パスワードを忘れた? アカウント作成
4941 story

本家インタビュー:ケビン・ミトニック 68

ストーリー by GetSet
翻訳作業に感謝 部門より

yh 曰く、 "本家インタビューの翻訳シリーズの第3回目は、先ごろ保護観察期間を終え8年ぶりにネットに復帰したハッカーのケビン・ミトニック氏にご登場いただきたいと思います。

2週間ほど前に本家で募集された質問に対し、現在各種メディアからひっぱりだこで大忙しのミトニック氏から詳細な長文の回答が寄せられました。これは、そのインタビュー部分を訳出したものです。
インタビューでは、著書の失われた第1章でも扱われたジョン・マーコフ記者との確執に始まり、逮捕の瞬間まで何をしていたのか、現在の技術にどうキャッチアップしていくのか、犯罪歴のある人間としてどう信頼を得ていくのか、などの手厳しい質問にも答えています。
では、早速、ご覧ください。

1) ジョン・マーコフについて
Memophageによる


1995年以来伝えられていたのは、ジョン・マーコフがあなたについて書いた情報に主に基づいた非常に多くの記事や3冊の本や映画ばかりでした。彼の記事や、記事によってあなたの信用を傷つけられたこと(特に、1995年のニューヨーク・タイムズ紙のあの記事)、そして、逮捕を逃れようとしていた当時から彼の断定に反論が叶わなかったことについて、あなたは怒り散らしている、と聞いています。あなたが異議を唱えたい情報の誤りは何ですか? また、この1人の記者があなたの人生にもたらした被害とはどれほどのものですか?

ケビン:

ジョン・マーコフは、彼の前妻ケイティ・ハフナーとの共著"Cyberpunk"(※邦訳『ハッカーは笑う』)の中で、初めてぼくを中傷した。1990年頃のこと、マーコフとハフナーは、ぼくを含め3人のハッカーに関する本を書きたいといって、その参画を求めてきた。ぼくは、彼らの依頼を検討してみて、ぼくの時間や権利への補償はいくら出るのかと聞いてみた。マーコフもハフナーも、倫理的ではないとして、情報源としてのぼくに支払うのをしぶった。ぼくは、話をタダですることこそ倫理的でないと説明をした。そして交渉は行き詰まりになった。

少し経ってから、マーコフかハフナーが最後通牒を突きつけてきた。協力するか、あるいは、どんな情源による記述も事実をして報じられることを呑むか。それで、マーコフとハフナーが何をしたいのかがよく分かった。マーコフかハフナーかが、ぼくの共犯者だったスティーブン・ローズやレニー・ディッチコを含めた他のフリーカーやハッカーに取材をした。そのうちの誰かが、ぼくが1983年にNORADにハッキングしたと間違った主張をした。1983年というのは、"Wargames"という本が発売された年でもあった。ぼくは、NORADやその他のどんな軍事施設にも、侵入したことはないのだ。マーコフとハフナーは、彼らの主張の信憑性をウラも取らずに、「事実として」ただ記載したのだ。

90年代の初め、その本は出版され、その本でぼくは究極の「ダークサイド・ハッカー」として描かれていた。ぼくがタダでは協力やインタビューにも応じないとしたから、マーコフとハフナーが悪意でやったのだと、ぼくは確信した。彼らは、嘘の記述で固めたりして、ぼくに不利な光の当て方をするためには努力を惜しまなかった。おそらくは、ぼくへの嫌がらせと、「お話」を面白くするために。

マーコフの本が出版されて何ヶ月かした後、ある映画プロデューサーからいいニュースだと電話があった。それは、ハリウッドが"Cyperpunk"に描かれたダークサイド・ハッカーの映画化に興味を示しているというものだった。ぼくは、そのストーリーは、ぼくについての嘘と不正確さに満ちていると指摘した。けれど、それでも彼はそのプロジェクトに乗り気だった。ぼくは、2年間のオプションで5,000ドルを受け取った。それは、話が進めばさらに45,000ドルが支払われるというものだった。そのオプションが失効すると、製作会社は6ヶ月の延長を申し出た。ぼくはそのときには働いていてお金もあったので、好意的でなく間違った脚光を浴びた姿に描かれる映画を見る気にはなれなかった。延長の申し出を断ったのだ。それで、マーコフやハフナーなど、映画化で大金をつかもうと考えていたであろう全員に話がナシになった。ここに、ジョン・マーコフがぼくに復讐心を燃やすもう1つの理由がある。

ローリーの裁判所に二度目に出廷した1995年2月17日まで、ぼくはマーコフ氏に会ったことはない。そのときには、マーコフ氏は、ニューヨーク・タイムズと1991年の本"Cyberpunk"で、ぼくについて名誉毀損で中傷的な報道を行った功績で、文字通り億万長者になっていた。――おっと、「報道」という言葉をルーズに使ってしまった。

1994年7月4日、ニューヨーク・タイムズの1面にマーコフ氏の記事が掲載された。その記事には、ぼくに関して、ソースに基づかない数え切れないほどの勝手な主張が事実として記載されていた。それらはウラを取る最小限のプロセスさえ経ていないもので、真実でもなく証明されてもいないものだった。

その中傷的な記事の中で、マーコフ氏は、ぼくがFBIを盗聴したとか(してません)、NORADのコンピュータに侵入したとか(それらは外部のネットワークには接続されてません)、ぼくがコンピュータの「破壊者」だという主張をした。ぼくがアクセスしたデータはどんなものでも故意に破壊したことはないという事実をよそに。マーコフ氏は、ぼくを映画"War Games"のモデルだと書きさえしたが、その映画の脚本家に電話を1本入れると、彼がその脚本を書いたときには、彼はぼくのことなど聞いたこともなかったのが明らかになった。

ぼくの逮捕についてマーコフがニューヨーク・タイムズ紙に書いた続記事では、同様の噂の多くが繰り返された。マーコフは1994年の記事で、ぼくセキュリティ・パシフィック・バンクの採用取消になったとき、同銀行が数百万ドルの損失を被ったという偽のニュースをぼくが流したと、非難した。その主張もまた間違っている。ぼくに関するマーコフの主張は言語道断で、ぼくの事件で被害を受けたインターネット・サービス・プロバイダThe Wellは、マーコフ氏に、ぼくがもたらした損害を過大に表現したことを撤回するように要請している。

過去10年間で、ぼくは非常にたくさんのことを学んだ。ニューヨーク・タイムズのぼくに恨みを持つ非倫理的な記者には、不正確でまったく間違った発表を繰り返し行うことで、ぼくの人生を台無しにする力があったことを学んだ。読者には、マーコフ氏が、1994年7月4日、ぼくについて中傷的で間違った記事を書くよりも前から、ぼくとは、そして下村努とは関係があったことを書き落としているのを思い起こしてほしい。マーコフ氏は8年以上にも渡ってこの事実を隠しつづけているのだ。

何度も繰り返したけれど、ぼくが犯した罪は悪いものだ。そして、ぼくは処罰に値する。ぼくは結局5年近く服役をした。ロンポックの刑務所を出所した日に言ったように、ぼくは犯した罪を逮捕後すぐには認めていたのだ。悲しいことに、マーコフ氏は、そんな罪の意識は伝えてくれなかった。ぼくとその人生についての嘘を書き続けて「報道」するばかりで。

司法省は、ぼくにコンピュータ・テロリストというレッテルを貼ったり、そのようなものとして扱ったのではないことを心から信じたい。マーコフの嘘で中傷的な報道を信じたのでなければ。

2) 何を考えていたんですか?
caferaceによる


あなたは、後に火傷を負うことになったいたずらをしていた間、EFFのThe WELLのアカウントを使って下村努氏から盗んだファイルを隠しましたね。あなたがどうしてそんなお粗末なことをしたのか、私はいまだに理解ができません。最終的には、それは使われているアカウントだと分かったわけです。あなたは、そのアカウントの所持者が技術的に充分通じていてディスク使用量が急上昇したのに気づくであろうと推測できてはいなかったのですか。単にハッカーとしての自信過剰から来たものだったのでしょうか、あるいは単に注意を怠っていたのでしょうか。それこそがあなたを逮捕へと導いたわけで(FBIはあなたのキーストロークを監視していたし、IPを常時追跡していたのです)、私は非常に好奇心をそそられているのです。

ケビン:

下村氏のコンピュータ・システムにアクセスしたり、The Wellに情報を保管したのはぼくだけじゃない。非常に興味深いことだが、ぼくが逮捕されてしまうと、当局は共犯者の存在についての捜索は行わなかった。ケビン・ミトニックは彼らがフライにしたかったただ一匹の魚だったわけだ。

ぼくが使っていたアカウントはどれであれ最低3ヶ月は使われていないものだった。ぼくはそのアカウントのパスワードを変えて、他のハッカーと共有した。ディスクの占有を定期的に調べるスクリプトを動かすチェッキング・クロンがあったことは見過ごしていた。ディスク使用量が超過していることをクロン・プロセスがユーザーに知らせるまで、ぼくたちは気づかなかったのだ。同時に、Wellに置いたのは、ぼくらの情報のバックアップだけだったので、実は注意していなかったのだ。同じファイルはオランダのいくつかのサイトにミラーされていた。下村やFBIは見つけられなかったけれど。(ぼくはコピーを持ってませんが。)

The Wellにアクセスしている間は、のほほんとしたものだった。ぼくの所在地は、他の多くのコンピュータ・システムや携帯通信網を経由することでマスクされていたから。典型的なUNIXのアカウンティングやログ取りを避けるための秘密のバックドアを仕込んで注意をすることはできただろう。けれど、それは面倒くさかった。

トラップや追跡を避けるべく、彼らのスイッチにアクセスするために地方の回線業者や携帯電話会社に繰り返し定期的に侵入していた。ぼくの接続がそれと分かったとしても、追跡するのがすぐには非常に困難な経路へとデータを移せた。ある報告では、下村やFBIは発信地までは追跡できず、特定できたのは携帯電話会社だけだったと、下村が公言している。

捜査から逃げるにあたって、追跡のスピードや、FBIと下村が共有している、データの追跡やトラップに関する機密情報を、ぼくは過小評価していた。携帯電話会社は、着信から追跡するのではなくて、NetcomのPOPダイヤルアップ接続を調べる課金データベースで番号の追跡を終らせていた。思っていたとおり、電話会社はぼくがそのとき使っていた携帯電話の発信地とMIN(Mobile Identification Number)を突き止めていた。ぼくが最低でも1日1回電話番号を変えるようになってから、携帯電話会社のエンジニアは、データを送ろうとする者全員の発信地を監視していた。下村、マーコフ、そして電話会社のエンジニアは、Cellscope 2000を使って、携帯電話のシグナルを、発信地(つまりぼくの居場所まで)まで追跡したのだ。

逮捕の2週間前にローリーへと移ってから、ぼくは、使っているダイヤルアップ回線の本人確認(つまりはトラップと追跡)のチェックを怠っていた。逮捕の数時間前はDMSスイッチにアクセスすると、CLI(Caller Line Identification)がリサーチ・トライアングル・パークのNetcomに割り当てられているダイヤルアップ接続の捜査グループにあることに気づいた。ぼくは、調査の進捗程度やトラップを仕掛けている人間を、すぐに調べ始めた。誰かがThe Wellのサブネットから、ぼくがescape.comで使っていたアカウントにアクセスしているのが分かった。ログを調べようとし始めたそのとき、連邦裁判所の執行官とFBIがぼく家のドアを叩いたのだ。

3) どうやって時代の速度に追くつもりですか?
bloxnetによる


あなたについて書かれたものを少々読んでみましたが、投獄以前もあなたは怠け者はなかったわけです。そして自由の身になった。しかし、実のところ保護観察の制約下での行き詰まりがあなたにあるとすれば、どうやってコンサルタントへと飛躍しようと考えているのですか?

悪く思わないで聞いてほしいのですが、あなたがひとにアドバイスできることといったら、ソーシャル・エンジニアリングや簡単なパスワードくらいでしょう。PKI、VPN、ファイアウォール、IDSに関して、あなたはどんな知識を持っているのですか。それらの原理について付け焼刃の理解では、(すくなくとも私がお金を払いたいと思うような)コンサルタントとして活躍するには充分とは思えないほどに状況は変わっているのです。

ここ2~3年でたくさんのものが根本的に変わりました。あなたはどうやって時代に追いついてきたのか、あるいは、これから追いつこうと計画しているのでしょうか。最新のOSのスペックや管理タスクは本を1冊読むぐらいでは理解できないし、充分な経験なしにはコンサルタントになれるとは思わない。言語、OS、セキュリティ、その他技術の発展の速度に追いつくには、あなたの場合、何年も何年もかかることでしょう。

つまるところ、あなたが数年前に持っていた能力を、現在の基準で同じくらいまで高めるために、どんな計画を夢想しているのですか?

ケビン:

誤解が大きく広まっているけれど、ぼくがターゲットに侵入するために使っていたのは、ソーシャル・エンジニアリングだけじゃない。とはいえ、ソーシャル・エンジニアリングは、テクニカルな探索術に頼らずにゴールに到達するのには、非常に効果的だと思っている。ぼくは、最もリスクが小さくコストがかからない最も脆弱な接点を探すことをしていたわけだ。これは、たったひとつの接点だけに焦点を当てるというよりむしろ、大きな絵を見るということ。言ってみれば、攻撃者が、気づかれずにサーバ室に足を踏み入れることができるのだとすれば、すべて彼女が書いたとおりだね。

セキュリティ技術がここ10年で発達したのはきみの言うとおり。でも、刑務所でぼくの読む本が制限されていたからといって、ぼくは真空状態で生きてきたわけじゃない。この業界のトレンドにはちゃんとついてきていたし、保護観察期間が切れる前の1年は、インターネットにアクセスしない限りなら、コンピュータを使うことも出来た。ファイアウォール、OS、コンフィギュレーション、そしてパッチ管理などのセキュリティ技術に取り組んできた充分な経験がある。PKIやIDSに関しては、2002年1月にやっとコンピュータの使用が許可されるようになるまでは、本を読んで技術に追いついていた。もちろん、セキュリティ技術は急速に発達しているから、学ぶべきものはまだまだたくさんある。けれど、ぼくは時代に追いついていないわけじゃない。

セキュリティって、陳列棚から買えるような商品じゃないよね。ポリシーや人間、プロセス、テクノロジーの産物なんだよ。

4) ソーシャル・エンジニアリングについて
dr_dankによる


私はあなたの本は読んだし、昨夏のH2K2にも出席しました(次回はお話が聴けるのを楽しみにしていますね)。さて、ソーシャル・エンジニアリングのパネルへの質問です:

ソーシャル・エンジニアリングの失敗談はありますか? つまり、相手に計略を見抜かれて、情報を引き出せなかったことは?

ケビン:

まったくないです。

もしターゲットが非協力的であったり猜疑的であれば、疑われるのを避けるために、ぼくは要望を取り下げる。そして、違うひとに当たることにしているんだ。

ある機会に、友人のひとりから、彼のSprint Foncardの番号を引き出すのに挑戦しないかと持ちかけられた。成功したらディナーをおごってくれるって言われて。ディナーとは魅力的だったので、カスタマー・サービスにIT部局を装って電話した。そして、彼女ではコンピュータの操作が困難なら、担当者を出すようにと頼んだ。操作は彼女でできた。自分がサービス・センターにちゃんと勤務する人間であるとあとで証明したかったので、彼女が操作している、顧客のアカウントにアクセスするシステムの名前を聞いた。彼女は教えてくれた。その直後、ぼくは別のサービス担当に電話をした。ぼくのコンピュータがダウンしていて、顧客のアカウントを取り出せないのだと彼女に告げた。彼女は端末につないだ。ここで、ぼくは彼女にその顧客のFoncardの番号を聞いた。すると、彼女はぼくに何百万もの質問をなげかけた始めたのだ。もう一度、あなたのお名前は? 勤務先は? 住所は? そうなんです。ぼくはきちんと下調べをしていなかったので、名前を場所をでっちあげた。うまくいかなかったね。ぼくの電話があったことをセキュリティ担当に報告するって言われてしまった!

彼女の名前を聞き出すと、その友人にその場で概略を伝えて、「セキュリティ調査員」が報告を聞きにいくのを装って電話してもらった。彼はカスタマー・サービスに電話しなおして、その女性に転送してもらった。その「セキュリティ調査員」は、不審な人物が、アカウントを持っている顧客の個人情報を聞き出そうと電話をしてきたという報告を受けている、と言った。彼は、その「疑わしい」電話の詳細を聞いた後、その電話をしてきた者が尋ねたのと同じことを聞いた。彼女はその顧客のFoncardの番号を言ってしまった。その「調査員」は番号を尋ねたのだった。彼女は彼に番号を伝えてしまったわけだ。やったね! というわけで、おしまい。

5) 大事な質問です
GMontagによる


私のPayPalアカウントのパスワードはなんでしたっけ? ちょっと前に忘れてしまったのだけれど。

ケビン:

guym0nt4gだよ。お役に立てればいいけれど。

6) どんな気持ちですか?
Piiによる


Slashdotは、テクノロジー界の「ロック・スター」(Linus、ESR、RMS、Bruce Perinsなどなど)には欠いていないわけです。ですが、彼らのほとんどは、法律上最大限の訴追を受けて名を馳せたわけではありません。あなたは、顕著な例外であるわけです。ロック・スターみたいなものですね。いまやあなたは、ご自分の名誉に思う存分金銭的な意味で乗じることができるわけです。法といざこざを起こして、いまや約束された地位を得ているわけですね。

ケビン:

ロック・スターだって? おもしろい。ぼくの担当だったWileyの編集者も、去年のRSAセキュリティ・カンファレンスで、ぼくに同じことを言いましたね。でも、ぼくはロック・スターという気はしてないね。最低でも、ぼくの銀行預金はそれを反映してないし。Eminemとパートナーを組むべきかな。

本当のところは、ぼくは、名声や栄誉を求めたハッカーでは決してないのだよ。2人の記者(ニューヨーク・タイムズのジョン・マーコフとロス・アンゼルス・タイムズのジョン・ジョンソン)には感謝しなければならないね。それから、ぼくの事件をセンセーショナルにするのに異常な熱意を燃やしていた連邦検事にも。

1995年2月、ぼくが捕まってすぐ後、国家セキュリティのために、ぼくにCIAの報告会に参加してほしいと連邦検事が要請していると、弁護士から伝えられた。ぼくは大声で笑って、もう1度言ってくれと言った。そのばかげた要請に応じると、彼らはすぐに興味を失った。検事たちは、初のハッキング・スパイ事件の審理をしたかったらしかった。ぼくの等身大より大きく誇張された評判に比較して、この事件の真実の小ささを認識してしまって、司法省はかなりがっかりさせられたに違いない。それにもかかわらず、ぼくは、産業スパイとして告発された人間よりもひどい扱いをうけた。理由の大部分は、ぼくが「コンピュータ・テロリスト」みたいだったということで。当局はその主張を支持するどんな事実も指摘していなかったのだけれどね。

ひとつ良かったのは、ぼくの事件が世界的な注目を浴びたこと。大部分は、誇張されたことと、被告人としてのぼくの憲法上と法律上の権利が完全に無視されたことによる。より具体的には、拘置所内の公衆電話でぼくが核攻撃の指示を出すのを阻止するためにぼくは8ヶ月も独房に入れられていたし、保釈の聴聞もしてもらえずに4年半も拘禁されていたのは前代未聞のことだった。

素直に言ってしまうと、ぼくは、世界のネットワークに侵入したりソースコードをコピーしたことへの大きな代償は払ったと思っている。ぼくの知識と才能は、セキュリティ・リスクを低減するためのビジネスに貸すことで活用したい。もちろん、知名度は顧客獲得に役立つ。ぼくの最初の目標は、世界一悪名高いハッカーというイメージを、ポジティブなものへと変えることだ。

7) 信頼に関する疑問
Neck_of_the_Woodsによる


あなたはクラッキングを行っていた日々のことをもう済んだことにしようとしているのだろうと、私は理解しています。それでいて本気で、コンピュータ・セキュリティ業界のあなたへの信頼の疑問に対処しようというおつもりですか。あなたのセキュリティ業界への参入は、業界筋からはどう受け止められているのですか。そして、あなたがいじったものは信頼されているのかという露骨な質問をされたらどう答えますか。

ケビン:

情報セキュリティでのぼくの経験は、情熱と良い意味での希望とにマッチしていると思う。もちろん、更生したハッカーを雇うなんて問題外だと考えるひともいる。でも、誰でもそうだという評価には同意できない。実際には、引退したとかかつてのハッカーでも、セキュリティのプロフェッショナルとしてリスクの低減に力を貸すというまっとうな職に就いている。

信頼の問題は、ぼくが直面する困難な挑戦となっている。多くの人は、ニューヨーク・タイムズでのジョン・マーコフの報道が創り上げた「ケビン・ミトニックの神話」を信じている。ぼくは、ぼく自身が犯した罪は言うまでもないが、犯してもいないコンピュータ関連の犯罪でも誤って告発された。ぼくは、そういった神話が、事実にまったく基づかずに、人びとにぼくについての考えを形成させてしまったのだと強く信じている。

以下に詳述したように、ぼくは、信頼された地位で背任をしたり、違法行為で利益を得たり、コンピュータ・システムや情報を故意に破壊したという咎で告発されたことはない。ぼくがしたのは、セキュリティの脆弱性を見つけるため、コンピュータ・ネットワークを不法にハッキングして、ソフトウェアを見たりコピーしたことだ。ぼくがしたことは間違っているし、後悔もしているけれど、自分自身を前科のある産業スパイや横領犯と同じカテゴリーに位置づけることはしない。口先よりも実践が大事。というわけで、ぼくの知識と経験と経歴をもって、政府やビジネスの防御に助力している。

ぼくは心機一転といきたいんだけれど、ぼくへの批判は実に声が大きくて、ぼくのサービスを受けようとするひとの意欲を落とさせている。利害の衝突は、同じ産業で働く同業者のいくつかの判断に影響するかもしれない、と言っておきたい。技術やプロセスの脆弱性を発見することでビジネスに力を貸すには、悪意のない(つまり害を起こす意図のない)かつてハッカーだったひとが、非常に価値があるのだ。

この問題は実のところバランスの問題だ。(元ハッカーの)社員として採用しようという人物が、その人物を雇うリスクを上回る十分な知識と経験とスキルをもたらしてくれるとしたらどうだろうか。そのビジネスへのリスクを測るには、その人物の経歴と価値と信念と目的と態度をよく吟味しなければならない。いくつかのケースでは、リスクが低いとかまったくない仕事をさせるのに、雇うことができるだろう。ぼくが固く信じているのは、一度、社会へ過去の罪を精算すれば、その人物は、社会のためになるようなまっとうな職に就く機会を求める自由があるということだ。

人間は人間だもの、間違いもする。ぼくたちは、事実を受け止めて、兄弟や姉妹を許しさえすればいいのだ。

8) いまでも通用しますか?
adamruckによる


今日のテクノロジーの状況や、最近成立した法律のいくつかを前提とすると、あなたが採っていたやり方はいまでも可能だと思いますか?

ケビン:

ご質問は、セキュリティ技術の発達や、当局に大幅な捜査権限を持たせるような新しい法律の施行を踏まえても、ぼくが何年も前にやっていたようなものと同じハッキングの芸当がいまでも通用するのかどうなのか、ということだと思う。

まず、ぼくは教訓から学んでいる。ぼくの過去のやり方は、ぼくには関係ない。ぼくが違法なハッキングをしていた日々は遠い昔のことになったのだ。

システムやネットワークを破るのは、10年前より今日ではずっと簡単になっている。ぼくは、セキュリティの脆弱性を見つけたくて、ソースコードを(不適切な方法で)入手して検討するのに多くの時間を費やしてしまっていた。いちど脆弱性を見つけると、それを活用するためのコードを書く。で、ちょっとすると、時間を食うコードを実行させるわけだ。

ハッキングをしてた頃、ぼくのお気に入りのOSを作っているCERTというソフトウェア会社や、セキュリティ脆弱性を報告している選り抜きの「セキュリティ研究員」グループに侵入した。当時のぼくの目的はすべてのセキュリティ・ホールの知識を身に付けることだった。

今日の世界では、インターネットに接続できる人なら誰でも「セキュリティ評価」ツールや保護プログラムを入手することができる。これは、攻撃者が彼/彼女のターゲットに侵入するときにも使われている。そのツールがどういう仕組みで動くのか、あるいはバグがどう悪用されるのかを知ることさえなくても使えるのだ。

もう1つ策を講じるやり方があって、それは、セキュリティ上のバグではない脆弱性を悪用してシステムとネットワークに侵入する方法だ。ターゲットには、人事上のセキュリティや、身体的なセキュリティに限りがあったりするし、あるいは、攻撃者がターゲットへ到達するための鍵を入手すべく、信頼されている内部の人間を騙したり買収したりするかもしれない。

不幸にも、あまりに多くの組織が、ファイアウォールだとかアンチ・ウィルスソフトだとか、典型的なセキュリティ技術を求めて実行して、セキュリティに関して誤った理解をして安心している。それらの技術はリスクを低減させるには不可欠ではあるだけれど、ぼくの経験では、ターゲットに侵入するのには、テクニカルな攻撃方法にソーシャル・エンジニアリングを併せている。これは致命的な組み合わせだ。人が操られたり騙されたりすることを終らせる技術はこの世にはないのだよ。http://www.sqlsecurity.comというサイトにあるように、「おろかさへのパッチはないのだ」。

ぼくの逮捕から10年ほど経ったけれど、いまだに、コンピュータ・システムとネットワークへの攻撃が毎日成功している。「より多くのものが変化するほど、より多くのものは変わらない」ということわざが思い出されるね。

Patriot Actのような新法は、捜査員により大きな捜査権限を与える。でも、それでコンピュータ犯罪やハッキングが壊滅できるわけじゃない。ハッカーの頭にあるのは、本当のところは、違法行為の帰結ではなくて逮捕されるリスクの計算だ。

新しい連邦法は、ハッカーが特定されるリスクを確かに高めはする(司法審査なしで捜査をより行うことができるのだ)。とはいっても、より洗練されたハッカーは、広く普及した公衆無線ネットワークみたいな新しい技術を使って、当局のレーダーから逃れるのだ。

ある種のハッキングによる攻撃行為を執行猶予なしの懲役刑にできるという現行連邦法の改正は、ばかげた話だ。具体的には、州際通商に影響するコンピュータを用いて、見境なく故意にひとに重傷を負わせたり死なせたりした者は、罰を受ける可能性がある。攻撃の道具としてコンピュータを使うことで、どうしてそんな深刻な状況になるのだろうか。銃とか、自動車とか、ナイフとか、ハンマーとか、毒は問題じゃないのだろうか。危険なのはどれも同じだろう。違う? クルマを暴走させて、人をひき殺したり重傷を負わせたりしたら、その人は残りの人生は拘禁されるべきだろう。カリフォルニアでは、それは過失致死と呼ばれているよ。

サイバー・テロリズムを誇張したから、コンピュータを犯罪の道具として使われる恐れが生まれたんだと思う。不幸にして、ぼくの考えでは、司法省は自分たちの予算と権限を大きくするためのアジェンダを推進したくてFUD(Fear, Uncertainty, Doubt)を悪用しているんだと思う。

9) ファンに何と言いますか?
PhysicsGeniusによる


刑務所に入る原因となった行為をあなたは後悔していると聞いています。また、自分は間違っていたと言っているとさえ聞いています。「あなたの名誉のために」サイトをハッキングしたり、女の子に嫌われる覚悟で"Free Kevin"と入ったシャツを着ている熱狂的ファンたちにどう応えますか? あなたが更生したことにしても、彼らには恩を感じていますか?

ケビン:

ぼくは、コンピュータのハッキング活動を含めて過去に行った行為を本当に後悔している。ぼくがしたことは法に照らして間違っているし、処罰に値する。

とはいえ、ぼくの事件の量刑は非常に厳しくて罪の重さにはそぐわない。ぼくの行った違法行為は、子供に性的いたずらをした者や家に強盗に入った者と同等(このあやういアナロジーは以前も聞いたな)ではなくて、ソフトウェアを違法コピーした者と同等だと思っている。

ぼくの事件が違うのは、そのソフトウェアがプロプライエタリなものだったことだ。ぼくは産業スパイでもなかったし、不正アクセスをした情報やシステムを壊したり益したりをもくろんだわけでもない。当局は、ぼくを悪人に描くために、報道や法廷で、ぼくが数百万ドルの損害を与えたのだと嘘の主張した。本当のところぼくは自分がもたらした損害を悔やんでいるけれど、それが100万ドル近いなんてことはない。当局がそんな数字を作り上げたのは、昔からの窃盗や詐欺事件に用いるのと同じ算定式を使っていることによる。ある者が、お金やモノを盗んだとしたら、連邦の量刑指針では、失われたり損害を被ったりあるいは破壊されたその損失額の価値を用いることになっている。その算定式は有体の財産ではうまく機能するけれど、問題となる財産が「情報」、つまりぼくの事件ではソースコードだったのだけれど、そういうことになると、同じ算定式を用いても意図どおりの実際の損失を表すことになるのだろうか。当局は、ぼくがコピーしたりオンライン上で閲覧した情報(ソースコード)の価値として、被害者たちにR&Dのコストを提示するよう要請した。連邦検事は、ぼくがアクセスしたソースコードに関係するR&Dのコストをただ単に足し合わせて、損害額として約3億ドルという数字を用いたわけだ。ぼくがソースコードを故意に利用したり公開したとは主張もしなかったのにだ。充分に興味深いのは、ぼくの被害者で、ぼくの活動で被った損害を株主に対して有価証券法で定められた報告をしたところはなかったということだ。残念なことに、メディアの誇張によって、ぼくがそういった莫大な損害をもたらしたんだと、みんなは信じさせられているわけだ。

この日に至るまで、この「算定式」は、政府当局がぼくをコンピュータ・ハッキングの見本に仕立てようというアジェンダを推進するために用いられたのだと、ぼくは信じている。ぼくは、ハッキングを通して社会的に容認されないような行為を行ったけれど、ぼくは、世界を破壊することができる神話のレックス・ルーサー型の人物として描かれていた。この言葉を綴ると、中傷的な本"Takedown"(※邦訳『テイクダウン』)の出版キャンペーンをぼくは思い出す。彼は世界に足枷をすることができた。彼を止めるのはただひとり、下村だ。どうぞ!

  • 何をおいてもまず、ぼくは、刑務所の電話から核戦争を起こすなんてことはできない。それを検察官が言い張って、結局8ヶ月も独房で過ごすことになってしまった。


  • ぼくの刑が決まるまで、ぼくは4年半も連邦拘置所で過ごしたのだった。


  • ぼくは、アメリカ史上唯一の、保釈聴聞会が開かれないまま拘禁された人物だ。


  • ローリーでの逮捕の際、ぼくの家は白紙の捜査令状で捜査されたのだった。


  • 政府への情報提供者ロン・オースティンは、同時にぼくの弁護士の事務所で働いていた。

"Free Kevin"キャンペーンは、連邦検察と連邦判事が起訴されたどんな者をも保護する法律や憲法上の権利を無視していたことに気づいたひとびとのグループが音頭をとったものだ。びっくりしたのは、ぼくの処遇を正当化するひとがいたということだ。それを念頭において、それが先人たちが戦って命を落としてまで維持してきた、ぼくたちが大切にしている自由と不可侵の権利であることを思い出してほしい。これらの不可侵の権利には、被告人すべての憲法上そして手続上の適正手続きが含まれている。ぼくを中傷するひとたちも、もし、彼らやその家族が同じような扱いを受けたとしたら、考えを変えるだろう。ぼくはそう思う。ぼくは、4年半も拘置所で、推定無罪の人間として過ごした。というのも、連邦検事たちは、この事件を取り仕切る判事たちを操るのに非常に長けていたから。たとえば、ある検事が主張するに、弁護士はラップトップ・パソコンにある電子証拠をぼくに見せることができるべきではないといった。なぜなら、ぼくがどういうふうにかして拘置所のコンピュータを破り、ぼく自身の身柄を解放し、あるいは、そのコンピュータからウィルスなりワームなりを取り出して書き込んだりして、自由な世界に大混乱を引き起こすことができるからだ、といった。ぼくは、裁判官がそのシナリオを受け容れことに驚いた。ぼくの弁護士が、そのラップトップ・パソコンにはモデムもネットワーク機能もついていないと指摘してさえいたのに。

この質問に関して言うと、ぼくは、ぼくの訴訟に注意をひかせるために、コンピュータ・システムやネットワークにハッキングしたり損害を与えたりするのを提唱したり見逃したりしているわけじゃない。ヤフーやニューヨーク・タイムズへの大掛かりなハッキングがあったときには、ぼくは同じような声明を出している。

ぼくは、他人の財産権に影響するような違法な活動をする誰にも、やる気を与えたり、あるいは実のところ、無くさせたりしているわけじゃない。けれど、違法や倫理的でない行動でないような意味でのハッキングは提唱している。今や、コンピューティングのコストが劇的に小さくなっているから、違うプラットホームのコンピュータとLANを構築して、脆弱性を見つけるためにシステムに攻撃を加えるような活動もありだろう。さらに、似たような興味を持ったひとたちのグループが、他人の財産権を侵害したりせずに、お互いのシステムの脆弱性を発見するのもいいだろう。

ぼくの高校時代は、うちには教材としてコンピュータ関係の装置を買う余裕はなかった。レディオシャック(※という無線ショップ)や地元の大学に入り浸って、何時間も何時間もコンピュータ・システムについて学んでいたものだ。もし、今の若者みたいにテクノロジーへ合法的にアクセスをしていたら、ぼくは違った方向におさまっていたかもしれないな。

10) どんな感じで…
Psx29による


インターネットにアクセスして最初にしたことは何ですか?

ケビン:

ここ2週間は、過去にぼくのことを書いたいろんな人にメールをして、多くの時間を費やした。家族や友人に助けてもらうのがずいぶん容易になったことは認めないといけないね。というのも、今のところ、電子メールが処理しきれていないから。Defensive Thinking(※というケビンの会社)を卓越したセキュリティ・サービス会社に育てる手段として使いたい。インターネットは潜在的な顧客とメッセージを交わすのには強力な道具であるのはもちろんだ。

同時に、ぼくは、1995年にはなかったインターネットの新しい機能を追究することを計画している。ぼくたちみんなが分かっているように、インターネットは、コミュニケーション、交際、研究の新しいメディアだ。ぼくは、職業的なそして個人的なアジェンダを推進するために、インターネットの潜在能力を目一杯引き出して使うつもりだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by paranoiautopian (7851) on 2003年02月08日 17時18分 (#254289) ホームページ
    すごくまともな意見ばかりでびっくりした。
    ただ、それが世の中に伝わるかというと、伝わらないと思う。
    「悪いハッカーがいました。大損害を引き起こしました。危ないので電話
     も取り上げときます」
    「良かった、これで安心」
    うーん、こういうやり方ではまずいということを、ハッカーでない人間が
    言ってくれればいいのだけど、言ってくれないのだろうなぁ。
    だれかいい人いないかな。
  • 合衆国の悪いところ (スコア:2, すばらしい洞察)

    by harux (9573) on 2003年02月08日 18時28分 (#254326) ホームページ 日記
    合衆国のえらいさんには、ハッカーって怖く見えてるんでしょうね。

    で、怖いものには、超法規的処理をとるっていう、合衆国の悪いところがでてますな。

    合衆国って、臆病だからしかたないけどね。
    • Re:合衆国の悪いところ (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2003年02月08日 20時40分 (#254372)
      なにもアメリカに限らないと思う。

      コンピュータやネットワークを得体の知れないものと思っていて、
      そういう分野で違法行為なんて、とにかく怖い!
      と思っている人は、少なく有るまい。
      自分の親やその上の世代とか考えてみ?

      単に「科学」に置き換えてみても同じことなんだろうけど、
      コンピュータが身近になったのはまだまだ最近だからねえ。
      親コメント
      • by taz3 (5225) on 2003年02月09日 6時57分 (#254602) 日記

        科学だけでなく,コンピュータやネットワークに関しても

        十分に発達した○△は魔法と見分けがつかない by アーサー・C・クラーク
        なんでしょうね.

        # はっ,だから wizard って呼ばれるんだ:)

        --
        Koichi
        親コメント
      • by YF19 (12943) on 2003年02月08日 20時48分 (#254379) 日記
        というか、自分の知らないものは、とりあえず抑えてしまおうって輩がいるってことなんでしょうねぇ

        おそらく、コンピュータ、ネットワーク、科学云々以前に、異文化と見なせば、何でもそうなるんではないかと
        親コメント
  • by Anonymous Coward on 2003年02月08日 16時08分 (#254240)
    荒らしですか?
    • Re:あの… (スコア:2, 参考になる)

      by .mjt (13150) <reversethis-{gro.ntlc} {ta} {tjm}> on 2003年02月08日 16時21分 (#254249) 日記
      確かにコレは長い…
      まぁ、そのうち修正されると思いますが。。

      あと、翻訳お疲れ様です。
      出典元のyh氏の日記 [srad.jp]もチェックしよう。記事になったときに抜けた情報もあるので。
      親コメント
    • Re:あの… (スコア:2, おもしろおかしい)

      by uguisu (9285) on 2003年02月08日 16時24分 (#254253) ホームページ 日記
      ミトニック氏の仕業です。
      親コメント
    • GetSetです。

      このたびは私の不注意により、一時的にとはいえ/.Jのトップページを結果的に荒らす形となってしまい、申し訳ありませんでした。
      長文掲載の際の分割方法をきちんと調べないままに掲載してしまった軽率さがすべての原因です。
      せっかくの力作を投稿してくださったyhさんをはじめ、すべての/.Jを読まれている皆様に心からお詫び申し上げます。

      今後、このような不手際がないようによりいっそう注意してまいります。今回は本当に申し訳ありませんでした。
      なお、急いで修正とこのメッセージを投稿しようとあせっていたため、いつものふざけたシグネチャがそのままになっております。ご不快に思われるかと思いますが、見逃していただければ幸いです。
      親コメント
      • by motimoti_san (13212) on 2003年02月08日 18時50分 (#254333)

        こういう演出も、たまにはありかなと思いました。

        Linuxカーネル2.6リリース、というレベルの(Slashdotユーザ的に)超重要なニュースと
        単なる内輪ネタ(アニメとか)が、同じようなサイズで掲載される
        現在のポリシーには、弱干疑問もあります。

        # もし、Slashdotがニュースの重要性に応じて扱いが変わる、ということでしたらわたしの勉強不足です。

        ミトニックのインタビューは、アレゲな人びとにとっては、割とインパクトの大きいニュースなので、
        こういう演出で読むのも悪くないです。
        一定時間経過後に、トップページの分を短く切るようにするならば、それほど問題ではないのでは?

        親コメント
        • Linuxユーザーではあるけど、Linuxの新しいカーネルよりは、レゴでできた目玉おやじの方がビッグニュースに感じてしまう今日この頃。

          まぁ、そのような問題(興味の個人差)を軽減するためにセクションって仕組みもあるわけだろうし、トピックアイコンとかトピックごとに表示から除外できたりとかSlashDotはその辺の問題にかなり正解に近い解決案を示していると思うけど。

          確かに、SlashDotを見ている人は一般のHPに比べれば多いと思うけど、Linuxという特定のOSだけをヨイショするわけにも行かないだろうし。
          親コメント
        • by Anonymous Coward on 2003年02月08日 19時54分 (#254355)
          > Linuxカーネル2.6リリース、というレベルの(Slashdotユーザ的に)超重要なニュースと
          > 単なる内輪ネタ(アニメとか)が、同じようなサイズで掲載される
          > 現在のポリシーには、弱干疑問もあります。

          重要度なんてのは人によりけりだし、見たくなければ設定でそのトピックをはずせはいい。
          /.Jのユーザーも多様化しているのだから、motimoti_san氏のいうように大本営での差別付けはしてほしくない。
          # 現実はLinuxのバージョンアップ情報につくコメントよりもアニメねたにつくコメントのほうが多いはず。
          親コメント
      • (・∀・)ハテサテフフーン(ハテフフーン)
      • とりあえず突っ込んでみてるだけで、みんなあんまり気にしてないと思いますよ。
      • 全文を読むためにクリックするという手間が省けた点については感謝しています。
        いや冗談でなく。
    • by Anonymous Coward
      祭りの予感・・・
    • by Anonymous Coward
      ごめんごめん編集過程で間違えて全文をトップページに出してしまった。許してくれ。
    • by Anonymous Coward
      荒らしかと思うわな
    • by Anonymous Coward
      荒らしって外部者ですよね?これはクーデター?
  • by Anonymous Coward on 2003年02月08日 17時03分 (#254273)
    「ハッカー」なのか?「クラッカー」なのか?
    それとも「ハッカーでありクラッカー」なのか?
    • Re:彼は (スコア:2, すばらしい洞察)

      by mondragon (12410) on 2003年02月08日 17時47分 (#254307) ホームページ 日記
      このインタビュー読んで、ハッカー = クラッカーの誤解の元になった
      「クラッカーは自分のことをハッカーと呼ぶ」そのものだと理解しました。
      違う?
      親コメント
      • by wildrover (3823) on 2003年02月08日 19時16分 (#254339)
        そして、筋金入りのハッカーは自分のことを廃人とは呼ばない。
        親コメント
      • by Asagi (333) on 2003年02月09日 2時32分 (#254554) 日記
        その理解だと、ハッカーとクラッカーが全然別モノみたいに読めてしまうんですが……?

        個人的には、ハッカーとクラッカーの本質的な差異はほとんどないと考えてます。あくまで世俗、とでも言うべきところとの折り合いの付け方の違い程度の問題に過ぎないと思うんですが(まあ、それを重要視する見方もありますから。あくまで個人的には、そこは本質と違うって感じる、って話です)。

        世間的にはハッカー=犯罪者、という誤解ならあると思うけど、それを解く(?)のに、クラッカーという言葉を新たに作ることで納得しようとするのも無理があるんじゃないかなって思います。だって、価値基準自体が全然違うわけですし。

        ミトニック氏については……当時、その世俗との折り合いの付け方に問題があった、ってのは本人も認めてることですし、って感じですか。

        #じゃあハッカーって何よ?ってのはありますが、それも単純な技術力だけの話ではないと、最近では感じております。マインドとかいった部分も重要なのかなって。そゆ意味ではミトニック氏もハッカーだとは感じますね。
        親コメント
        • by mondragon (12410) on 2003年02月09日 16時49分 (#254754) ホームページ 日記
          > その理解だと、ハッカーとクラッカーが全然別モノみたいに読めてしまうんですが……?

          「ハッカー誤用の元になった…」とでも書き直せば伝わるでしょうか。
          ご自身も
          > 価値基準自体が全然違うわけですし。
          と書いておられるので、ちょっとした誤解だと思いますが。

          #つか、その部分は理解でなく知識なんですけどねぇ。
          #あの話はそれなりに有名だと思ってたけど、そうでもなかったのかな。
          親コメント
          • by Asagi (333) on 2003年02月10日 4時46分 (#255187) 日記
            あ、了解です。
            でしたら単純に言葉のアヤ程度の話ですねm(__)m
            #先の自分の書き込み読み返すと結構変な文になってるし^^;;
            #ご指摘の通り、「理解」って振り方自体が間違ってますわm(__)m
            親コメント
    • by YF19 (12943) on 2003年02月08日 17時19分 (#254291) 日記
      犯罪行為や破壊行為を働くハッキング=クラッキングでないの?
      (間違ってたらごめんなさい)
      親コメント
    • 「並外れた人間」であり、「並外れた犯罪者」である。
      要は、「並外れた人間でありかつ、並外れた犯罪者」なのである。

      # 部分集合なんでないかい?
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...