前編からの続きです。心の準備はよろしいでしょうか。

https://open.substack.com/pub/nonhumanmagazine/p/grifterdef-con-1

物語の舞台は、自由でカオスなエネルギーに満ちたDEF CONから、もう一つの巨大カンファレンス、Black Hat USA の、一般の参加者の目には決して触れることのない舞台裏へと移ります。そこは、Grifterが長年にわたってその指揮を執ってきた、ネットワーク運用センター（NOC）。

ここは、冗談抜きで、現代のサイバー戦争の縮図 とも呼べる、壮絶な戦場なのです。

皆さんは、何千人もの人々が集まる大きなイベント会場で、私たちが当たり前のように使っているWi-Fiネットワークが、どのように作られ、そして守られているか、想像したことがありますか？特にBlack Hatのような場所では、参加者の多くが世界トップクラスのハッカーやセキュリティ専門家。彼らは、好奇心から、あるいは自分のスキルを試すために、常にネットワークの弱点を探しています。そんな環境で、普通のホテルが提供するような甘いセキュリティのネットワークを使っていたら…？想像するだけでも恐ろしいですが、ものの数分でネットワーク全体が乗っ取られ、参加者の情報が盗まれたり、マルウェア（コンピューターウイルスなどの悪意あるプログラム）が蔓延したり、まさに地獄絵図と化してしまうでしょう。

だからこそ、Grifter率いるNOCチームの仕事は、尋常ではありません。彼らの最初の任務は、カンファレンスが始まる前に、会場となるホテルの既存のネットワーク設備を 一切信用せず、完全に無効化する ことから始まります。そして、自分たちで運び込んだ、何トンにもなるサーバー、ルーター、スイッチ、ファイアウォールといったネットワーク機器と、会場全体をカバーするための数百台もの無線アクセスポイント（AP）を使って、全く新しい、独立した、そして要塞のように堅固なネットワークインフラを、ゼロから構築 するのです。これは、例えるなら、既存の家を取り壊して、そこに数日間だけ、最新鋭のセキュリティシステムを備えた、鉄壁の城を建てるようなものです。なぜなら、ネットワークの隅々まで自分たちで完全にコントロールできなければ、万が一、問題が発生したときに、迅速かつ正確に対応することが不可能だからです。

そして、この特設ネットワークは、単に参加者にインターネット接続を提供するだけの「土管」ではありません。ネットワーク上を行き交うすべての通信は、最新鋭の侵入検知・防御システム（IDPS）、ネットワーク全体のログ（通信記録）を収集・分析して異常を検知するSIEM（シーム）システム、個々のコンピューターの不審な動きを監視するEDRソリューションなど、考えうる限りの ハイテクな監視・防御システム によって、24時間体制で厳しく見張られています。NOCの部屋には、壁一面に監視モニターが並び、無数のアラートが明滅し、チームメンバーは交代で仮眠を取りながらも、常に神経を尖らせて状況を分析し続けています。まさに、期間限定でラスベガスのホテル内に出現する、世界最高レベルの「サイバー要塞」兼「司令部」 なのです。

なぜ、ここまで徹底する必要があるのか？それは、Black HatのNOCが、文字通り 常時、世界中からのサイバー攻撃 に晒されているからです。それも、そこらのウェブサイトを狙うような生半可な攻撃ではありません。Black Hatのカンファレンスでは、世界で初めて公開されるような、最新のソフトウェアの脆弱性（セキュリティ上の弱点、ゼロデイ脆弱性と呼ばれます）や、それを悪用する攻撃手法が発表されることがよくあります。そして、驚くべきことに、その発表が行われた わずか数時間後 には、その発表されたばかりの脆弱性を突くための 攻撃コード（プログラム）が、実際に会場のネットワーク上で飛び交い始める 、なんてことが日常的に起こるのです！これは、「ゼロデイからゼロアワーへ」と呼ばれる状況、つまり、脆弱性が発見されてから、それが実際に攻撃に使われるまでの時間差がほぼゼロ、という、セキュリティ担当者にとっては悪夢のような現実が、ここでは繰り広げられているのです。

NOCチームは、こうした最新かつ高度な攻撃を、リアルタイムで検知し、その手口を分析し、他の参加者に被害が及ぶ前にブロックしなければなりません。息つく暇などありません。さらに、外部からの攻撃だけが問題ではありません。会場のネットワークに接続してきた参加者自身のノートパソコンやスマートフォンが、実は 本人が気づかないうちに、既にマルウェアに感染していた、なんていうケースも、掃いて捨てるほど発見されるのです。その感染したデバイスが、外部にある攻撃者の指令サーバー（C2サーバーと呼ばれます）と密かに通信を始めていたり、持ち主に内緒で仮想通貨を稼ぐための計算（マイニング）を始めていたり、あるいは、ウェブサイトへのログインパスワードなどを、暗号化もせずにそのままネットワークに垂れ流していたり…。

この、一瞬の油断も許されない、極限のプレッシャーの中で、NOCチームを長年にわたって率いてきたGrifterは、卓越した技術力はもちろんのこと、冷静な判断力、そしてチームをまとめ上げる 並外れたリーダーシップ を発揮してきました。そして時には、常識破りな交渉術 を駆使して、不可能を可能にしてきたのです。

NOCの運営には、最新のハイテク機器やソフトウェアライセンス、そして何より優秀な専門家チームが必要であり、当然ながら莫大なコストがかかります。カンファレンス初期の頃は、予算も限られており、Grifterたちはオープンソース（無償で公開されているソフトウェア）のツールや、比較的安価な市販品をなんとか工夫して組み合わせながら、この困難なミッションをこなしていました。しかし、ある時、Grifterは画期的なアイデアを思いつきます。「待てよ、この会場には、世界中の名だたるセキュリティ企業が、自社の最新製品を展示するためにブースを出しているじゃないか。彼らに協力してもらえば、NOCの装備を一気に強化できるんじゃないか？」

彼は、会場に出展している大手セキュリティベンダー各社に、こう持ちかけました。「もし、御社の最新鋭のセキュリティ機器やソフトウェアを、この過酷なBlack HatのNOC環境で、実際に私たちが使わせてくれるのであれば、カンファレンスの公式プログラムや、終了後に公開するNOCの活動報告書の中で、御社のロゴを掲載し、その貢献を大々的にアピールしましょう」。

この提案に、多くのベンダーが飛びつきました。なぜなら、「あの世界で最も厳しいと言われるBlack HatのNOCで、実際に我々の製品が採用され、最前線で機能している」という事実は、どんな派手な広告コピーよりも説得力のある、最高の品質証明であり、この上ないマーケティングの機会 になるからです。その結果、通常であれば数千万円、あるいは億単位の費用がかかるような、最新鋭のファイアウォール、最高性能のネットワーク分析プラットフォーム、そしてそれらをフル機能で使うためのソフトウェアライセンスなどが、次々とNOCに無償で提供されるようになったのです。

しかし、ここで重要なのは、Grifterが決して ベンダーの言いなりにはならなかった ということです。どの企業の、どの製品をNOCで採用するかは、あくまでもGrifterと彼のチームが、純粋にその性能、機能、そしてNOCの実際のニーズに基づいて、厳格なテストと評価を行い、決定する。そこに、ベンダー側からの金銭的な圧力や、「うちの製品を目立たせてくれ」といったマーケティング的な都合が入り込む余地は、一切許さなかったのです。

ある有名な逸話があります。

某大手ベンダーの重役が、Grifterにこっそりとこう囁いたそうです。「なあGrifter、ここに10万ドル（当時のレートで1000万円以上！）の小切手がある。これで、次のBlack Hatでは、うちの製品をNOCのメインシステムとして使ってくれないか？もちろん、レポートでも大きく取り上げてほしい」。それに対するGrifterの返答は、彼の哲学、そしてNOCチームの誇りを象徴するものでした。

「その金は、あんたのところの製品をもっと良くするために使ったらどうだ？本当に素晴らしいものになったら、俺たちが黙っていても選ぶかもしれないぜ。俺たちは、金で動くんじゃない。最高の技術で、このネットワークを守るんだ」

…しびれますよね！

目先の利益や誘惑に惑わされることなく、技術的な正しさと、与えられたミッション（それは、単にネットワークを守るだけでなく、カンファレンス全体の成功と、参加者の安全を守るという崇高なものです）への絶対的なコミットメントを貫く。この 媚びない職人気質 とも言える、プラグマティック（実利的）かつ高潔なリーダーシップがあったからこそ、Black Hat NOCは単なる技術チームを超えて、世界中のセキュリティ専門家から尊敬と信頼を集める、特別な存在となったのでしょう。

そして、NOCの役割は、単にネットワークインフラを外部の攻撃から「守る」だけではありません。

彼らは、参加者自身のセキュリティ意識を高め、積極的に「保護する」 という、もう一段階上の目的意識を持って活動しています。ネットワーク監視システムが、例えば、ある参加者のノートパソコンがマルウェアに感染している兆候（怪しい外部サーバーとの通信など）や、平文（暗号化されていない状態）でパスワードを送信しているといった危険な挙動を検知した場合、NOCチームはそのデバイスに対して、一時的にインターネットへの接続を制限し、ブラウザを開くと特別な警告ページ（これはCaptive Portalと呼ばれます）が表示されるようにします。そのページには、例えば「あなたのデバイスは危険な状態にある可能性があります。情報漏洩や更なる被害を防ぐため、至急NOCまでご相談ください」といったメッセージが表示され、NOCの場所が案内されるのです。

そして、実際に心配になってNOCに相談に来た参加者に対しては、NOCの専門家たちが、問題の診断を手伝い、原因を特定し、可能な範囲でマルウェアの駆除方法や、安全な設定についてのアドバイスまで行うというのです。彼らが目指しているのは、「参加者一人ひとりが、Black Hatに来た時よりも、少しでも安全な状態で家に帰れるようにする こと」。なんと素晴らしい心遣いでしょうか！時には、カンファレンスで堂々と講演している有名なスピーカー自身のパソコンが、実は裏でマルウェアに感染して怪しい活動をしている兆候をNOCが掴んでしまい、講演が終わるのを待ってから、そっと本人に「あの…ちょっとお話が…」と伝えなければならない、なんていう、非常に気まずくも、しかし極めて重要な役割を担うこともあるのだとか。

このBlack Hat NOCという、他に類を見ない過酷な環境での長年の経験は、Grifterにとって、最新のサイバー攻撃の手法と、それに対抗するための最先端の防御技術を、教科書や研修では決して得られない、生々しい実践の場で学び続けることを可能にしました。それはまるで、世界で最も厳しいトレーニングメニューが組まれたジムで、毎日、超一流の相手とスパーリングを繰り返しているようなものです。世界中のどんな大企業のセキュリティ運用センター（SOC）が日々直面している課題も、このBlack Hat NOCという、わずか数日間にサイバー空間の脅威が極限まで凝縮された環境での経験に比べれば、あるいは、少しは生易しく感じられるのかもしれません。この経験が、彼の後のキャリアにおける、脅威ハンティング（Threat Hunting） や、実践的な防御戦略の立案 における卓越したスキルを、決定的なレベルにまで引き上げたことは、想像に難くありません。

さて、ここで少し立ち止まって、Grifterの思想の中でも、特に 議論を呼び、物議を醸した側面 に触れておかなければなりません。それは、彼が、Dan Kaminsky（DNSキャッシュポイズニングという重大な脆弱性を発見したことで世界的に有名）やBruce Potterといった、これまたハッカー界のレジェンドたちと共に執筆した書籍、『Aggressive Network Self-Defense』（積極的ネットワーク自己防衛）で提唱された、過激とも言える哲学です。

この本の核心的なメッセージは、当時のサイバーセキュリティの常識、つまり「攻撃されたら、ひたすら防御壁を高くし、侵入されたら後始末をする」という、どちらかと言えば 受け身の姿勢を真っ向から否定 するものでした。そして、代わりに彼らが主張したのは、「やられたら、やり返す！」、つまり 「ハックバック（hack back）」 という、非常に積極的で、攻撃的なアプローチを、ある条件下では取るべきだ、という考え方だったのです。

なぜ、彼らはそんな過激な思想に至ったのでしょうか？その背景には、常に後手に回り、攻撃され続け、被害を受け続けるしかない防御側の、積もり積もった 深いフラストレーション がありました。「毎日毎日、泥棒に入られ続けているのに、警察（＝法執行機関やセキュリティ製品）はなかなか犯人を捕まえてくれないし、被害は増える一方だ。自分で家の周りに高い塀を作ったり、監視カメラをつけたりする（＝ファイアウォールや侵入検知システムを導入する）だけじゃ、もう限界だ！いっそ、こっちから犯人のアジトを突き止めて、襲撃してやるしかないんじゃないか！？」…そんな、悲鳴にも似た怒りが、この思想の根底にはあったのかもしれません。そして、そこにはGrifter自身の、良くも悪くも、困難に対して真正面から立ち向かい、時には力でねじ伏せようとする、攻撃的な性質（少年時代の喧嘩っ早さを思い出してみてください）も、色濃く反映されていたことでしょう。

彼は、単にファイアウォールで不正な通信をブロックしたり、侵入検知システムでアラートが鳴るのを待ったりするだけでは、問題の根本的な解決にはならない、と考えました。攻撃者を特定し、その攻撃活動の拠点となっているサーバーやネットワーク機器（それらが攻撃者自身のものであるか、あるいは乗っ取られた第三者のものであるかに関わらず）を、こちらから積極的に妨害し、無力化する ことでしか、終わりのない攻撃の連鎖を断ち切ることはできない、と主張したのです。

具体的には、単なる偵察行為（ポートスキャンなど、ドアをノックしてみる程度の行為）は無視するとしても、自社のシステムに対する明らかな攻撃、例えばウェブサイトをダウンさせようとするサービス妨害攻撃（DoS/DDoS攻撃）や、システム内部への不正侵入を試みる行為に対しては、その攻撃元となっているIPアドレスやドメイン名を特定し、たとえそれが、攻撃者によってウイルス感染させられ、遠隔操作されている、全く無関係な一般ユーザーのパソコン（これは「踏み台」とか「ゾンビPC」と呼ばれます）であったとしても、その「踏み台」となっているコンピューターを、こちらから攻撃して停止させるべきだ、とまで主張したのです。

彼の論理は、極めて割り切ったものでした。「攻撃によって自社が被る損害（サービスの停止による売上損失、システムの復旧にかかる費用、顧客からの信頼の失墜、対応に追われる従業員の精神的な負担…）を考えれば、攻撃を一刻も早く止めることが最優先事項であり、そのためには、たとえ無関係な第三者のコンピューターに一時的な不利益（ネットに繋がらなくなるなど）を与えてしまうとしても、それは 必要悪 として正当化されるのではないか？」という、非常に危ういものでした。

これは、例えるなら、「銀行強盗が逃走に使っているタクシーを、中に他の乗客が乗っているかもしれないけれど、強盗を止めるためには仕方ないから、ミサイルで破壊する」と言っているようなもので、多くの倫理的な問題をはらんでいます!!

この「積極的防御」あるいは「攻撃的防御（Offensive Defense）」とも呼ばれる考え方は、当然ながら、出版当時から現在に至るまで、大きな批判に晒されています。まず、法的な問題。ほとんどの国では、正当な理由なく他者のコンピューターシステムにアクセスしたり、ましてやそれを攻撃して機能不全に陥らせたりすることは、重大な犯罪行為です。自衛のためであっても、それが認められるケースは極めて限定的です。次に、倫理的な問題。攻撃の踏み台にされているコンピューターの持ち主は、多くの場合、自分も被害者です。その被害者をさらに攻撃することが、果たして許されるのでしょうか？そして、エスカレーション（事態の悪化）のリスク。もし、こちらからの反撃に対して、相手がさらに強力な報復攻撃を仕掛けてきたら？あるいは、反撃した相手が、実は別の国や巨大な犯罪組織で、全面的なサイバー戦争に発展してしまったら？そのリスクをどうコントロールするのか、という問題もあります。

こうした多くの問題点から、現在では、国家間のサイバー作戦のような特殊なケースを除き、民間企業や個人が自衛のために「ハックバック」を行うことは、法的にも、倫理的にも、そしてビジネス上のリスク管理の観点からも、原則として行うべきではない、というのが、国際的な共通認識となっています。Grifter自身も、現在では、この考え方をそのまま推奨しているわけではないようです。

しかし、だからといって、彼らが提起した問題が、全く無意味だったというわけではありません。むしろ、彼らの過激な主張は、サイバー攻撃における 防御側の構造的な不利さ（攻撃者は一度成功すればよく、防御側は常に100%守り切らなければならない、という根本的な非対称性） と、それに対する 現場の深い絶望感や怒り を、強烈な形で浮き彫りにしました。

そして、その問題提起は、結果的に、「ただ待っているだけじゃダメだ」「もっと能動的に、先手を打って防御する必要がある」という意識を、業界全体に広めるきっかけとなった、とも言えるかもしれません。直接的な「ハックバック」はせずとも、例えば、世界中の攻撃グループの動向や、彼らが使う攻撃ツール、狙われやすい脆弱性といった情報（脅威インテリジェンスと呼ばれます）を積極的に収集・分析して、先回りして対策を講じること。あるいは、自社のネットワーク内部に、すでに侵入を許してしまった攻撃者が潜んでいないか、警報が鳴る前に、自ら プロアクティブ（能動的） に痕跡を探しに行く 「脅威ハンティング」 を強化すること。さらには、わざと攻撃者にとって魅力的に見える「おとり（ハニーポットなど）」を仕掛けて、彼らの攻撃手法を詳しく分析し、防御策に活かす「ディセプション技術」を活用すること…。これらはすべて、Grifterたちが投げかけた「受け身の防御だけでは限界がある」という問題意識から発展してきた、より 「積極的」な防御アプローチ の例と言えるでしょう。

Grifterの「積極的自己防衛」の思想は、その過激さゆえに多くの批判を受けましたが、サイバーセキュリティという分野が常に抱える、技術的な挑戦と、法や倫理との間のギリギリのせめぎ合い という、生々しい現実を、私たちに鋭く突きつけてくる、重要な問題提起であったことは間違いありません。

さて、こうした他に類を見ない、波瀾万丈な経験と、そこで培われたユニーク極まりないスキルセットを携えたGrifterは、やがてエンタープライズ（企業向け）サイバーセキュリティの世界で、高度な専門家、特に「脅威ハンター」 として、その名を広く知られるようになります。彼は、RSA Security（セキュリティ業界の老舗大手）や、IBMの精鋭部隊であるX-Forceといった、誰もが知る著名なセキュリティ企業において、グローバル規模で企業のネットワークを守るための 脅威ハンティング（Threat Hunting） プログラムを、ゼロから立ち上げ、そのリーダーとして目覚ましい成果を上げてきました。

ここで、「脅威ハンティング」という言葉について、もう少し詳しく説明させてください。これは、従来のセキュリティ対策、例えば、家の周りに高い塀を築いたり（ファイアウォール）、監視カメラを設置したり（侵入検知システム）、玄関に頑丈な鍵をかけたり（アンチウイルスソフト）といった対策が、必ずしも完璧ではない、という現実認識から出発する考え方です。

どんなに備えていても、巧妙な泥棒は、塀を乗り越え、カメラの死角を突き、鍵をこじ開けて、家の中に侵入してくるかもしれません。脅威ハンティングとは、この「もしかしたら、すでに泥棒（＝攻撃者）は家の中に侵入して、どこかに隠れているかもしれない」という前提に立って、警報（アラーム）が鳴るのを待つのではなく、自ら積極的に家の中を捜索し、不審な物音や痕跡（足跡や指紋など）を探しに行く 活動のことなのです。これは、問題が起きてから対応する受動的な（リアクティブな）アプローチとは対照的な、より能動的で（プロアクティブな）、より現実的な防御のアプローチと言えるでしょう。

Grifterの脅威ハンティングにおけるアプローチは、まさに彼の これまでの人生経験のすべてが凝縮された とも言える、独特なものです。