1. HOME
  2. 特集
  3. デジタルプライバシー
  4. 一番の弱みは人間の中に 伝説のハッカーが語るデジタルリスク 

一番の弱みは人間の中に 伝説のハッカーが語るデジタルリスク 

World Now 更新日: 公開日:
ニューヨーク証券取引所で講演するケビン・ミトニック photo: Toh Erika

米国のホワイトハッカーがみるデジタルプライバシー

1月下旬、ニューヨーク証券取引所で米国の伝説のハッカー、ケビン・ミトニック(54)に約4年半ぶりに会った。「身の回りのモノが何でもネットにつながるIoTInternet of Things)の機器が最近増えてるけど、どう思う?」と尋ねるや自身のパソコンを開き、あるサイトを私に示した。世界中のIoT機器について、特にセキュリティーが弱いものを中心に検索できる「Shodan」だ。

ミトニックがキーボードをたたくうち、セ氏温度の数値が画面に出てきた。「IoTサーモスタットの設定画面だね。場所は豪州のパースのようだ。ここで操作すれば、設定温度を変えられるよ。違法だからやらないけどね」。ミトニックはおどけた。

サーモスタットは、室温などを一定に保つ一般的な機器。最近はエアコン以外の家電とも連動して温度を自動調節するIoTサーモスタットの普及が進む。この機器の場合、パスワードが出荷時のままか、そもそもパスワードを設定していないかのいずれかの理由で、設定画面が簡単にのぞけてしまうようだ。

南半球の豪州はいま真夏。もし誰かが設定温度を上げれば、室内はうだるようになって大騒ぎとなるだろう。

ミトニックは続けて、「Now on Air(放送中)」とある画面を示した。北海道で誰かがネットラジオを聴いているパソコンの画面のようだ。「このチャンネルを変えることだって、ここからできるよ」とミトニックは笑った。「特別なハッキング技術なんて要らない。12歳の子どもでもできる。あらゆるものがネットにつながるこの世界が、いかに安全じゃないかということだ」

ミトニックは1990年代、米政府機関や、富士通を含む世界の企業のサーバーに「好奇心で」侵入を重ねた。話術などで情報を聞き出すソーシャルエンジニアリングの巧者でもあり、「米史上最大のコンピューター犯罪者」として鳴らしたが、米連邦捜査局(FBI)が95年に逮捕、実刑判決を受けた。今は企業などに助言する「ホワイトハッカー」だ。

私はロサンゼルス支局に赴任していた頃、ハッカー取材を重ねるなかでミトニックと知り合ったが、彼は今、以前にも増して多忙を極めている。この日は証券取引所内で事務機器大手ゼロックスが関係者向けに開いた「セキュリティー・サミット」の講演だった。

「これから何に気をつければいいのでしょう?」。元ホワイトハウス最高情報責任者代理でゼロックス最高情報セキュリティー責任者のアリッサ・ジョンソンが尋ねると、ミトニックはパソコン画面を大写しにした。ソフトウェア更新呼びかけのメッセージが何度も現れる、おなじみの画面だ。

ニューヨーク証券取引所で講演するケビン・ミトニック photo: Toh Erika

「空港やカフェの公共WiFiに接続していたとしよう。何度も更新を促されて、ついに応じる。WiFiに悪意あるソフトウェアが埋め込まれていたら、パスワードなどの認証情報が抜き取られるだろうね」

空港やホテルのWiFiを使って、そこにいることをソーシャルメディアで明かすのは、狩人に「獲物は今ここにいますよ」とわざわざ教えるようなもの。「最近は攻撃側も(コンピューターがデータを読み込み学ぶ)『マシンラーニング(機械学習)』で精度を上げている。サーバーにアクセスできる個人がパソコンや携帯電話を持っていれば、そこが一番の弱点になる」

講演後、ミトニックは私に強調した。「多くの人が最も気にかけるのは安全ではなく、機器がちゃんと動くかどうか。一番の脆弱性は、人間の愚かさなんだ」

「僕はスマートスピーカーは持たない」

その翌週、ヤシ並木が美しいサンタモニカの海辺は、全米や世界各地の専門家ら600人近くでごった返していた。NPOOWASP財団」が主催するサイバーセキュリティーの会議「AppSec」。話し合われたさまざまな議題の一つが、デジタルプライバシーだ。

「AppSec」でハッカーのコンテスト「CTF」を運営するケネス・ニーレンハウゼン(手前)とアレクサンダー・キッシンジャー(奥) photo: Toh Erika

「メールアドレスとパスワードは悪意あるブラックハッカーには金脈。その人物になりすませるからね。でも米国では暗号の専門知識を持つエンジニアですら、プライバシーそっちのけで便利なサービスを使いまくっていることが多い」。米国人ホワイトハッカー、アレクサンダー・キッシンジャー(27)は会場の一角で言った。

IT大国・アメリカは最新の機器やサービスを次々と生み出して、利便性や目新しさを求める利用者に売り込んできた。最近普及が進むのが、話しかけるとそれに応じた答えをネット上から瞬時に探したり、ロボット掃除機などを動かしたりする「スマートスピーカー」だ。公共ラジオNPRなどの調査によると、調査対象の米国人の16%がスマートスピーカーを持ち、うち65%が「もはやそれなしでは生活できない」と答えている。

キッシンジャーは、これもあっさりと一刀両断した。「僕? 僕は持たない。盗聴されてるようなものだから」

「メーカーは製品を出すのが第一。セキュリティー上の問題は後で解決するのが一般的だしね」。キッシンジャーの同僚ホワイトハッカー、ケネス・ニーレンハウゼン(27)が隣で補った。

キッシンジャーはサイバーセキュリティーのコンサルティング会社に勤めており、そこでIoT仕様のAI(人工知能)人形の安全度テストに取り組んだことがある。AI人形は、子どもたちが話しかけた声をネット経由で事業者のクラウドが受け取り、AIが考えた答えをネット経由で返事する仕組みで、かねてプライバシー侵害の恐れやセキュリティー上の問題が指摘されていた。「攻略してみたら案外しっかり暗号化されていたけど、それでも弱点が見つかったよ」

ハッカーたちの「護身術」(基礎的アドバイス)

便利なデジタルライフを送りつつ、自分の情報を守るにはどうすればいいのか。

老練から若手までハッカーたちが異口同音に言うのが、フェイスブックやリンクトインといったソーシャルメディアの利用は最小限に心がけている点だ。

サイバーセキュリティー会議 photo: Toh Erika

アカウントが全くないと「なりすまし」に遭う危険があるし、友人や家族との連絡手段としても維持はしているが、ニーレンハウゼンは「個人的な情報は投稿しない。ソーシャルエンジニアリングに使われる可能性もある」と話す。「位置情報の発信機にもなりかねない」として、スマホにこれらのアプリは入れない。ましてやソーシャルメディアの認証情報を外部サイトと連携させることなど「絶対しない」そうだ。

ハッカーたちの基礎的アドバイス

  1. パスワードは自動生成で設定を。かつ複数のパスワードをまとめる管理ソフトを使おう
  2. 無料メールやクラウドサービスの利用には2段階認証を用いよ
  3. 公共Wi-Fiを信用するな
  4. ウェブサイトは暗号化された「https」で始まるURLで開こう
  5. ソーシャルメディアにむやみに個人情報を投稿しない。他のアプリとの連携ログインも慎重に
  6. スマホなどの指紋認証は出入国のたびに解除を。指紋は多くの国で合法的にとられうる
  7. ノートパソコンやIoT機器の大半はマイクやカメラを内蔵。ストリーミング機器になりうる

 「人間が考えうるパスワードなんて予測できる」とミトニックは言った。パスワードの多くは、文字などの組み合わせや辞書にある単語を元にしたコンピューター自動処理で見破られてしまう。個人情報が加われば、さらに精度は上がる。

そこでハッカーたちが推奨するのが、複雑なパスワードを自動生成するソフトの活用だ。すると複雑で覚えきれなくなるため、複数のパスワードを管理ソフトに保存する。そのマスターパスワードには、好きな歌詞や本の一節などからできるだけ長く引用した「パスフレーズ」を用いる。そのうえで、頻繁に変更する。

パスワードが優れていても、キーボードの入力内容などを盗み取るウイルスなどに感染したら意味がない。公共WiFiを使う際は仮想プライベートネットワーク(VPN)を張るのが鉄則だ。

見過ごされがちなのが、電子メール。メールはサーバーを経由する際に閲覧される可能性があり、情報の露出度は、郵便でいえばはがき程度だと言われる。「封書」とするには暗号化が必須となる。米政府の個人情報大量収集を内部告発したエドワード・スノーデン(34)が機密情報を送るのに使ったとされるメール暗号化ソフト「PGP」は優れてはいるが、相手も同じソフトを使っていないと送れない不便さもある。そこで手軽さから専門家にも注目されているのが暗号化メール「プロトンメール」。スイスの欧州合同原子核研究機関(CERN)の元研究者で台湾出身のアンディ・イェン(29)が2014年に立ち上げた。運営側は送受信内容を閲覧しない。

「ビットコインなど仮想通貨の口座を持つ人たちなどが、情報の暗号化に敏感になって利用し始めている」とイェンは語る。世界500万人以上の利用者中、国別では米国が最多だという。「トランプが大統領となり情報機関も掌握したことで、プライバシーの重要性に目覚めた人たちが、米国でも増えている」(文中敬称略)