カタパルトスープレックス

興味がない人は無理して読まなくていいんだぜ。

トップ > 書評|法学者の考えるサイバーセキュリティー|Fancy Bear Goes Phishing by Scott J. Shapiro

書評|法学者の考えるサイバーセキュリティー|Fancy Bear Goes Phishing by Scott J. Shapiro

今回紹介する書籍"Fancy Bear Goes Phishing"はタイトルを見てピンとくる方もいらっしゃるでしょうが、その通りで、ハッキングについての本です。ただ、スコット・J・シャピロはサイバーセキュリティーについての著者としては少し変わっていて、法学者で前著も法律に関するものでした。

スコット・J・シャピロは元々はコンピューターを専門にやっていて、コンピューターに関するコンサル会社もやっていたそうです。ところが途中で法律に興味が移り、法律を本職とするようになったそうです。最近ではコンピューターも法律とはキットも切れない関係になってきましたので、特にサイバーセキュリティーに力を入れているようです。イェール大学ではYale CyberSecurity Labを立ち上げて活動しているようですが、それほど目立った活動はしていなさそうです。

Fancy Bear Goes Phishing: The Dark History of the Information Age, in Five Extraordinary Hacks (English Edition)

Fancy Bear Goes Phishing: The Dark History of the Information Age, in Five Extraordinary Hacks (English Edition)

Amazon

本著での焦点は「サイバーセキュリティーは防げるのか?」「防げるのとしたらどうやって?」です。この答えを探るために5つのハッキング事件を1) なぜインターネットは脆弱なのか、2) なぜハッカーはハッキングをするのか、3)その上でどうしたらいいのかを分析していきます。この分析のためにスコット・J・シャピロはアップコードとダウンコードというフレームワークを使います。

ダウンコードは実行系。実際のハッキングを指します。アップコードはルールや規範、社会的背景です。ダウンコードは「どうやってハッキングするか」だとしたら、アップコードは「なぜハッキングするか」です。このフレームワークからも分かるように、著者はダウンコードではなくアップコードを変えないとハッキングは起き続けると考えています。

本著で取り上げられる事例はインターネット初期に広まったモリスワーム、90年代に猛威を振るったブルガリアのウィルス工場とダークアベンジャーパリス・ヒルトンのスマホデータ流出事件、本著のタイトルにもなっているロシアのファンシーベアMiraiなどのIoTマルウェアとDDoS 攻撃です。それぞれの事件に二章使われて、それぞれダウンコードの詳細とアップコードの考察をしていきます。ダウンコードの解説はよほどそっち方面が好きじゃないと細かすぎて退屈かもしれません。

スコット・J・シャピロはサイバー犯罪とサイバー諜報を分けて考えるべきだとします。

サイバー犯罪は3P(Passway, Payment and Punishment for vulnerable software)で対応を考えることができると説きます。Passwayは犯罪の入口、Paymentは犯罪からの資金入手方法、Punishmentはソフトウェアの脆弱性に対する罰則。

サイバー犯罪のPasswayについてはアメリカや西ヨーロッパと東ヨーロッパを分けて考えます。アメリカや西ヨーロッパのサイバー犯罪は若い子供が興味本位ではじめることがほとんど。自分が捕まると思ってないし、実際に捕まることは稀。自己顕示欲のためにやっていて、大人になると麻疹のように治って引退する。彼らにはモラルに訴えかけるのが効果的。脅しは逆効果。

東ヨーロッパの場合は年長者が多く、経済的な理由でやっている。技術はあるのに失業状態にある。そのため、サイバーセキュリティー業界が彼らを積極的に採用すれば多くの問題は解決すると考えています。サイバーセキュリティー業界も人材不足だそうですので。

Paymentに関してはPayPalとクレジットカードについてはすでに対応が取られており、Bitcoinがサイバー犯罪を行うハッカーの資金調達源となっています。Bitcoin自体は匿名性が高いため、交換所を抑えるべきだとスコット・J・シャピロは考えます。多くの交換所はKYCが義務付けられていますが、いくつかの国の交換所はKYCの義務がない。KYCの義務づけをもっと強くすべきだと説きます。

そして、ソフトウェア業界はもっと脆弱性に対する罰則を受けるべきだとスコット・J・シャピロは考えています。ソフトウェア業界は成長産業のために今まで強い罰則を受けてこなかった。これは昔の自動車業界に似ていると言います。自動車も安全な車を作る義務を負ってきませんでした。今では信じられないかもしれませんが。自動車業界が安全性について真剣に取り組みようになったのは1966年の「国家交通ならびに車両安全法(National Traffic and Motor Vehicle Safety Act)」からだそうです。なぜインターネットは脆弱なのかの答えは業界が真剣に取り組んでいないからだと著者は考えます。

本著は英語圏の本にしては珍しく、結論が最終章まで出てきません。事例のダウンコードとアップコードの観点からの分析がひたすら続く。中には「そんなの知ってるよぉ……」と思う部分も多くあったりして、正直に言えば途中までかなり退屈でした。カーネマンの二つの思考モードの話なんて「いまさらこれかよ」でしたし。本著の結論のサマリーはこのブログエントリーで書きましたので、興味がある人は最終章から読むことをお勧めします。それから事例に興味があれば第1章から改めて読めばいいかと。