検索
連載

手のひらが世界中 繋がるハクティビストセキュリティ・ダークナイト(11)(2/3 ページ)

「GhostShell」というハッカーチームをご存じだろうか? 世界の有名大学を対象にした攻撃やNASA(米航空宇宙局)、ESA(欧州宇宙機関)などをターゲットにした「Project WhiteFox」を仕掛け、2012年にネットを騒がせたチームだ。Twitterでコンタクトを取ってみたところ意外なほど友好的なGhostShellから、思いがけない申し出を受け……。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

GhostShellからの返事

以下、GhostShellから届いた返事を翻訳したものをそのまま掲載する。


 彼らにアクセスポイントを教えてくれてありがとう。私も、彼らがそれらのアクセスポイントを修正して、さらに、残りの政府のWebサイトの脆弱性も同様に調べてくれることを願っているよ。だって、政府のWebサイトは全て、あまりに脆弱すぎるからね。

筆者注:彼(ら)のいう「アクセスポイント」は、おそらく、攻撃可能な脆弱性のある個所のことを指していると思われる。


 私は君の質問に答えたから、記事にしてくれることを楽しみにしているよ。他に必要なことがあれば、またいつでも連絡してほしい(君は、私にどうやって連絡を取れるか分かっているしね)。

P.S: 記事が公開された暁には、DMを通して知らせてくれることになるよね。

Q GhostShellはいつ結成されたのですか?

A GhostShellは公式には、アメリカの大学のデータベースをリークした、2012年4月16日に誕生したんだ。その日にFBIは、クレジットカード情報が含まれていたという単純な事実を基に、何もリークしてなかったにも関わらず、「サイバー犯罪グループが実行した」と公式発表を出したんだよ。

Q GhostShellはどのように形成したのですか? また、何名で構成され、どのような人物がいますか? 可能な範囲で教えてください。

A 私はある日、簡単にGhostShellを形成したんだ。当時、私は、インターネット上で最も強力なハクティビストグループを形成しようと決心した。

 GhostShellの背後に、どれだけの人が関与しているのかについては、GhostShellの形成とはほとんど、あるいは全く関係ないよ。9000人以上かもしれないし、たった1人かもしれない。私は、日本のサイバーセキュリティの人たちが独力で、GhostShellの関係者数を解明しようとしていたことに気がついたけど、Twitterアカウントの全てをすっかり信じ込んでしまっていたよ。なんて可愛いんだろう!(皮肉)

筆者注:「9000以上」というのは、Anonymousもよく使うジョーク。元ネタは漫画「ドラゴンボール」で、悟空の戦闘力を計測して驚いたシーンのベジータの台詞である。日本やその他の国では8000以上となっているのだが、少なくともアメリカで放送されたときには9000以上となっていた。過去、Anonymousが「Anonymousは何人くらいいるのか?」というメディアの質問に「It’s Over 9000!」と答えたことがある。


Q GhostShellという名前の由来は? 日本のコミック「攻殻機動隊 -Ghost In The Shell-」と関係がありますか?

A 関係はあるともないとも言えるね。

 その日、私は、GhostBoxを通じてシェルコードについて学んでいて、その名前を思いついたんだ。そして、時を同じくして「Ghost In The Shell」のサウンドトラックを聴いていたってわけ。だから、これらの2つの要素がGhostShellというチームの名前を付けるきっかけになったと言えるよ。

Q あなたたちの活動の目的を教えてください。

A チームGhostShellは、主に政治に関連するさまざまなトピックに対する抗議と認識を強めることを目的として形成されたよ。

 昨年夏の中国におけるサイバー戦争は、まだ存在していた中国共産党政権与党(――彼らは人々が民主主義を褒めるたびに黙らせ、人々が共産主義政権に対抗する話をするたびにが刑務所に拘束していた――)に対して注意を喚起したんだ。このために、Project Dragonflyを開始したんだよ。

 まず、西ヨーロッパのあちらこちらにある特定の右翼政党への差別に対して(Project WestWindの最初のリリース)。

 次に、汚れた銀行家や無能な政治家たちを捕まえた世界中のハッカーたちの身元を割り出した政府の虐待に対して(Project HellFire)。

 その後、世界中における授業料の高騰や、覚悟を持たない教職員や、検討不足の教育改革に注目を集めた、Project WestWindの2回目のリリースに至ったんだ。

 間もなく、第二のサイバー戦争ではロシアが登場する。

 ロシア政府が依然として市民を脅かし、さらに罰しているという事実や、ロシア政府が市民のための強固な経済を構築するために自身のインフラに投資するよりも、どれだけスパイゲームにお金を使っているかという事実に、市民の注目を集めようとしたんだ。ロシア政府は、自国の人々へ供給するよりも、近代的な諜報活動を維持することの方がより重要だと思っている。それはとても悲しいことだ。

 2012年の最後の作戦、Project WhiteFoxは、ハクティビズムの促進と情報の自由を目的とした。

 残念ながら世界で発生するさまざまな悪い出来事は、とても目まぐるしく動いている。国際電気通信連合会議もその1つだ(彼らはインターネットを制限し、大企業に更なる力を与えるとともに、政治ゲームのための検閲を行おうとしている)。それは1つの企業や政府ではなく、もっと多くが関与している。

 このような動きを急いで止めるには、このようなことをいつでも人々に知らしめ、選ばれた役員たちが隠れて密室で何をしているのかを見破ることができるよう、メッセージを世界に広めなくてはならない。

Q あなたはAnonymousに関係している人物、もしくは元Anonymousですか? AnonymousはGhostShellと一緒に活動しているのですか、それとも別個に活動しているのですか? またそれはなぜですか?

A うん。私はAnonymousの一員だよ。でも、GhostShellは全く異なる存在なんだよ。

 私がAnonymousの一員だから、GhostShellがAnonymousの活動を助けているのかどうか、また、その活動がAnonymousという構造で行われて、GhostShellとAnonymousの共同体として活動しているかどうかについて論じても、意味がないよ。だから、前面に出てそれを認めることも、同じく意味がないね。

 なぜ、私がAnonymousから分離し始めたのかって?

 彼らAnonymousは、意思決定においてもその適用においても、もはや十分なスピードを保てているとはいえない。だから私は、Anonymousが必要とするときには影からサポートしつつ、スピードを維持できる何かを作るという大きな決断をしたんだよ。

Q いったいどのようにしてターゲットを決定しているのですか? 誰が? いつ? などを教えてください。

A ターゲットは通常、各年度の始めに選ばれるけど、GhostShellはターゲットを年中変えているよ。事件は現実世界でもサイバー世界で起きているから、ターゲットもまた必要に応じて変えているんだよ。

Q なぜ、攻撃の手段として(D)DoS攻撃ではなく、情報漏洩を使うのですか?

A (D)DoS攻撃は、最近頻繁に使用されていて、もはや多くの人の注意を引くわけではない。情報の漏洩は(D)DoS攻撃よりずっと大きなインパクトをターゲットに与えるし、後にセキュリティシステムの改善といったよい機会を与える。それはお互いにとってwin-winの状況だよね。

Q あなたは10月に、日本の大学を含む多くの大学から情報を漏洩させました。一方であなたは日本を攻撃しないと言っています。なぜでしょうか?

A 私は決して、直接日本を攻撃するという意図は持っていなかった。そのプロジェクト(Project WestWind)では世界のトップ100大学をターゲットとしていて、日本の大学もGhostShellのリスト内にあった。

 私が何らかの危害をいくつかの国に与えたかったとしても、私ができたことは、ただ、送電網に影響を及ぼし、皆さんを暗闇の中に放置することだけだよ。

 今年の私たちの非公開の秘密のオペレーションの1つは、gEclipse 3Dで作成したマルウェアの正確な広がりを確認するために、インドで行った実験を中心に展開しているよ。

 しかし、チームGhostShellの公的な姿というのは、ハクティビズムのための単なる基盤にすぎないんだ。だから、GhostShellが現実の生活の中で人を傷つけるまでに至ることはないだろうね。このことが、GhostShellが、決してクレジットカード情報をリークしない理由の1つなんだ。

Q あなたの主張とはいったい何ですか?

A 私には特に主張などないよ。私は若干21歳で、ある「チーム」と一緒に活動している。彼らは、日常生活から私たちに悪い影響を与えるかもしれない異なるトピックに人々の注意を向けようと試みるとともに、セキュリティ上の欠陥を指摘している。

 私のやり方に対し、特定の会社や政府が問題を感じるならば、彼らはその不満を私に連絡することができる。そして私は耳を傾け、おそらく回答するだろうね。

 また、この世界の特定の法執行機関が、「私がとても危険で捕まえる必要がある」と宣言すれば、彼らは私に連絡することができる。そして私は彼らにどこに住んでいるかを教え、私を追跡するために納税者のお金や彼らの時間を消耗しても意味がないことを伝えるだろうね。

 私は誰からも隠れないし、逃げないよ。私は最初から、誰からもよく見える状態で、ハッキングの前線にいたんだよ。

Q 最後に日本の人々にメッセージがあれば、どうぞ。

A サイバー攻撃を恐れないでほしい。代わりに、サイバー攻撃を注意深く観察し、サイバー攻撃から、「サイバー攻撃を防ぐ方法」を学んでほしい。何よりもまず、もしあなたのデータが窃取されてしまったら、どのようにあなた自身を守ればいいかを学んでほしい。

 情報はインターネットにおけるキーとなる重要な要素だ。だから、世界で起こっていることについて、常に新しい情報を入手してほしい。

 そして、忘れないで。私たちはみんな、shellの中に住むゴーストだってことを。 - DeadMellox

インタビュー部分の翻訳には、Twitterにて重要な海外サイトの記事を要約して発信する予定の桂由紀子さん(TwitterID:ykatsurarara)にご協力いただきました。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
ページトップに戻る