※『NON HUMAN通信』とは?:AI×Cryptoの融合が加速させる“新世界”の訪れを、ワクワク視点で追いかけるメルマガです。毎週1本以上のペースで、まるでSFのような(でも現実の)世界最先端の情報をかみ砕き、ギュッと凝縮してお届けしています。世界はこんなにも面白い!新世界の扉へようこそ。
🍊(1)要約(忙しい人はココだけどうぞ)
今回は特別編として、凄腕ハッカーの目から見た、ヤバ過ぎる裏世界をお届けします。
本ニュースレターでは、ブラックハットを公言するセキュリティ研究者クリス・ロック氏の、衝撃的でユーモアを交えた活動実態を、彼へのインタビューを元に掘り下げます。
彼は「セキュリティ研究者」として表舞台でも講演活動を行いつつ、中東の富裕層や企業からは「表に出せないヤバい仕事」を受け、銀行システムへの侵入など違法行為も厭わないと語ります。
実際に彼は“黒い”インシデントレスポンダーとして、中東で大金を取り戻す仕事を手掛けたらしい。まさに、激ヤバな人物です。
今回のニュースレターでは、以下の3つのトピックをとくに注目ポイントとしてピックアップしました。
・1つ目は「中東ビジネスとハッカーの危うい関係」。
富豪ファミリー内の資金横領疑惑の解明から、実際に資金を“奪還”するまでの経緯はまるで映画です・・・。
・2つ目は「銀行への潜入」。
脆弱性が放置されたシステムを内部からサクッと乗っ取り、数百万ドルの送金を“こっそり”かすめ取る手口には驚きが隠せない。日本の企業は大丈夫なのかな?
・3つ目は「人の生死を自在に操るリスク」。
戸籍システムのオンライン化が進むことで、「死亡届や出生届を悪用できる」というヤバ過ぎる実態が浮き彫りになっています。ゾンビを発生させることや、架空の人間を大量発生させることが可能です。
企業のセキュリティ対策ソリューションにも注目が集まっていますが、こうした万全の対策があっても「完全な防御は不可能」というのが、闇のハッカーたちの意見です。
デジタルの進歩とともに、社会全体がいかに危うい綱渡りを続けているのか……このニュースレターで、その一端をぜひ知ってくださいませ。
私はもう、夜も眠れません。
🍊(2) あとがきを最初に書くスタイル
今回の記事は衝撃的な現実を垣間見るものですが、それを踏まえて、このままAI時代に突入したらどんな世の中になってしまうのだろう?10年後を、少し悲観モードで夢想してみます。
本記事でご紹介したようなセキュリティリスクが現実に存在しているのは事実です。こんな脆弱性を残した状態で、これからのAI社会に突入すると言うのは恐怖を感じざるを得ないですね。多数のAIエージェントが人間のふりをして、デジタル上は誰が人間で誰がAIなのかわからなくなる社会になると言われています。おそらくその社会は10年後には現実のものになるでしょう。
そこへ来て、さらに戸籍の情報等がいじられていて、実際には存在しない架空の人間が大量に発生させられているとしたら……。データ上で誰が本当に実在していて、誰が架空の人間なのかわからない状況になってしまいます。そこへ来てハッカーたちがAIスパイエージェントを内部に仕込ませたりすれば、もはやカオスな未来が待っています。一度崩壊した政府の基盤システムは、元に戻すのも容易ではないでしょう。
今までは人対人で闘っていれば良かったのが、人対AI化になり、さらにはAI対AIという構図になり、もはや人間は置いてきぼりで、何が真実で真実ではないのかという判定さえ難しくなるかもしれません。何が真実かどうかを判断できないまま、私たちはカオスの中で生きていくことになりそうです。
実際、SNSではここ数年、私たちが「見たいもの」ではなく「何者かが見せたい情報」を見せられていましたよね?サピエンス全史の著者ユヴァル・ノラ・ハラリ氏も最新の著書「Nexus」で警鐘を鳴らしています。僕らの思考や行動は知らず知らずのうちに誘導されてきました。
今後は「人」ではなく「AI」がさらに巧妙に誘導してくる世界が到来するかもしれません。そして、何をどのデータが真実でどのデータが嘘なのか、見分けがつかなくなったとき、デジタル上のデータを信用することが極端に難しくなるでしょう。
そうなると、アナログへ一気に回帰していく可能性も出てきます。目の前にいる相手が生身の人間かAIなのか、少なくとも直接触れ合えば判別できるからです。もはやそうした確かな五感しか信じられなくなってしまうかも知れません。結果として、デジタル領域に懐疑的な社会へ進み、スーパーフィジカルワールドへ回帰する──そんな未来もあり得ると思います。(やや極端な理論ではありますが、部分的にでもそういった現象は起こると予測しています)
そうなったときに重要になるのが、フィジカル領域でのセキュリティ意識です。デジタルがカオスに陥った未来では、自分の目で見て、自分の五感で確かめた人やものを信頼するという、ある意味「原始的」なやり方が再評価される可能性があります。いわば昭和的な「人を見抜くスキル」や「欲望を理解する能力」が求められ、対面でのコミュニケーションが最強のセキュリティ手段になるのかもしれません。
僕はそんな未来のことを考えると、皮肉にもテクノロジーの先に人間の“原始的な力”が必要になると感じます。闇が深まるほど、信頼を構築するのは面と向かい合って会話できる“生身の存在”同士だったり……??
🍊トピック一覧(目次)
🍊(1) クリス・ロックという人物──巧みな二面性
🍊(2) 中東の富豪案件──“闇契約”の背景と狙い
🍊(3) レベル3から侵入せよ──人間関係を逆手に取る攻撃手法
🍊(4) 共同オフィスに潜む盲点──「電子レンジの裏」に仕掛けるデバイス
🍊(5) お金を取り戻す裏技──銀行を“内側”から操る
🍊(6) システムに潜む“死”と“誕生”の脆弱性
🍊(7) 「闇」がうごめく現場のリアル──モラルはどこへ?
🍊(8) 逃亡するターゲット──国境を越える攻防戦
🍊(9) 「ハッカーが覗く未来」──不都合なテクノロジーの行き着く先
🍊(1) クリス・ロックという人物──巧みな二面性
まずは「クリス・ロック」という人物像から見ていきましょう。
日本で「クリス・ロック」と聞くと、コメディアンで有名な同姓同名の人がいますが、今回フォーカスするのは別人。オーストラリア出身のセキュリティ研究者であり、自称ブラックハットなインシデントレスポンダーでもある、もう一人のクリス・ロック氏です。
彼の活動は表と裏の二面性を持っています。表向きには、セキュリティカンファレンス(DEFCONなど)で「戸籍システムの脆弱性」や「死のデジタル化」について講演し、多くの専門家を驚かせるリサーチャーとして活躍。一方、闇の仕事ではときに違法ギリギリの案件に手を染め、「資金を取り戻す」「情報を抜き取る」といった“汚れ役”もこなしてきたようです。
💡注:セキュリティ業界ではホワイトハット(正義側)とブラックハット(不正を働く側)の二分がよく取り上げられます。しかし、彼のように「案件次第でどちらにも肩入れする」と公言するケースは珍しく、グレーな領域で活動している人材も少なからず存在するのが現実です。
彼は幼少期からコンピュータに触れ、大学こそ中退しましたが、その後オーストラリアの銀行業界を中心に10年以上もセキュリティやITインフラの経験を積み重ねてきました。その知見をもとにペネトレーションテスト(脆弱性の検証)の会社を立ち上げ、さらに「シー・モンスター」というSIEM(セキュリティ情報管理)製品まで開発しているという、多彩な経歴の持ち主です。
こうした表のビジネスによって得た人脈や信用が、実は裏の“闇契約”を請け負う際の“保証”にもなっています。依頼人側からすると、「あのツールを作った人」としての確かな技術力を買っているわけです。ある意味、彼は「守り」と「攻め」の両方を熟知している、いわばセキュリティ界の二刀流とも言えそうです。
🍊(2) 中東の富豪案件──“闇契約”の背景と狙い
本稿の中心エピソードは、クリスが中東の富裕層から受けた極秘の依頼です。
彼らは「王族や石油王のように桁違いの資産を抱える一族」であり、中でも「自分だけ資産額が少なく、他の兄弟に追いつきたい!」という人物(仮にA氏と呼びます)がクリスへ接触してきました。A氏は家族が出資する投資先に不正を疑い、「横領された資金を取り戻してほしい」と要望したわけです。
この依頼内容は、通常の企業調査とは一線を画すものでした。正規の法手続きで会計監査を行うのではなく、疑わしい人物(以下「ボブ」と仮称)の個人情報や会社サーバ、さらには関係する投資ファンドへのネットワークを裏側から乗っ取り、動かぬ証拠を押さえたうえで「資金を“奪還”」してほしいというのです。ここには明確に違法行為を含む恐れがありますが、A氏はそうしたリスクを踏まえても、クリスの“腕”に期待したのでしょう。
💡注釈:中東地域に限りませんが、巨額資産を持つ権力者が問題解決のためにハッカーに頼るケースは実は珍しくありません。公的機関の介入を好まない、あるいは時間や面倒を嫌うという背景があり、闇契約が成立しやすい土壌が存在すると言われています。
契約時のやりとりも常識は通用しません。正式な契約書や法人印を交わすワケはなく、仲介者を通じた口頭合意や現金払いが当たり前。クリスの証言によれば、金塊の支払いすら提示されたそうですが、「いやいや持ち出すのめっちゃ不便だから勘弁して」ってことで断ったらしい。ビジネスというよりもはやゴッドファーザーの世界。
こうして、クリスとそのチームは中東へ飛び、「ボブとその周辺を徹底的に洗う」作業に着手しました。なお、クリスいわくこの種の依頼は、初回にキッチリ結果を出せば「さらに大きな案件」を継続的にオファーしてもらえる可能性が高いみたい。そのかわり、失敗したら……?
まさに闇の人脈によってリピーターを獲得するビジネスモデル?ですな。
🍊(3) レベル3から侵入せよ──人間関係を逆手に取る攻撃手法
いきなりボブ本人に直接アタックするなんて芸の無いマネはしません。クリス曰く、いきなり本人を狙うと警戒されやすい。そこで「レベル3」と呼ぶ“外側の人間”から侵入していくのです。
レベル3とは、ボブ本人と直接の利害関係が薄いが、ゆるやかにつながっている存在を指します。たとえば、ボブが通っているジムのスタッフ、家族の友人、その友人の職場……といった具合です。そこからメールアカウントやソーシャルアカウントを乗っ取ることで、ボブに“自然に”アプローチする準備を整えます。
💡注釈:こうしたアプローチは「サプライチェーン攻撃」や「ソーシャルエンジニアリング」の一部に分類されます。目的の人物(ボブ)を直接攻めるのではなく、その周りの弱い部分を狙うことで、警戒心を解かせる手法です。
たとえば、ボブにとって信頼できる人物(レベル2やレベル1)が「この書類を確認してほしい」と言えば、怪しまれずに添付ファイルを開かせるチャンスが格段に増えます。その信頼の連鎖を利用して、最終的にボブの個人デバイスや勤務先のシステムにアクセスできるのです。
また、レベル3のターゲットはセキュリティ意識が低い場合が多く、フィッシングメールの添付ファイルを開くリスクが高いのも狙い目。こうしてネットワークをどんどん深部へ“横に”拡張し、本人の周辺をすべて押さえてから満を持して本人を仕留めるわけです。
この段階で得られる情報は多岐にわたります。ボブの趣味や言い回しのクセ、メールを返信する時間帯など、攻撃を成立させるために必要な下準備がほぼすべてそろいます。「焦らずに周辺から攻める」──クリスたちの手口は、まさに用意周到。
🍊(4) 共同オフィスに潜む盲点──「電子レンジの裏」に仕掛けるデバイス
今回のターゲット企業はコワーキングスペース(共同オフィス)を利用していました。近年、日本でも急増中のこの形態は、複数の企業がフロアを共有し、会員制でスペースを借りるスタイルが一般的です。一見、受付や出入りの管理が厳重そうですが、実際は外部の人間が出入りしても自然に見えてしまうという盲点があります。
クリスはスーツ姿で潜入し、「ちょっと荷物を置きたい」などの自然な動作で極小のLinuxマシンを電子レンジ裏に仕掛けたといいます。そのマシンにはSIMカードが入っていて、モバイル回線で外部とつながれるため、遠隔操作が可能。