ワシントン州レッドモンド発--先ごろ、シアトル郊外にあるMicrosoft本社のExecutive Briefing Centerは、数百人のMicrosoftエンジニアが交わす雑談でざわめいていた。
だが、会議が始まってまもなく、会場は静まり返ってしまった。ハッカーが1台のWindowsラップトップを悪質な無線ネットワークにおびき寄せることに成功したのだ。
「みんな唖然として、声も出なかった」と、Microsofotのセキュリティ部門でプログラムマネージャを務めるStephn Toulouseは言う。「みんなの息の音さえ聞こえなかった」(Toulouse)
このデモンストレーションは、2日間にわたって開催された異例のイベントの一部として行われたものだが、Windows帝国の心臓部に招き入れられた部外者には、Microsoftのシステムの弱点を攻撃するという差し迫った目的があった。Microsoftはこのイベントの開催を公には発表しなかったが、「Blue Hat」と名付けられたカンファレンスは、広く知れ渡っている「Black Hat」セキュリティカンファレンスの向こうを張ったもので、その名前はMicrosoftのコーポレートカラーである青をもじって付けられたものだった。
3月に開かれたこの会議は、ハッカーコミュニティの代表者と彼らの主要なターゲットであるMicrosoft関係者とのサミットであり、世界最強のソフトウェア会社にとって、セキュリティがいかに重要なものになってきたかを示すものだった。Microsoft会長のBill Gatesは今年の初めに、同社は毎年研究予算の3分の1を上回る20億ドルをセキュリティ関係の事柄に注ぎ込んでいると見積もっていた。また、先ごろ開かれたTechEdイベントをはじめ、同社の開発者向けカンファレンスでも、セキュリティは中心的なテーマになっている。Microsoftは、同イベントに参加した1万1千名の開発者に、Windowsに加えたセキュリティ関連の強化機能を売り込んでいた。
Blue Hatは、別の、目に付きにくい部分でも大きな意義があった。この会議では、ハッカーコミュニティの内部の様子が垣間見られたのだ。そこは、システムを守ろうとするネットワークエンジニアと、それに挑戦するハッカーとが、互いに追いつ追われつの技術競争を繰り広げており、そのなかで倫理的な境界線が時としてあいまいになることもある世界だ。このイベントを通じて、どちらの側も、お互いの内部的な仕組み、文化、心理を初めて目の当たりに経験することができた。
「2つのグループが完全に対立する結果になるか、それともみなが協力し合うような雰囲気になるのか、私にはまったくわからなかった」と、Dan Kaminskyは語る。同氏は、このイベントでプレゼンテーションを行った外部の人間の1人だ。同イベントに参加したハッカーの多くは「セキュリティ研究家」という職業上の肩書きを持つが、これらの参加者と同じく、Kaminskyは協力的な雰囲気でカンファレンスを終えることができたと述べた。
それでも、非常に熱のこもった雰囲気の中で、参加者の感情がむき出しになるまでにそれほど時間はかからなかった。
MicrosoftのMatt Thomlinsonは、同社のエンジニアに力を貸してより安全なプログラムをつくらせることが仕事だが、同氏によると一部のエンジニアは、ハッキングのデモを見て怒りを募らせたという。だが、同氏はMicrosoftのエンジニアらがこの問題を自分のこととして受け止めたことをうれしく思ったと述べている。
Thomlinson自身、安全なコードを書くことの必要性をエンジニアたちに訴えてきたが、彼がいくら講義しても同じようなインパクトを与えることはできないと言う。彼は、自分の頭を指差して、「私のレクチャーはここに訴えるものだ。それに対して、自分たちが書いたコードがハッキングされるのを目の当たりにするのは、まったく別の話で、腹の奥底にこたえる経験だ」と説明する。
Microsoftのスタッフらは、2日間にわたり、いろいろなハッキングの手法について学びながら、繰り返しそんなボディブローをくらった。1日目には、同社の上級幹部数人を含む数十人の幹部らが、仮設の新兵訓練所でしごかれるような経験をした。この参加者のなかには、MicrosoftのWindows責任者であるJim Allchinや、Windowsの中核部分の開発責任者であるBrian Valentineも混じっていた。また、2日目には約400名のWindowsエンジニアが集まったが、このなかにはセキュリティが必ずしも日々の業務ではない者も多くいた。
Allchinは、単なるハイレベルのソフトウェア担当幹部ではない。IT業界では、Allchinと言えば、Windowsオペレーティングシステムと同義語だ。Blue Hatの開催を強力に支持したAllchinは、Windowsグループのメンバーにセキュリティの問題についてただ話を聞くだけでなく、実際に自分の目で確かめてほしいと考えた。
「私はすでに、ハッキングに使われるさまざまなツールについて、何日もかけて個人的なトレーニングを受けていた。個人的にも、ハッカーたちのふところに飛び込んで、彼らの視点から物事を理解してみたかった」(Allchin)
このイベントは、比較的安全にそういう経験ができる機会となった。正義漢の「White Hats」とハードコアの悪者である「Black Hats」が対立するセキュリティの世界で、Blue Hatに参加したハッカーらは闇の世界を代表しているとはいえなかった。何らかの色がついているとすれば、それは若干灰色が混じった程度のものでしかなかった。
Microsoftがこのイベントを開催した大きな理由が、実はそこにあったという可能性がある。つまり(Microsoft製品に)セキュリティ上の欠陥を見つけた際に、それを公表するか否かを選択できる影響力の強いグループを味方に引き入れることが狙いだったのかも知れない。Microsoftは、同社が「責任のある開示」と呼ぶものがどんなメリットをもたらすかについて、頻繁に説明を行っている。
だが、セキュリティ研究者らにとっては、Microsoftの動機よりも、むしろMicrosoft製品の開発者らに直接会って、自分たちがどんな考えで仕事をしているかを説明する機会のほうが重要だった。
「私が日々扱っている問題について責任があり、しかもそれを解決できる人間に対して、自分の考えを述べる機会は滅多にない」と、HD Mooreは言う。セキュリティ研究者の同氏はまた、欠陥を発見してからそれを公表するまでに30日の時間をおくというこれまでのやり方を変えることはないと述べている。「私が発見した個々のバグについて、(セキュリティ対応チームの連中と)電子メールを1年間もやり取りをするつもりはない」(Moore)
だが、Mooreも、Microsoftがパッチを作成するのに、なぜそれほど時間がかかるのかがよく分かるようになり、製品を作る人々に対する印象も変わったと言う。「彼らのセキュリティポリシーやバグレポートの扱い方には賛同できないが、とりあえず彼らが自らの言葉を信じて行動していることはわかった」(Moore)
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス