“悪い人”ではなく“何かを突き詰めた人”こそがハッカーだ　SECCON実行委員長・花田氏が語る、日本へのサイバー攻撃の動向とセキュリティ人材の現状

攻撃のパケット数は年々増加している

ーーまずは、全世界で起きているサイバー攻撃について、頻度の増減や質の変化など、花田さんが感じている近年の印象を教えてください。

花田智洋氏（以下、花田）：サイバー攻撃については、私が勤務しているNICT（情報通信研究機構）サイバーセキュリティ研究所が、定期的にNICTER観測レポートを出しています。

NICTではネットワークを飛び交う攻撃パケットを観測していますが、レポートを見る限り、年々ずっと増え続けている。通信機器、IoT機器などが年々増えていったり通信回線が速くなったりする中で、攻撃パケットの絶対量はレポートが示すとおり多くなっています。

その絶対量の中でどれだけ実害が発生したかは別の観点になりますが、無防備な端末が存在している状況で攻撃パケットが増えているので、被害に合う可能性は年々高まっているという認識です。そのため、ITにあまり詳しくない方々が、昔に比べてより被害に遭いやすくなっている状況になりつつあると感じています。

ーーサイバー攻撃というと、情報戦争という観点から、一般的に“日本対海外”の印象が強いのですが……。

花田：情報戦争という観点でいうと、書籍でも出ていますが、“ハイブリッド戦争”という単語もありますね。海外の事例で言えば、実際の物理の戦争に加えて偽の情報を流す、いわゆるフェイクニュースなどもそうです。

日本に対して、という話でいうと、自衛隊のような兵器を持っている組織などに、ネット経由で攻撃を仕掛けてシステムを無効化したり、フェイクニュースみたいなもので混乱を巻き起こしたり、デモ起こしたりすることが考えられます。

そういうことを組み合わせて、物理だけでなく情報戦も加えた“ハイブリッド戦”という考えが、ここ数年で議論されたり、事例などがまとまってきていると思いいます。情報戦争単体というよりは、なんらかの結果を得るために、IT・ICTなどの技術が悪用されている認識ですね。

また、政治活動で私が知っている事例だと、「某国のプロパガンダ活動」というようなかたちで、政府に有利な情報ばかりを流すメディアが実際にあるとか。

主要紙としてそのメディアを頼っている人たちは、それがその国で発信された正規の情報だと見てしまい、マインドコントロールというか、思考を誘導されてしまうようなことも実際起きている事例はありますね。

ーーちなみにサイバー攻撃は、海外からだけではなく、日本国内からもあるんでしょうか。

花田：あるかないかで言えば、単純に“あります”と言えます。あとは海外から攻撃を受けてしまい、感染したPCが日本国内にあって、そのPCを踏み台に攻撃されたら、日本国内から攻撃された、と見えてしまいます。

実際、持ち出したPCを外出先で感染させてしまい、オフィスに持ち帰ってそのままつないだことで、別の端末に感染した事例もあります。また、狙われた脆弱性が、多くの企業で使われているソフトウェアがきっかけだったこともありますし。

具体的な事例をあげるなら、JAL（日本航空）さんが、2017年にビジネスメール詐欺でものすごく莫大な金額がだまし取られてしまった事件（※）がありましたよね。攻撃者が誰だったのかは、結局わかってはいないようですが、もし日本人が日本国内から攻撃に関わっていたとしたら、まさにそれは日本から起きたサイバー攻撃になります。

“守られた”情報を公開しないのもセキュリティ対策のひとつ

ーーところで、セキュリティが破られた事例はニュースにも多く取り上げられるものの、逆に守られた事例はほとんど公表されていませんよね。「セキュリティ対策が遅れている」と言われている日本だからこそ、守れている事例も出したほうが、認知度拡大につながる気がするのですが……。

花田：まず、日本の文化や風土などに起因するところも、一部はあると思います。日本の組織には、加点評価ではなく、マイナスの査定のようなことをするところもありますよね。

「こういうことをやってよかったです」みたいな感じで、どんどんプラスの情報を出す組織ももちろんありますが、「攻撃を受けました」のようなネガティブな情報が先に出てきて、マイナスなイメージをもたれたくないという可能性も、もしかしたらあるのかもしれません。

あと、「これは守れた」という情報を出してしまうことで、攻撃者に防御レベルを悟られてしまうデメリットもあります。「メールでこういう攻撃やられました。でもこうやって防ぎました」と公表してしまい、攻撃した人間がその情報を知ってしまったら、「じゃあ違うやり方でやるか」「別のもので、対策されていないところを狙おう」などのようなヒントにもなってしまうので。

ただ、閉じられたというか、情報共有の一定のルールを保つ、コンピュータセキュリティにかかるインシデントに対処するための組織の、日本シーサート協議会などの担当者・責任者レベルでは、情報共有は進んでいると聞いています。

だから、情報共有自体は進み始めているけれど、個別具体的な事例をパブリックに公表するのは、文化的・風土的な面、あと攻撃者に余計な情報を与えてしまう面などがあって難しい。

守る側が絶対的に不利な状況に、情報を出しても問題ないようなところで、防いだ事例などのいろいろな知恵、知見を持ち寄って、業界の垣根を越えて褒め合えるというか、讃え合えるような。古き良き“日本のご近所さん”みたいな優しい社会、温かい社会になっていったらいいな、という希望はもっています。

ーーでも一方で「日本はセキュリティ対策が遅れている」と言われていますよね？　世界のどこと比較して言われているのでしょうか。

花田：どこに比べて、という定量的な指標はなかなか示ししづらいです。具体的な話に落とし込んでいくと、例えばハードウェアも含め、セキュリティの製品やサービス、ソフトウェアで、世界中で使われているものは海外製がほとんどですよね。純国産のものはがあまりない状況です。「世界から見て日本が遅れている」と言われるのは、まさにそういうところが起因しているのかな、と。「日本からGAFA出てこないのか」とか、そういった話に近い議論かなと感じていて。

日本発の製品やサービスをどんどん作って発信していければ、そういう声を払拭できるでしょうし、日本の力をグローバルレベルに発揮する、存在感を示していけるのではないかと期待はしています。

ハッカーは“悪い人”ではなく、“なにかを突き詰めた人”のこと

ーー日本のメディアにおいて、サイバー攻撃をする者の代名詞として、“ハッカー”という言葉がよく使われますが、これはなにか理由があるのでしょうか。

花田：僕自身の話をすると、僕がセキュリティの仕事に携わり始めたのは2017年の1月からで、まだ5年ぐらいしか経っていません。それでもNICTという、サイバーセキュリティでいえばメジャーリーグみたいな感じのところで働いている、ちょっと変わったキャリアで。

それまでは別の会社で、銀行のお客さま向けにプロジェクトマネージャーとして銀行システム作ったり運用したり、大規模なシステムトラブルを対処したりする仕事をずっとやっていました。

実はセキュリティは一切仕事でやってなくて、ずっと興味があったので自分で趣味的に研究したり、勉強会を開催したりしていました。昔からずっとセキュリティなどに興味があった人間で、その意味で、その意味で、僕は以前からハッカーになりたいと思っていました。

ハッカーというのは、コンピューターを思いのままに操れる神さまみたいな。自分で言うのはダサいので、ほかの人から「ああ、花田さんはやはりハッカーだな」と思われるぐらい、すごい人間になりたいなとは今でも思っています。ワンピースのルフィの「海賊王に俺はなる！」ではないですが、そのぐらいの気持ちで、スキルや自分のできる幅や深さを突き詰めていきたいのは、人生の数ある目標のうちの1つです。

その意味で、“ハッカー=悪い人”というのは、僕自身としては言葉の使い方的に「ん？」というのがあって。「それってクラッカーとか、攻撃者とか、そういう単語のほうが適切なんだけどな」と思いながら……。ただ単語の論争をしてもしょうがないので、自分が使うときには、そういった使い方はしないなと個人的には思っています。

僕は“ハッカー”という単語を、ある意味憧れというか、「一生かかってもそこにたどり着けないかもしれないけれども、目指さないといけない」みたいな位置づけで考えています。最近では「ライフハック」のように、どんな分野にしても、「よりうまくする」「投資対効果の高い何か」みたいなに、どんどん突き詰めていったら、それってある種のハックかなと思っていて。

そういう意味では、みんな同じ24時間過ごしている中で、人生を振り返ったときに、「ああ、自分の人生ハックしまくっていたな」と振り返れるような、おもしろいことをたくさん積み重ねて、「ええ、お前そんなバカみたいなことやってんの？」と言われるようなおもしろ体験もシェアして、さらにそのおもしろ体験同士を組み合わせたりして、また別の超おもしろ体験を生み出すみたいな。

そういうのが、ある意味の“ハック”かなと思っています。だから、そういうことができる人間も、ある種のハッカーかなと。その中にコンピューターも関わるのかもしれないし、ネットワークも関わるかもしれないし、ぜんぜん関係ないアナログの何かも関わるかもしれないし。

あるハッカーとの体験談を1つ紹介しますね。過去に、グローバルで活躍する超凄腕ハッカーが日本に来たことがあって。その人がいる場でプレゼンテーションをしたらすごいバカうけして、手を叩いて「あいつはクレイジーだ！」みたいにすごく喜んでもらえたんです。

そのあと、2017年にNICT入ってはじめての海外出張で、世界で最も大きいハッカーカンファレンスである「DEFCON」に行きました。そこに先ほどの凄腕ハッカーの方もいたので、あのときのプレゼンのことを話ししたらまったく憶えていなくて。塩対応されたんですよ。

「やべぇ」と思って、ネット上に英語版にしたプレゼンテーションをアップしていたのでそれを見せたら「お前、あのときのクレイジーなやつじゃないか！」と言ってもらえて。やはりおもしろい体験は、10年経ってからも思い出してもらえるんです。

セキュリティに限らず、10年経っていても思い出せるような楽しい体験をいかにやれるか。やれる環境に自分を置けるかを突き詰めていって、実際それをやっている人間が、ある種のハッカーかなと思います。

ーーメディアによっては、良いハッカーという意味で“ホワイトハッカー”という言葉をつかうところもありますね。

そもそも、ホワイトハッカーという単語は、海外の“ブラックハットハッカー”“グレイハットハッカー”“ホワイトハットハッカー”という単語から、日本にもってきたときに真ん中の“ハット”が抜けてしまい、できたものです。

そこも「ん？」という感じで。最近はなんとなく意味が通じるので使われていますが、個人としてはもうちょっとしっくりくる、みんなが憧れるような単語がいいなと思います。「プロ野球選手になります」「Jリーガーになります」と同じように、ちびっ子が先生に向けて威勢よく宣言できるような、いい単語ができたらいいなと。

「ホワイトハッカーになりたいです」って、ちびっ子が言うにはあまり格好よくないと思っています（笑）。いい単語というか、名称ができて、ちびっ子たちが憧れる職業に思ってもらえるように自分たちが魅力を伝えていけるようになりたいですね。

（次回につづく）

※JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害 | 日経クロステック（xTECH）