ホワイトハッカーが避けるべき「7つの大罪」【コラム】

サイバーセキュリティは多くの場合、弱点を特定し、脆弱性に対するガイダンスを提供するために定着したやり方である倫理的なハッキング(ホワイトハッキング)によって実現できる。しかし、ブロックチェーンの場合は、多くの物事がそうであるように、ホワイトハッキングもグレーゾーンとなる。

暗号資産の世界では、「ホワイトハッカー」と呼ばれる人たちは、攻撃者たちの先を行こうと、際どい手法に頼ることも。例えば、高度なペネトレーションテストなど、徹底的なセキュリティチェックや最新の攻撃手法を用いて、つけ込まれる前に、重大な脆弱性を浮かび上がらせる。

攻撃者が採用している最新の攻撃手法を再現するために、ペネトレーションテストはウェブアプリケーションからモバイルアプリケーション、API、ウォレット、レイヤー1ブロックチェーンに至るまで、あらゆるものに対して実施される必要がある。

ブロックチェーンテクノロジーを利用した分散型のアプリケーションやネットワークでも、ペネトレーションテストが行われる。悪質なユーザーがセキュリティ上の欠陥を見つける前に、その欠陥に対して警鐘を鳴らすのが目的だ。

誘惑に打ち勝つ

ペネトレーションテストは、攻撃者の気持ちになって、対象の弱点に意図的につけ込むことで、コードの脆弱性を治すためのもの。犯罪者に打ち勝つには、時に犯罪者のように考える必要があるのだ。

しかし、ホワイトハッカーがシステムについて知識を得て、後々それを悪用するという懸念も生じる。このようなことは、過去に実際に起こったようだ。ホワイトハッカーは、システムに深く入り込みながらも、キリスト教で人を死に至らしめるとされる7つの大罪を避けなければならない。

まずは傲慢(PRIDE)。ホワイトハッカーが傲慢にも、自らの才能が法律を含め、あらゆるものを超越すると考えたら、他のハッカーの標的となったり、もっと悪い事態も想定される。

ペネトレーションテストを実施している人物は、クライアント企業や個人の適切な承認なしで、システムに侵入しようとしてはならない。これは違法行為である。司法制度においては、過去にどれほど善行を積み重ねていようと、一線を超えてしまった事実を消し去ることはできないのだ。

ホワイトハッカーは、内的動機と外的動機の釣り合いを保っている。一方には報酬と名声、他方には、社会(あるいは少なくとも雇用主である企業)の安全性を確保するために、知識を共有する喜びがある。このバランスが崩れ、個人的名声や金銭的報酬の方が、知識の共有や安全性よりも価値を持つようになると、ハッカーは貪欲(GREED)の罪を犯すことになる。

これに対処するために、ホワイトハッカーがテストを実施しているIPアドレスを隠すために、VPNを使うことは決してない。攻撃経路を外部の人間が簡単に認識できるように、必ず足跡を残すのだ。

知識を独り占めしてしまうと、ホワイトハッカーコミュニティから素早く排除されることになる。ホワイトハッカーのコミュニティは、知識の共有を通じて成長していくのだから。

境界線を引く

偉大なハッカーたちは、より多くを手に入れ、知り、学び、解読したいという衝動を持っている。貪食(GLUTTONY)の罪を犯さないために、制限を設けることが大切だ。

ホワイトハッカーは実施するペネトレーションテストの範囲を確実に定め、システムに侵入しようとするために何をして良いのか、どこまで行って良いのかについて、きっちりと制限を設けるべきなのだ。

もちろんハッキングの知識を、機密情報に許可なくアクセスするために使うことは決してあってはならない。つまり、邪淫(LUST)の誘惑に負けてはならないのだ。少し覗き見してみたり、他に誰も入ったことのない領域に足を踏み入れてみたいという誘惑は強いものであるが、ホワイトハッカーは境界線をきっちりと引かなければならない。

つまり、内部情報や、公表されていない知識は、信頼できる同業者とすら、シェアするべきではないということだ。

ホワイトハッカーになるということは、常に学びを続けるということ。そのため怠惰(LAZINESS)であることは、考えられる罪の中でも最悪のものの1つだ。テクノロジーは超高速で進化する。ホワイトハッカーは常に、もっと学ぶべきことがあると考えるべきである。

ペネトレーションテストを実施している時には、すべての手順に従い、規則を守り、日々の業務に使われるのと同じデバイスやシステムで実験することは決してあってはならない。

テストを実施するハッカー自身のデバイスが、悪質なコードにさらされる可能性があるからだ。不具合が検知される前に悪質ハッカーがクライアントにアクセスする可能性もあるため、これは死活問題なのだ。

嫉妬(ENVY)も、何としても避けなければならない。ペネトレーションテスト中に企業から手に入れた機密情報を個人的利益のために使うことは、違法行為なのだ。

一緒に働く仲間の知識やスキルを認めないのも、いただけない。チームワークと、強みや成長が望める部分を理解することは、包括的で優れたテストのために欠かせない。

すべてのペネトレーションテストが成功に終わる訳ではない。時間内にエラーが見つかることも、見つからないこともあるだろう。ホワイトハッカーは、憤怒(ANGER)に囚われてはならない。

自制心を失えば、問題に対して時間内に対処することは難しくなり、問題に対処しようとして逆に悪化させる問題から学ぶこともできなくなる。さらに危険な間違いにつながる可能性があるのだ。

ルイス・ルーベック(Luis Llubeck)氏は、ブロックチェーンセキュリティ企業ハルボーン(Halborn)の技術教育専門家である。

|翻訳・編集:山口晶子、佐藤茂
|画像:Shutterstock
|原文:When White Hat Hackers Go Bad