現代におけるセキュリティの攻防はGAFAのような超巨大企業vs国家及び国家の支援を受けた集団など、規模の大きいものとなっています。さらにはそこにエクスプロイトを見つけ出すハッカーと、彼らから情報を得るべく暗躍する国家のエージェントなど、それはまさに本のタイトルのように「戦争」です。そこには世界のギークなハッカーを動かすための大金と欲望が動くあまりにリアルな実情。
アメリカテック企業にとって自らのソフトウェアを悪用する敵は海外の非民主主義国家だけでなく、アメリカ政府だったりもします。「国防省をハックせよ」、という国防省からのハッカーへの「依頼」、アップルの徹底したプライバシーに対する姿勢、アメリカ合衆国の愛国者法など、これまで得てきた知識は現実社会で利活用されているということがこの本を読むとよく分かります。なので、セキュリティ担当者こそこの本は読むべきと思います。
アメリカを襲ったのはそのようなテクニカルな攻撃だけではありません。2016年のアメリカの選挙でトランプ大統領を当選させるためにロシアがインターネットで工作活動を行った、という話は日本でも知られています。しかしその具体的な手法は日本のニュースではあまり入ってきません。この本ではその具体的な活動にロシア側の誰が、どのような組織が、具体的にどんな手段で、アメリカの民衆心理と選挙システムを文字通り「ハッキング」していたかを詳細に書いています。この本はニューヨーク・タイムスに所属するサイバーセキュリティを専門とする記者が書いたもの。アメリカ市民はFacebookで自分を攻撃してきた人や、twitterで自分の怒りや不安を増幅させる投稿をしていた人が実はロシアの工作によるものだった、という事実の前にどう思うでしょうね(もっともこれらは今に始まったものではなく、旧ソ連時代からアメリカの世論を工作により操作していたようです。ベノナ・プロジェクト)
そしてそれは日本においても起きているかもしれません。それを確かめるすべを僕たちは持っていません。
さらにはアメリカ国家安全保障局(NSA)が、表向きは脆弱性を公開して社会の危険なソフトウェアの脆弱性をつぶす活動を行っている一方、裏では本当に危険で悪用可能な脆弱性は秘匿し、その脆弱性を悪用したツールを作成し、海外に諜報活動を行っていたという事実。そしてそのツールが何者かによってインターネット上に公開されてしまい、かの悪名高いWannaCryに利用されます。アメリカが外国(同盟国すら含む)を脅かすために裏で作成したエクスプロイト(脆弱性を利用してコンピュータを攻撃するための具体的な手段)が自らにブーメランとして返ってきているのです。
マイクロソフトが国連で「サイバー版ジュネーヴ条約(戦時国際法としての傷病者及び捕虜の待遇改善のための国際条約)」について語るのも分かります。サイバー戦争で国家間がヒートアップして、国内のインフラがハッキングされ、停電・断水。データは暗号化され病院や銀国もストップ、さらには核施設など操作を一つ間違えたらとんでもない事態になってしまうシステムが外部からコントロールされてしまったらどうなってしまうのでしょうか?今年の夏静岡が大雨で停電、断水した時とても苦労しました。これが人為的に長期間行えてしまうのです。これは立派なテロです。
この本のエピローグにも書いてあるように、社会に張り巡らされたインターネットの先にあるコンピュータとそれにインストールされたソフトウェアのバグの問題をいきなりすべて解決する方法はありません。しかし社会全体がソフトウェアの利便性必要性を認識したうえで、バグを減らすこと、セキュリティを高めることに対する報酬を与えることが解決策の一つ、と筆者は説きます。セキュリティはどうしても「重要だが、優先度が低い」となりがちです。利益を生まないからです。しかし一度被害が発生したら莫大な損害を発生させます。
また、現代のソフトウェア開発は有志によるフリーソフト、オープンソースソフトウェアに支えられています。Dockerのようなコンテナ技術が普及し、Linuxがビジネスに多用されるようになったことはそれを加速させていますが、HeartBleedで脆弱性が明らかになったOpenSSLが、世界中の人が利用しているにもかかわらずぜんぜん支援がされていなかった、というのは大きな問題になりました。先日のLog4jの脆弱性も同じ問題が発生しています。無料で使わせてもらっているコードに対して、報酬が与えられていません。企業が上記の課題を解消するべく動き始めていますが、アメリカをはじめとした国際社会が協力してくれないと…まあ実際には難しいのでしょうけど。
2023, Jan 21 —