクティビティを防ぐ制限設定を推奨した。
ロンドンの@stake出身者はバンコク近郊のタイに移住し、Grugqというハンドルネームを使い、世界で最も有名なゼロデイブローカーになった。マイクロソフトの仕事の合間に@stakeで働いていたロブ・ベックはフェニックスに移り、政府機関と企業の両方を相手にするブティックオフェンスショップで、ニンジャストライクフォースの著名人ヴァル・スミスと合流した。彼らはどんな仕事を誰のために引き受けるかについて、慎重に検討した。「我々は海賊であり、傭兵ではない」とベックは言った。「海賊には掟がある。」彼らは違法な仕事や顧客に裏目に出る仕事を拒否した。@stakeの主要人物の一人であるCEOのクリス・ダービーは2006年にシリコンバレーのCIA支援のベンチャーキャピタル会社In-Q-TelのCEOに就任し、ダン・ギアはCIAの許可がないにもかかわらず最高情報セキュリティ責任者として入社した。ダービー氏はその後、数百万ドル相当のゼロデイ脆弱性を政府に販売した防衛関連請負業者エンドゲームの会長を務めたが、2011年にハッカーによる暴露を受けて事業から撤退した。
防衛部門では、クリスティアン・リオとウィソパルがVeracodeを設立しました。これは、クリスティアンが自身の業務を簡素化するために考案した自動化システムを用いてプログラムの欠陥を解析するものです。マイクロソフトの後、スナイダーはアップルに移りました。アップルのソフトウェアはマイクロソフトのソフトウェアよりも脆弱性が少なかったものの、アップルの顧客は資金力に恵まれているため、より価値の高い存在でした。スナイダーは犯罪者のエコシステムを調べ、不正行為を困難にできるボトルネックを探りました。彼女の革新的な点の一つは、iPhoneに何かをインストールするには100ドルの開発者証明書を必須にしたことです。大金ではありませんでしたが、犯罪者が同じ方法でマルウェアを配布することは経済的に不可能になるほどのスピードアップとなりました。
スナイダー氏はさらに踏み込み、アップルがユーザーに関するデータをより少なく保有すれば、犯罪者がアップルユーザーを狙う可能性は低くなると主張した。しかし、データの増加はシームレスなユーザーエクスペリエンスにもつながり、これはアップルの主要なテーマであり、幹部たちは消費者が関心を持っているという証拠をスナイダー氏に求め続けた。「スノーデン氏の件で人々がパニックになり始めたことで、それはより容易になった」とスナイダー氏は述べた。「人々が本当に理解すれば、関心を持つようになる」。スナイダー氏の尽力もあって、アップルはiPhoneを警察にもアップル自身にも侵入不可能にする新技術を導入し、FBIを大いに苛立たせた。アップルは、自らを顧客にとっての潜在的な敵とみなす必要があると宣言した最初の大手テクノロジー企業であり、脅威モデリングにおける真のブレークスルーだった。さらに後になって、スナイダー氏はトップチップメーカーのインテルでシニアセキュリティ職に就いた。
デビッド・リッチフィールドは、データベース大手オラクルの誇大なセキュリティ主張をめぐり、公然と対立した。その後、彼はGoogleとAppleでセキュリティ関連の上級職を歴任した。cDcの友人である@stakeのケイティ・ムスーリスは、新オーナーのシマンテックに留まり、その後マイクロソフトに移り、他のソフトウェアプロバイダーと同様に、重大な欠陥を発見し責任ある報告を行ったハッカーに報奨金を支払うよう同社を説得した。ムスーリスは後に独立し、国防総省を含む多くの組織に協調的情報開示プログラムを導入した。また、侵入テストツールが国際的な軍備管理協定の対象となるのを阻止するために、精力的に活動した。
倫理に関する私的な議論は白熱し、社内ハッキングにまでエスカレートした。ゼロデイ脆弱性を発見し、それを保持していた一部の熟練ハッカーは、情報開示の強化を求める動きを非難した。「アンチセキュリティ」を意味する「Antisec」の旗印の下、最も熱心なハッカーたちは、エクスプロイトコードを公開した企業、メーリングリスト、個人を標的とした。当初彼らは、エクスプロイトを公開することは、SQLスラマーの犯人のような才能のないスクリプトキディを助長すると主張した。しかし、彼らの中には、単に競争を望まなかった者もいた。この旗印は、ハッカーのスティーブン・ワットと「Phrack High Council」を名乗るグループに引き継がれ、Antisec運動は犯罪者寄りになった。ワットは後に、ネットワークを通過するすべてのデータを記録するスニファーを、アメリカで最も悪名高い犯罪ハッカーの一人、アルバート・ゴンザレスに提供した罪で服役した。2008年に自身のハンドルネームのみで公開されたPhrackのプロフィール記事で、ワットは著名なホワイトハットハッカーへのハッキングを含む「Project Mayhem」の立ち上げを自慢していた。 「みんなとても楽しかったよ」とワットは言った。その後、アンチセックのミッションは、新たなタイプのハクティビストたちに引き継がれることになる。
L0phtとの合併前は@stakeのマーケティング責任者を務めていたテッド・ジュリアンは、ミシガン大学のオープンソース貢献者であり、昔ながらのw00w00ハッカーであるダグ・ソングと共にArbor Networksという会社を共同設立しました。彼らの会社は、民間企業や政府機関の顧客に対するサービス拒否攻撃の阻止や自己複製型ワームの阻止において大きな力となりました。ソングは後にDuo Securityを設立し、Googleのような大企業だけでなく中堅企業にも不可欠な二要素認証を普及させました。
ソン氏は、Back Orifice のリリースに直接触れて感動する前に、cDc ファイルやメンバーをオンラインで知り合った。1999 年、彼はパスワードなどのネットワーク トラフィックをキャプチャするツール dsniff をリリースした。アーバーが政府向けの仕事の増加を検討している間、ソン氏はより深いデータをキャプチャする新しいスニファーをひそかに開発していた。彼は、2004 年にウィンドウズ スナイダーが初めて開催した BlueHat カンファレンスで、マイクロソフトの幹部にそれを披露する計画を立てていた。ソン氏はカンファレンスに参加し、インスタント メッセージの連絡先や文書を分析し、Skype などの VoIP (Voice over IP) 通話を完全に書き起こす、改良されたスニファーについて説明した。彼はデモンストレーションの一環として、マイクロソフトの従業員に関する書類も作成した。その後、彼は、このような監視ツールの危険性は、内部者がデータを盗むのを捕まえるというセキュリティ上の利点を上回ると判断した。彼は、アーバーの他の幹部を説得して契約計画を中止させ、プロジェクトを中止させた。
@stake の若き才能の 1 人がサンフランシスコ オフィスで働いていました。アレックス スタモスは、カリフォルニア大学バークレー校を卒業して間もなく、マッジや他の創業者に感銘を受け、入社しました。@stake がシマンテックに吸収されたため、彼は 4 人の友人と新しい会社を設立することを決意しました。@stake は、一般人のセキュリティに多大なプラスの影響を与えるビジネスを運営できることを示しました。しかし、新しい会社では修正したい 2 つの大きな欠点がありました。1 つ目は、ベンチャー マネーを受け入れたため、非現実的な財務目標に翻弄されたことです。外部からの投資が減少したため、スタモスと、@stake のジョエル ウォーレンストロムやジェシー バーンズなどのパートナーは、それぞれ 2,000 ドルを出資し、新しいコンサルティング会社 iSec Partners を自力で立ち上げました。経営陣や営業担当者でごった返す代わりに、各パートナーが自分の顧客関係を担当する法律事務所のような運営になりました。
iSecモデルは、スタモス氏が@stakeに関して抱えていたもう一つの問題、つまり彼の言葉を借りれば「道徳的な中心が欠けていた」という問題にも対処しようと試みました。スタモス氏は、自身もパートナーも、自分たちに不快感を与えるようなことは一切行わないようにしました。重要な決定はすべて5人の全員一致の同意が必要だったのです。
iSec は、@stake が消滅した後の 2004 年に Microsoft のコンサルティング業務を引き継ぎ、Windows 7 のセキュリティの大幅な改善に貢献しました。4 年後、Google の巨大プロジェクトである Android スマートフォン OS への協力の依頼を受けました。Android は極秘裏に開発されていたため、Google 社内の優秀なセキュリティ担当者はプロジェクトから取り残されていました。iSec は Android 発売のわずか 7 ヶ月前に招集されました。iSec は、Android のエコシステムに非常に大きなリスクがあると考えていました。Apple の iPhone と戦う弱小企業としては合理的な戦略として、Google はソフトウェアを無料で配布し、携帯電話会社が自由に修正できるようにする計画を立てていました。しかし iSec は、避けられない欠陥に対するパッチが実際に迅速に消費者に配布され、インストールされるように Google が強制する手段がないことに気付きました。
iSec は危険性に関するレポートを作成し、Android の生みの親であるアンディ・ルービンに提出した。「彼はそれを無視した」とスタモスは語ったが、ルービンは後にその警告を覚えていないと述べた。10 年以上経った今でも、それは Android の最も危険な欠陥であり続けている。スタモスは後付けで呼び出されたことに不満を抱き、社内で働くことが正しい道であると考えるようになった。最終的に彼はインターネット大手の Yahoo に最高情報セキュリティ責任者として入社した。ワレンストロムはセキュア メッセージング システム Wickr の CEO になった。ジェシー・バーンズは 2010 年に NCC グループに買収されるまで iSec に留まり、2018 年には Google のクラウド セキュリティを担当するために移った。一方、デイブ・ゴールドスミスは 2005 年に iSec の東海岸のライバルである Matasano Security を設立し、大手ソフトウェア ベンダーや顧客のセキュリティを向上させるために、さらに多くの @stake 卒業生を社内から引きつけた。彼は後に NCC の上級役員となった。
2000年代最初の10年間は、セキュリティ業界において奇妙で分断に満ちた時代でした。「道徳観が問われた時代でした。人々は自分たちの力に気づきました」とソン氏は語ります。社会との繋がりはおろか、正式な倫理教育も受けていない、数百人もの技術専門家が突如解き放たれ、ロールモデルとなる可能性のある団体や業界のスターがごくわずかしかおらず、行動の善し悪しについてオープンに議論されることはほとんどありませんでした。@stakeのメンバーのほとんどは防御セキュリティの分野に留まり、大小さまざまな企業でそれぞれ独自の倫理規定を策定しました。彼らはその後数年間のセキュリティ向上に多大な貢献を果たしましたが、cDcに触発された最も重要な取り組みは、企業や政府機関から生まれたものではないかもしれません。
記事内の販売リンクから商品をご購入いただくと、少額のアフィリエイト報酬が発生する場合があります。仕組みについて詳しくはこちらをご覧ください。
この抜粋は、@stake を離れた後の Grugq の位置をより正確に反映するように更新されました。
WIREDのその他の素晴らしい記事
- 子どもたちのデジタルとアナログが融合した生活
- チェルノブイリ原発事故は楽園を築いたかもしれない
- 中国の大規模監視活動の内幕
- Bluetoothの複雑さはセキュリティリスクとなっている
- Squareの怪しい自動メールに激怒している
- 🏃🏽♀️ 健康になるための最高のツールをお探しですか?ギアチームが選んだ最高のフィットネストラッカー、ランニングギア(シューズとソックスを含む)、最高のヘッドフォンをご覧ください。
- 📩 毎週配信されるBackchannelニュースレターで、さらに多くの内部情報を入手しましょう
