クラッカー

クライム・ハッカー(crime hacker/犯罪者ハッカー)の略称として使われ、悪の世界に手を染めてしまったハッカーの総称。1981-82年頃にUsenet上で、このような行為をする犯罪者を「ワーム」という言葉で表現しようとしたが失敗している。また、業界用語であった「セーフ・クラッカー」という言葉の影響で登場したという意見もあり、さらにSlangCityでは、シェークスピアのKing John, Act II, Scene Iに「What cracker is this same that deafs our ears with this abundance of superfluous breath?」として登場する、中世英語で使われていた「不愉快な人」を表す「クラッカー」という言葉から命名されたという意見もある。さらにコーン・ウイスキーを作るときに、トウモロコシを「破壊(cracked)する」という1800年代のノースカロライナ地方で使われていた設備「moonshine」がボストンの博物館にあると紹介している。詳細情報はURL(http://www.slangcity.com/ask_ac_archive/cracker.htm)で知ることができる。
また、「クラッカー」という言葉は、現代アメリカ口語の中にも「貧乏白人」を意味する汚い言葉として生き残っているということである。語源はいずれも明確ではないが、機密情報を盗んだり、他人のコンピュータのデータを破壊したり、コンピュータ・ウイルスをまき散らすことなどに喜びを感じる人のことで、マスコミはコンピュータ特にプログラミングが3度の飯より好きなハッカーと混同し、セキュリティ・システムなどに入っていく侵入者をハッカーと表記しているが、本来は、クラッカーと記載すべきである。
この「マルチメディア・インターネット事典」でも、一般紙の表記にしたがってハッカーと一部で記載しているが、それは誤解をされないためである。
また、クラッカーの中には不正侵入したときに、多くの証拠を残している。その典型が画像で、その残された画像からクラッカーの不正侵入したときの心理を読むことができる。例えば残された画像を集めて分析すると、大きく分けて不満爆発型、愉快犯型、怨念型、不注意警告型などに分けることができる。
また、Hamasのサイトを書き換えたように、そのサイトが持つ思想に反逆してポルノサイトに自動的に飛ぶようにしたり、無修正のSEX画像やSM画像などを残していく場合も多く見られる。中には、自分の作った画像の面白さや技術の高さを自慢するような絵も残されていることがあり、自分が十分に認められていないという不満爆発型や愉快犯型の域を出ない攻撃が多いといえる。残念なのはサイト書き換えられたにも係わらず、サーバー管理者が何日間も放置し、修正しないサイトや同じ失敗を繰り返すサイトなどを存在していることである。
イギリスのDERA(Defense Evaluation and Research Agency)情報戦争部門のリサーチ・サイエンティストであるアラン・フード(Alan Hood)は、クラッカーのグループが企業や国防にも大きな脅威となる存在になっているという調査結果をすでに1997年6月19日に発表している。
L0phT Heavy Industries社は1998年2月12日にMicrosoft社のWindows 95およびWindows NTのパスワード・クラッカーL0phtCrack 2.0 for Win95/NTを50$のシャアウェアとして公開した。Microsoft社は1998年2月14日に、Clarification on the L0phtcrack 2.0 toolでL0phtCrack 2.0 for Win95/NTについて見解を述べている。
1998年3月2日にWindows NTとWindows 95の動作しているコンピュータがインターネットを通じてクラッカーから攻撃を受け、多くのコンピュータはクラッシュし、「死の青画面(blue screen of death)」と呼ばれる画面が青くなる状態になり、「致命的エラー(fatal error)」というメッセージが表示された。ただし、攻撃を受けたコンピュータは、ただ再起動するだけで回復し、このような攻撃を受けたときに自動的に再起動するようプログラムされているコンピュータの場合、朝出勤してきて、そのコンピュータが攻撃を受けたことを知らずに仕事をしていたというケースもあった。
被害を受けた教育施設は、カリフォルニア大学バークレー校(University of California campuses at Berkeley)、ロサンゼルス校(University of California campuses at Los Angeles)、サンディエゴ校(University of California campuses at San Diego)、アーバイン校(University of California campuses at Irvine)、ミネソタ大学ツインシティー校(Twin Cities Campus of the University of Minnesota)、マサチューセッツ工科大学(Massachusetts Institute of Technology)、コーネル大学(Cornell University)、プリンストン大学(Princeton University)、ワシントン大学(University of Washington)、テキサス大学オースティン校(University of Texas at Austin)、そして、NASAの共同研究校でもあるウィスコンシン大学マディソン校(University of Wisconsin at Madison)などだ。ノースウエスタン大学(Northwestern University)のコンピュータも被害を受けたと報じられているが、確認されていない。また、撃を受けたと報じられたNASAの施設は、ワシントンのNASA本部(NASA Headquarters in Washington)、カリフォルニア州エイムズ研究センター(Ames Research Center in California)、カリフォルニア州ドライデン飛行研究センター(Dryden Flight Research Center in California)、メリーランド州ゴダード宇宙飛行センター(Goddard Space Flight Center in Maryland)、ウエストバージニア州独立確認検証施設(Independent Validation and Verification Facility in West Virginia)、カリフォルニア州ジェット推進研究所(Jet Propulsion Laboratory in California)、フロリダ州ケネディー宇宙センター(Kennedy Space Center in Florida)、バージニア州ラングレー研究センター(Langley Research Center in Virginia)、オハイオ州ルイス研究センター(Lewis Research Center in Ohio)、アラバマ州マーシャル宇宙飛行センター(Marshall Space Flight Center in Alabama)、カリフォルニア州モフェット連邦軍用飛行場(Moffett Federal Airfield in California)、ミシシッピ州ステニス宇宙センター(Stennis Space Center in Mississippi)、バージニア州ワロップス飛行施設(Wallops Flight Facility in Virginia)、ニューメキシコ州ホワイトサンズ試験施設(White Sands Test Facility in New Mexico)であった。
ただし、米国国防総省(DOD/Department Of Defence/ペンタゴン)のコンピュータに不法侵入したと噂されている18歳のハッカーが、イスラエルでコンピュータの「天才」として英雄視されている現実もある。国防総省を管轄する研究員が遠隔操作するために開発したのがARPAnetで、インターネットの元祖といわれているのであるから仕方がないが、1998年3月2日に起こったのコンピュータ・プログラムに無断侵入した事件で、サンフランシスコ地裁は男子高校生2人に対し、3年間の保護観察処分とこの期間中にコンピュータの所有、使用、学校などで教師、図書館員、事務員のコンピュータに近づいてもいけないという判決を下した。同時に少年に対し、それぞれ100時間の社会福祉活動、被害を受けた政府官庁などに4330$、企業に1195$の補償金の支払いも命じた。弁護士は少年の2人はオモチャ感覚でイタズラしたに過ぎないとコメントしたが、2人にとっては厳しい判決になった。
1998年5月にインドが実施した核実験に抗議してか？インドの核研究所のサーバーに侵入事件が発生し、セキュリティ問題が急浮上している。詳細情報はURL(http://www.zdnet.co.jp/news/9806/08/nuke.html)で知ることができる。Spy & CounterSpyには、ユーザーがPGPを正しく使用していないことにつけ込んだり、直接端末などを極秘に捜索するなど、FBI(米国連邦捜査局/Federal Bureau of Investigation)がPGP利用者を攻撃目標にしてクラッキングをしている(How the FBI cracks PGP email...)というレポートとして、Attack #1, plaintext recovery、Attack #2, Counterfeit PGP program、Attack #3, PGP's working files、Attack #4, Video surveillance、Attack #5, Audio surveillance、Attack #6, AC power analysis、Attack #7, EMT analysis、Attack #8, Coercion、Attack #9, Random numbers、Attack #10, Cryptanalysisの10例が掲載されている。詳細情報はURL(http://www.SPYCOUNTERSPY.com/fs006.html)で知ることができる。
Kevin Mitnickは2000年1月21日にカリフォルニア州ランポックの刑務所を5年ぶりに出所したが、裁判所の命令に基づき、保護監察官に書面で事前に許可を求めない限りは、3年間にわたってあらゆる種類のコンピュータ機器を使用することは禁止されている。詳細情報はFREE KEVIN MITNICKのURL(http://www.freekevin.com)で知ることができる。
このFREE KEVIN MITNICKのページは、同時にKevin MitnickのページのURL(http://www.kevinmitnick.com/)でもある。1999年6月3日の英語版を翻訳した「昼はハッカー、夜はクラッカー(Hacker by day, cracker by night)」というニュースがZDNet Wireの6月8日号に掲載された。その記事によれば「VallaH」というハンドル・ネームを持つ19歳のJeffrey Robersonは、昼間はMicrosoft社で働く契約社員であったが、1999年5月26日から始まった「FBI vs.ハッカー」の戦いで、米連邦捜査局(FBI)の手入れを受けたことからMicrosoft社との契約が打ち切られたことが表面化し、昼間はエンジニアで夜はハッカーという二面性がある社員が、まだMicrosoft社にはまだいるのではないかということで話題になっていた。詳細情報はURL(http://news.zdnet.com/2100-9595_22-500985.html?legacy=zdnn)で知ることができる。
また、ほかの会社でもそのような社員がいることを完全に否定できないのが現状で、「誰もがやっているが、誰もそのことを語ろうとしない。」と語るアナリスもいる。とくにMicrosoft社の場合、元はMicrosoft社で働く意志が無かったにも係わらず、買収と投資によって、働いていた会社がMicrosoft社の傘下になったことから、仕方なく働いているという技術者もいるはずである。
現にMicrosoft社のWordでは、発売前にウイルスが発見されるなど、不思議な現象が起こっている。しかし、これまで開発されてきた画期的なアプリケーションや通信ソフトは、そのほとんどがパソコン通信などでの通信環境で、ハッカーやクラッカーが悪戯半分で開発したリソースが、重要なキーになることも多く、「昼はハッカー、夜はクラッカー」という若者を完全に閉め出して、大手のソフトウェア企業が成り立つとは考えにくいのも現状である。詳細情報はURL(http://www.zdnet.co.jp/news/9906/07/hack1.html)で知ることができる。
1999年8月30日にDOJ(Department of Justice/米国司法省)は、米国陸軍(U.S. Army)のコンピュータに不正アクセスし、通信システムを妨害した容疑で、ウィスコンシン州グリーンベイ在住の「グローバルヘル(GH/Global Hell)」と呼ばれる集団の創立者の1人チャド・ディビス(Chad Davis)容疑者(19)を逮捕したと発表した。詳細情報はURL(http://www.usdoj.gov/opa/pr/1999/August/387crm.htm)で知ることができる。
この若い才能のある容疑者をDOJはどのように処分するのか、注目される。2000年1月24日午後から26日にかけ、連続的に科学技術庁と総務庁のサイトが不正アクセス被害うけ、南京大虐殺への中国語と英語の抗議文「Japanese? As all peoples know, It's a folk which has no courageface to the truth of history It's the disgrace of Asian!」や米国のポルノ・サイトへリンクされたり、データが消されるなどの事故が起こった。
とくに日本の科学技術の中枢である科学技術庁は連続2回も不正アクセスを受けるなど、テレビ、ラジオ、新聞はそれ見たことかと技術力の低さと、政府機関の危機管理意識の甘さを指摘した。ただし、誰でも見ることができ、リソースもダウンロードできる環境を提供し、不正アクセス自体がそれほど高度な技術を必要としないことから、一般公開されているページがクラッキングされるのは、完全な防御は不可能といえる。
「不正侵入はあり得る」という前提のもとに、侵入を受けた時に適切な対応ができるような体制を整えておくことが大切である。政府機関やマスコミが慌てれば慌てるほど、騒げば騒ぐほど、クラッカーにとっては勝利であり、愉快犯が続出することになる。
ただし、通信関係に詳しい知人に今回の事故について問い合わせたところ、弁解のしようがない程度が低いセキュリティ技術であったと、数カ所にわたって具体的に指摘した。政府は民間の協力も得て、不正アクセス対策専門組織を構築するといっているが、そのようなときに限って、国民の税金にたかる政府お抱え評論家や口先知ったかぶり学者を専門家として迎え、たかられ続けているようだが、そろそろそれらの無知組織より、実際に技術を持った若手で無名の人達に協力を要請する時期にきている。
もっとも、そのような技術者とコンタクトがないところが「お上」なのかもしれない。
2000年1月26日には通産省のサイトにも、オーストラリア経由で不正アクセスを試みるクラッカーが表れ、過去に書き換えされた経験から阻止したことが報告された。警視庁は2000年1月26日に、生活安全総務課ハイテク犯罪対策センターと捜査一課などによる捜査本部を設置し、電子計算機損壊等業務妨害容疑で、不正侵入された省庁からハードディスクなどの提出を求め、それらを解析する本格的な捜査を開始した。
2000年1月26日の段階で、人事院のホームページには高知工科大学のコンピューター識別信号を使用していることが判明している。ただし、このような信号は経由しただけで残ることから、犯人と断定することは危険である。
また、愉快犯が挑戦し、ミスを残すということの方がこれまでも多いことから、捕まえて真犯人と報道されても信用できる証拠はほとんど残っていないのが現実といえる。また、このような事故が増えると、懇切丁寧に、そして自慢も半分で、クラックの仕方を解説する記事まで雑誌などで登場し、同時に、クラッキング用フリーソフトのサイト・リストまで掲載し、クラッキングに参加しようといわんばかりにあおり立て、ついそれを試して快感を覚え、クラッカーに変身する人まで登場する始末である。実はこのようなクラッキング用ソフトの最新バージョ売り込みが、毎日電子メールで届くのが現状である。
この一連の事件は、不正アクセス行為禁止法が施行される前に起こり、大阪の人事院近畿事務局のホームページが不正侵入され、約96%に当たる4010のファイルやフォルダが消去される事故が2000年1月27日に報告されるなど、全国規模で不正アクセスが報告される可能性があり、全国の都道府県単位でも不正アクセス対策に乗り出すきっかけを作ったことになる。例えば、石川県警は2000年1月27日に、県内のインターネット・サービス・プロバイダなど情報通信機関と連携した「県コンピューターネットワークセキュリティ協議会」を設立し、その他の都道府県も一斉に、2000年問題のときと同様に、国に対して予算を請求することになりそうである。
また、2000年問題と同様に、ぼろぼろと小さなミスが続出することになりそうである。東北大などが参加している不正侵入者を逆探知する新技術を産学の共同研究グループは、通信記録(ログ)を消すなどの証拠隠滅をはかっても、犯人の居場所を約9割の確率で突き止められる技術の開発に成功したことをNIKKEI NETが2000年2月26日に発表した。詳細情報はURL(http://it.nikkei.co.jp/it/soft/softCld.cfm?id=20000226eimi099626)で知ることができる。
2000年8月創刊予定のコンピュータ雑誌「Contentville」は、5年の刑期を経て仮釈放中のケビン・ミトニック(Kevin Mitnick)にコラムの執筆依頼をし、連邦地裁Mariana Pfaelzer判事は、保護観察官Larry Hawleyの許可があれば執筆の仕事を受けても良い、と裁定した。Kevin Mitnickは、コラム執筆にタイプライターを使用する案も添付したが、Larry Hawleyは、Kevin Mitnickの請求を却下した。Pimpshizと名乗るNapster擁護のハッカーは2000年8月16日に、Windows NTのセキュリティ・ホールを使って、The Martin Short Showなどのテレビ番組のサイトから書き換えが始まり、過去2週間にNASAやフランス国立図書館を含む約60のWebサイトを改ざんしたと宣言した。
このように、ハッカーがクラッカーに変身し、自分たちの自由を主張する事件は、共有データを基本に発達してきてインターネットの技術がビジネスにも利用できるようになり、今後、企業や国家主導のインターネット思考が続く限り、避けられないことだろう。Kevin Mitnickは2000年11月29日にオークション・サイトdutchbid.comで、個人情報の販売を開始した。Kevin Mitnickは2000年11月29日にオークション・サイトdutchbid.comで、個人情報の販売を開始した。Kevin Mitnickは史上最悪の天才ハッカーとして、1999年にDimension Film社によって「ザ・ハッカー(TakeDown)」として映画化された。
また、クラッカーKevin Mitnickの追跡を綴ったことで有名なTsutomu Shimomura「TakeDown」の映画化について、Kevin MitnickのコメントがあるURL(http://www.kevinmitnick.com/review.html)も登場した。
この映画の(c)はHacker Productions Incで、ハッカー制作会社ということになる。米国のサンフランシスコ連邦裁判所は、ハッカー・オンライン・チャット・ルームbad kidsで頻繁に発言していたロスアラモス国立研究所(Los Alamos National Laboratory)のJerome T. Heckenkamn職員(21/ハンドル名MagicFX、Magic)を2001年1月9日にeBay.comやExodus Communications、Jupiter Networks、Lycosなど16件のコンピュータ不正侵入で起訴し、本人も認めているということである。スペインでは全国民が、基本サービスの料金で、すべての追加課金チャンネルを観ることができる衛星放送の海賊行為用のデコーダーカードを簡単に入手し、キャナル・サテライト・デジタル(CSD)が対抗策を採るとすぐにAASと名乗るクラッカー・グループが新しい暗号解読を提供し、デコーダーカードが販売されるというイタチゴッコ状態が続いているということである。詳細情報はAASのURL(http://www.eureka.ya.com/aascryptos/)で知ることができる。
日本のドメインを対象に中国のハッカー集団HUC(Hocker Union of China)と見られる企業や団体への不正アクセスが急増し、ウェブページを改ざんする事件が相次いでいることが、国内で起こったインターネット絡みの事件、事故などのニュースを専門に扱う情報共有サイト「EVERYDAY PEOPLE」で随時掲載している。詳細情報はURL(http://people.site.ne.jp/)で知ることができる。
その他、URL(http://www.attrition/org/)やURL(http://defaced.alldas.de/)があり、すぐに確認できるが、残念なのはサーバー管理者不在とも取れる改ざんされたまま放置されているサイトがあまりにも多いことである。
イギリスで2001年2月19日に施行した「テロリズム2000(Terrorism Act 2000)」では、クラッカー(ZDNetUKではハッカーという表現を使用している)をテロリストと見なされる可能性が表記された。Terrorism Act 2000はURL(http://www.hmso.gov.uk/acts/acts2000/20000011.htm)で読むことができる。
米国連邦検察官は2001年4月23日に、韓国のナラ・バンク(Nara Bank)の米国子会社、インターネット・サービス・プロバイダSpeakeasy.net社、CTS社などの企業ネットワークに次々と侵入した容疑で2名のロシア人を起訴したことを発表した。クラッカーがサイトに無断で侵入(Network Monitoring Attack)し、そこに残していった画像や文章を読むと、そのほとんどがセキュリティの不備を指摘している。またFBIのCSI(Computer Security Institute)は2001年5月12日にCSI/FBI Computer Crime and Security Survey 2001を公開し、セキュリティ侵害の93%の原因は人為ミス(ヒューマン・クリプト)で、その中でセキュリティ管理ミスは49%であることを発表していることから、クラッカーの侵入者を単に、泥棒や殺人事件の犯人のように非難するマスコミの行動に、疑問を持つ人まで登場している。
別にクラッカーを養護するつもりはないが、泥棒に入られないように警察が四六時中戸締まりや鍵の安全確認を提唱しているように、サーバーの管理者、サーバー・アプリケーションのメーカーが速急に対応することなどを求めることが先決という意見の方が正当といえる。とくに、早くから指摘されてきたセキュリティ・ホールへの対応が遅いメーカーに関しては、クラッカーの犯罪性より、重罪といえる。詳細情報はURL(http://www.gocsi.com/)で知ることができる。
つまり、空腹の人の前に饅頭を置いて、食ったからといって泥棒で捕まえるより、空腹な人の前に饅頭を置いた場合は、食われても仕方がないという大岡裁判のような考慮も必要な時代になってきている。襲われたから襲った奴を恨むという短絡的な発想ではなく、襲われないように自己防衛を十分にすることに主眼を置くという思想が求められるようになってきている。
これに似た現象は、それまでのアートを根底から動かす大きな原動力として注目され、1916年にスイスのチューリッヒで宣言された、ダダイズムがあり、その活動に関してはハンス・リヒター(Hans Richter)のアートと、アンチ・アート(DaDa-Kunst und Antikunst/1964)で知ることができる。
また、このDaDaをスイスの国民会議の立て役者になった新聞Neue Zuericher Zeitungが支援し、50年後の1966年には紙面でDaDaの大特集を掲載している。このような背景から、サイバー・アバン・ギャルド、サイバー・ダダという考え方から、クラッカーやウイルスをとらえる必要も出てきている。サイト書き換え事故が多すぎることから、2001年5月22日にatrition.orgは改変されたページのコピーを掲載しているミラーサイト・セクションを閉鎖した。2001年6月に劇場公開するクラッカーが登場するワーナー映画のアクション冒険映画「Swordfish」のプロモーションで公開されたURL(http://operationswordfish.warnerbros.com/)では、マーケティングと広告を巧妙に組み合わせたキャンペーンを展開した。
シアトルの米国連邦地方裁判所はVasily Gorshkov(当時25歳)とAlexey Ivanov(当時20歳)の2名のロシア人が米国企業のコンピュータに侵入した事件で、FBIの捜査官が被告をInvitaという架空の企業を使ったおとり捜査で罠にかけ、パスワードとアカウント番号を入手し、ロシアのコンピュータから犯罪の証拠をダウンロードした行為について2001年5月23日の審議の後、FBIの行為は合憲であるという判断を下した。
また、米国では教育目的で、セキュリティ情報サイトで、ハッカー情報やハッキ ング情報などを提供しているOnline上にあるAntiOnlineが登場した。詳細情報はURL(http://www.antionline.com/)で知ることができる。米国の司法省が提供している刑務所情報(Federal Bureau of Prisons)はURL(http://www.bop.gov/)で読むことができる。マザージョーンズ・コム(MotherJones.com)でも、「Debt to Society(社会への負債)」というサイトで、全米の警務諸情報を公開した。詳細情報はURL(http://www.motherjones.com/prisons/)で知ることができる。
2001年7月12日/World of Hellが、僅か1分間で679のウェブサイトを改ざんし、攻撃した全てのサイトにそれを自慢するメッセージを残した。攻撃されたサイトのドメイン登録記録を調べた結果として、その殆どがウィスコンシン州に拠点を置くインターネット・サービス・プロバイダReady Hosting社で、バーチャル・ホスティング処理を行っていたことまでは判明している。三才ブックスは、デジタルからアナログまで、おもしろくて役に立つハッキング情報を完全網羅したアングラ情報の総合誌「B-GEEKS(隔月刊)」を創刊し、2001年7月27日より全国の書店で発売することを、2001年7月25日に発表した。ニュージーランドではコンピュータ部門でWebサイトをハッキングすると最長7年間の懲役を課すというanti-terrorism billが公開され、EFFectorが反対署名を実施している。イギリスのBBCは2001年12月13日に、LEDを利用して、量子キーコンポーネントを利用したクラッキングできないコードをケンブリッジで開発したと報道した。詳細情報はURL(http://news.bbc.co.uk/hi/english/sci/tech/newsid_1709000/1709322.stm)で知ることができる。
Joanne Marineが2002年1月7日にFind Lawで公開した「Good And Bad Terrorism?」を公開した。詳細情報はURL(http://writ.news.findlaw.com/mariner/20020107.html)で知ることができる。
イタリア警察は2002年1月14日に、62ヶ国の何100というホームページを反グローバリゼーションのスローガンに置き換えた容疑で15歳から23歳までの学生クラッカー集団「Hi-Tech Hate」のメンバー6名を逮捕したことを発表した。Paul Burstowイギリス下院議員が2002年1月14日に議会で行った政府のセキュリティに関する質問で、イギリスMoD(Ministry of Defence/国防省)はこの3年間でLCD(大法官省/Lord Chancellors Department)がクラッキング被害で通報した件数が19件、外務省は5件、内務省は3件、そして北アイルランド省が4件と、合計で27件のクラッキングがあったことが判明した。詳細情報はURL(http://www.zyworld.com/paulburstow/hackinpr.htm)で知ることができる。
また、インターネット上には、Internet Law(インターネット法), Cyber Law(サイバー法), E-Commerce Law(電子商取引法), Domain Name Law(ドメインネーム法), Intellectual Property Law(知的財産法), Copyright Law(著作権法) and Trademark Law(商標法)などに関する資料があるインターネット法律電子図書館(Internet Law Library)のURL(http://www.internet-law-library.com/)もある。
フランスのメディア・コングロマリットであるビベンディ・ユニバーサル(Vivendi Universal)社は2002年4月26日に、パリで2002年4月24日開いた株主総会で採用された電子投票システムに、クラッカーが侵入した形跡が発見されたことから、総会をやり直すと発表した。詳細情報はURL(http://www.vivendiuniversal.com/vu2/en/news/00000922.cfm)で知ることができる。
ComputerWorldは2002年5月2日に、クラッカーDeceptive Duoは2002年4月24日に、米国政府関連サイトのoffice of the secretary of Defense, the Space and Naval Warfare Systems Command, the Defense Logistics Agency, Sandia National Laboratories, NASA Jet Propulsion Laboratoriesや航空会社Midwest Express Airlinesさらに数カ所の銀行の不正侵入に成功し、セキュリティの甘さを指摘した報告を報道した。詳細情報はURL(http://computerworld.com/nlt/1%2C3590%2CNAV47_STO70728_NLTPM%2C00.html)で知ることができる。
FBIは2002年5月13日に、「Pimpshiz」というハンドルネームでサイト書き換えを繰り返した罪で、別件の容疑が逮捕しているRobert Lyttle容疑者を2002年9月11日のテロ事件を支援するため愛国的に活躍し、多くの政府系サイトに侵入して、セキュリティの甘さを指摘し続けてきた「Deceptive Duo」のメンバーとしてコンピュータ装備などを押収し、さらにDeceptive Duoの友人という「Sm0ked Crew」の元メンバーで、ハンドルネームThe-Revのコンピュータ装備も押収したことを発表した。
米国のGAO(General Accounting Office/米国連邦会計監査院)は2002年5月30日に発表した米国国防総省の無駄使いをレポートした「DOD Contract Management: Overpayments Continue and Management and Accounting Issues Remain. GAO-02-635, May 30.」を2002年7月1日に公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-02-635)で知ることができる。米国下院は2002年7月15日に、悪質なコンピュータ・クラッキング行為を行った者に終身刑を科すことを許可する犯罪小委員会(Committee on the Judiciary)委員長のラマー・スミス(Lamar Smith)下院議員が2001年12月13日に提出した「サイバー・セキュリティ法案 2002(CYBER SECURITY ENHANCEMENT ACT OF 2002)」を賛成385、反対3で承認した。詳細情報はURL(http://thomas.loc.gov/cgi-bin/bdquery/z?d107:h.r.03482:)または、URL(http://clerkweb.house.gov/cgi-bin/vote.exe?year=2002&rollnumber=296)で知ることができる。
ところが、そのような危険なOSやアプリケーションを販売し、放置していたメーカー側にはおとがめ無しということである。本来なら、クラッカーが襲うのは、そのようなメーカー側の怠慢がほとんどであり、クラッカーを死刑にするなら、当然、口ばっかりでセキュリティを訴え、そのような危険な環境を有料で販売し、放置してきたメーカー側の社会的責任はクラッカーよりも重く、高給幹部も死刑にすべきであり、一方的にクラッカーだけを咎め、怠慢経営で金儲けをしたメーカーにはお咎め無しでは、ベニスの商人や大岡政談でも驚き、桜吹雪持ちって、裸の王様までが恥ずかしくて服を着て逃げ出すほど、一方的な米国下院の議員判断といえる。
FBI(米国連邦捜査局/Federal Bureau of Investigation)のNIPC(National Infrastrcture Protection Center/米国インフラ保護センター)は2002年8月5日に、8月5日、6日に大がかりなクラッキングがある可能性があることから、全米のインターネット・サービス・プロバイダに向けて警告を発表した。ロシアのKaspersky Lab News Agentは2002年8月16日に、2000年11月におとり捜査によって逮捕されたロシアのクラッカーGorshkovとIvanovを捜査する目的で、ロシアのFSB(Federal Security Service and successor to the KGB)のサーバーに米国のFBIが不正侵入し、無断で2名に関する証拠をダウンロードしたとロシア当局が非難していることを報道した。詳細情報はURL(http://www.viruslist.com/eng/index.html?tnews=1007&id=51503)で知ることができる。
WIPO(World Intellectual Property Organization)が2002年12月16日に、知的財産権に則ったデジタル経済についてのレポート「INTELLECTUAL PROPERTY ON THE INTERNET」を公開した。詳細情報はURL(http://ecommerce.wipo.int/survey/)で知ることができる。
米国のNCES(National Center for Education Statistics)は2003年3月31日に、教育関連のセキュリティ・レポート「Weaving a Secure Web Around Education: A Guide to Technology Standards and Security 」を公開した。詳細情報はURL(http://nces.ed.gov/pubsearch/pubsinfo.asp?pubid=2003381)で知ることができる。
米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年6月27日に、ビジネス管理システムとリスクに関する報告書「Business Systems Modernization: IRS Has Made Significant Progress in Improving Its Management Controls, but Risks Remain. GAO-03-768」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-768)で知ることができる。
CSCIC(NYS Office of Cyber Security & Critical Infrastructure Coordination)は2003年7月1日にインターネット事業者などの組織に対し、2003年7月6日に6000のウェブサイトを6時間で改竄するというハッカーたちの目標について警告し、WIRED NEWS(2003/07/03)も米国政府が多くのクラッカー達がディフェイサーズ・チャレンジ・コム(defacers-challenge.com)というウェブサイトを設立し、何千ものウェブサイトを攻撃する計画を立てていると警告を発したと報道した。詳細情報はURL(http://www.cscic.state.ny.us/advisories/july03/7_01.htm)または、URL(http://www.cscic.state.ny.us/)または、URL(http://www.hotwired.co.jp/news/news/20030703301.html)で知ることができる。
ISS(Internet Security Systems)も研究部門 X-Force巻頭ページで2003年7月6日に対し、「AlertCon 2(Lebel 2)」の警告を掲載した。詳細情報はURL(https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp)または、URL(http://xforce.iss.net/)で知ることができる。
しかし。2003年7月6日にはそれほど大きな被害は報告されなかったが、Webサイト改ざんを記録している最大手のセキュリティサイト「Zone-H.org」が2003年7月7日の被害結果と共に10時に「Zone-H.org」がダウンしたと報告した。詳細情報はURL(http://zone-h.org/en/news/read/id=3024/)で知ることができる。
JSOC(Japan Security Operation Center)は2003年8月7日に、「Defacers Challenge」に関するレポートを公開した。詳細情報はURL(http://www.lac.co.jp/security/jsoc/report/index.html)で知ることができる。
米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年7月8日に、DOD(Department of Defense/米国国防総省)におけるIT技術の導入によるビジネス管理システムの近代化と予算に関する報告書「Business Systems Modernization: Summary of GAO's Assessment of the Department of Defense's Initial Business Enterprise Architecture. GAO-03-877R」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-877R)で知ることができる。
ニューヨークで2003年8月14日に起こった大停電は、送電管理システムがダウンし、それが連鎖反応を起こしたことが原因であったことから、今後発電所や変電所にコンピュータ・ウイルスやクラッキングによる攻撃で、大停電が起こる可能性が一気に高まった。ZDNetは2003年9月16日に、米国、カナダ、およびイギリス政府のために働く研究者らは既に、デジタル継電・制御技術のバックドアーを発見していると報道した。詳細情報はURL(http://www.zdnet.co.jp/enterprise/0309/12/epap01.html)で知ることができる。
Editor and Publisherは2003年11月14日に、米国の24歳になるWebデザイナーJohn William Racine IIがAl-Jazeeraのサイトを乗っ取り、星条旗と「Let Freedom Ring.」という文を掲載した事件で、U.S. District Judge A. Howard Metz裁判長が、2003年11月12日に1000時間のコミュニティ・サービスとUS$2000の罰金を課したと報道した。詳細情報はURL(http://www.editorandpublisher.com/editorandpublisher/headlines/article_display.jsp?vnu_content_id=2028938)で知ることができる。
米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年12月12日に、テロと経済に関するメカニズムのレポート「Terrorist Financing: U.S. Agencies Should More Systematically Assess the Use of Alternative Financing Mechanisms. GAO-04-163」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-163)で知ることができる。
CNET Japanは2003年12月22日に、「最強ハッカー、K・ミトニックが新刊執筆へ--ハッカーたちから経験談を募集」を発表し、処女作「The Art of Deception(邦題「欺術」)」に続く、実在のハッカーたちの体験を題材とする新作「The Art of Intrusion(侵入の技術)」(仮名)の執筆契約を結び、書籍に掲載された作品の中で最も優れたものにUS$500、また最終稿に掲載された全ての作品にUS$200ずつ提供すると発表した。詳細情報はURL(http://japan.cnet.com/news/media/story/0,2000047715,20063070,00.htm)で知ることができる。
中国で禁止されている宗教団体Falun Gong(法輪功)のメンバーで、CATVや放送局をハッキングして、法輪功学習者への組織的な残虐行為を暴く番組を放送したことで19年の刑期で収監されていた劉　成軍(Liu Chengjun)が2003年12月26日に、刑務所で死亡したと報告した。詳細情報はURL(http://www.faluninfo.net/displayAnArticle.asp?ID=8207)または、URL(http://www.faluninfo.jp/2003/12/html/031230_phss.htm)で知ることができる。
米国議会の上院警備局は2004年3月4日に、共和党オリン・ハッチ(Orrin Hatch)上院議員の事務官2人が18カ月にわたって民主党のファイル4670件以上にアクセスし、情報を盗聴していたとする報告書を公開した。詳細情報はURL(http://judiciary.senate.gov/hearing.cfm?id=1085)で知ることができる。
これは米国議会の上院議員がクラッカー事務官を雇っていたことになり、社会的制裁は免れないことだろう。
米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年4月1日に、米国エネルギー省(Department of Energy)がサポートしているロス・アラモス国立研究所(Los Alamos National Laboratory)とローレンス・リバモア国立研究所(Lawrence Livermore National Laboratory)のレポート「Department of Energy: Mission Support Challenges Remain at Los Alamos and Lawrence Livermore National Laboratories. GAO-04-370」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-370)で知ることができる。
イギリスのthe Registerは2004年5月3日に、伝説のハッカーとして知られるケビン・ミトニック(Kevin Mitnick)がデトロイト郊外の小さな町のRiver Rouge High Schoolで、授業中に起こった爆弾脅迫携帯電話の捜査で困っていた探偵のJohn Keckに、携帯電話IDのだまし(spoofing)の技術を教授し、犯人(15歳の少年)逮捕に協力したと報道した。詳細情報はURL(http://www.theregister.co.uk/2004/05/03/mitnick_busts_bomb_hoaxer/)で知ることができる。
米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年6月2日に、もっとも重要なインフラを保護し、確保するために必要なサイバー・セキュリティの技術的レポート「Technology Assessment: Cybersecurity for Critical Infrastructure Protection. GAO-04-321」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-321)で知ることができる。
米国のGAOは2005年2月11日に、米国国防総省(DOD/Department Of Defence)の近代化と統合軍事の人的資本管理プログラムについてのレポート「DOD Systems Modernization: Management of Integrated Military Human Capital Program Needs Additional Improvements. GAO-05-189」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-05-189)で知ることができる。
PC Proは2005年4月7日に、イギリスのNHTCU(National Hi-Tech Crime Unit)が発表した最新調査報告「NOP Survey 2005 - The Impact of Hi-Tech Crime on UK Business」からハイテク犯罪被害は 24億5000万で、約200社を対象にした調査では89%の企業が権限のないアクセス試みの経験があり、 90%が何らかのアクセスを経験したことがあり、ほとんどすべての企業がウイルス感染力を経験し 7000万以上の費用でプロテクション技術を導入し、財政的な詐欺は9%に影響したと報告した。
また、すべての攻撃が外部的に起因するというわけではなく、従業員によって犯された犯罪では、ネットワークとデータのサボタージュが最も一般的であったと報告した。詳細情報はURL(http://www.pcpro.co.uk/?news/news_story.php?id=71182)で知ることができる。「NOP Survey 2005 - The Impact of Hi-Tech Crime on UK Business」はURL(http://www.nhtcu.org/media/documents/publications/NOP_05.pdf)でダウンロードできる。
中国系香港紙「文匯報」2005年7月1日に、中国最大のハッカー組織「中国紅客連盟」が7月と9月に、反中国的な日本のウェブサイトを攻撃する計画があると報告した。米国のWebsense社は2005年7月25日に、無料ホスティングサイトにワームやトロイの木馬、キーロガーなど機密情報を入手するための悪質なコードが保管されていた事例を2005年に入ってから2,500件発見したと報告し、クラッカーの隠れ家になっているという報告「Free Personal Web Hosting Sites Provide a Safe Haven for Hackers」を発表していた。詳細情報はURL(http://ww2.websense.com/global/en/PressRoom/PressReleases/PressReleaseDetail/?Release=050725979)で知ることができる。
Computerworld Wrap-Upは2005年12月29日に、FBIが政府機関のために強健で、安全なグローバルなITインフラストラクチャ環境を確保するために数人IT専門家を探していると報告した。2005年12月23日に公開されたアナウンスによれば、コンピュータ技術者、IT専門家、およびITを含むITマネージャで、年俸はUS$3万5452から13万5136で、経験と資格に基づいて、リクルートメント・ボーナスで支払われるとFBIは報告している。詳細情報はURL(http://cwflyris.computerworld.com/t/219376/400648/4912/0/)または、URL(http://www.fbi.gov/pressrel/pressrel05/pr_it122305.htm)で知ることができる。
セキュリティ企業のF-Secure社は2006年7月26日にブログでAOLが運営するNetscape.comのサイトがクロスサイトスクリプティング(XSS)の脆弱性を突かれて不正侵入され、ホームページを含む複数ページにJavaScriptのコードが挿入されて、冗談のようなメッセージがポップアップで表示されるようになり、ソーシャル型ニュースサイトDigg.comにリダイレクトされるようになっていたと報告した。詳細情報はURL(http://www.f-secure.com/weblog/archives/archive-072006.html#00000926)で知ることができる。
ブラウザ業界でトップを走ったことがある「Netscape.com」の現状を世界中に知らせたことになった。改ざん情報サイトZone-Hが2006年8月21日に、クラッカーとして名声を得たケビン・ミトニック(Kevin Mitnick)のサイト「kevinmitnick.com」「mitnicksecurity.com」「mitsec.com」「defensivethinking.com」をパキスタン人のクラッカーグループが改ざんし、Kevin Mitnickの写真とKevin Mitnickをののしる文章を掲載したと報告した。ただし、Kevin Mitnickのサイトは以前にも改ざんの被害を受けたことがある。詳細情報はURL(http://www.zone-h.org/content/view/14073/31/)で知ることができる。
PR Newswireは2007年2月7日に、米国のメリーランド大学工学部機械工学科(School of Engineering, University of Maryland)のMichel Cukier助教授と、大学院生のDaniel Ramsbrock、Robin Berthierらはセキュリティの弱い4台のLinuxコンピュータをインターネットに接続し、どのようなことが起こるかを記録し続けた結果、24日間で約270,000回の侵入試みがあり、平均で1日あたり2,244回、39秒ごとに攻撃されることが判明したと報告した。また、最も多く利用されたユーザー名は「Root」で、2番目は「admin」、そのほかに多く利用されたユーザー名は「test」「guest」「info」「adm」「mysql」「user」「administrator」「oracle」だった。 詳細情報はURL(http://www.eng.umd.edu/media/pressreleases/pr020607_hacker.html)または、URL(http://sev.prnewswire.com/education/20070206/DCTU00906022007-1.html)または、URL(http://computerworld.co.nz/news.nsf/news/2A715991A8B94E5BCC25727C0004D3BF)または、URL(http://www.livescience.com/technology/070207_hacker_attack.html)で知ることができる。
イギリスのthe Registerは2007年2月6日に、「Slacker or hacker?」を公開し、サイト攻撃者の大多数は従業員または、元従業員によって実行され、その多くの原因が同僚と言い争って、緩慢などのふるまい、ずる休みに関係があると米国の研究者が分析したと報告した。この研究調査は5年間に渡って、カーネギメロン大学(Carnegie-Mellon University)のCERT Coordination Centreと米国財務省検察局(US Secret Service)によって調査され、インサイダー攻撃の80%は、不満であることを既に知られていた人々によって実行され、彼らは、マネージャか雇い主によって不十分な無能者として処分されていた。元従業員がITシステムを破損させた49のケースを調べた研究によれば、攻撃は論理爆弾から財政的な詐欺にまで及び、これらの攻撃のコストはUS$500からUS$何千万にまでも及んだとされている。
CERTチームによると、92%のインサイダー攻撃は論争が発火した状態で、格下げ、転送、または存在などの「否定的仕事関連のイベント」に続いた。破壊活動家の59%は、既に略奪され、削除されていなかったパスワードを使用して、彼らの元雇い主のシステムに入ったか、またはそれらが放り出される前に攻撃をセットアップし、彼らの特権があるシステムのアクセスを使用した。レポートの作者は、「インサイダー攻撃者の86%は不自然な人間関係があり、機構によって雇われると、システム管理者か、特権があるシステム・アクセスに90%が承諾した。」と報告している。詳細情報はURL(http://www.theregister.co.uk/2007/02/06/insider_threat/)で知ることができる。
USA Todayは2007年5月1日に、クラッカーがGoogleの広告に「罠」を仕掛けたと世界中をびっくりさせたが、今度はWikipediaにクラッカーが罠を仕掛ける準備に入っていると報告した。普通に思える見慣れたWebサイトが、攻撃を受ける「罠が」が仕掛けられるというWeb戦争の軍事的脅威になり始めている。このような攻撃は2005年の後半に表れ始め、Websenseの代表Dan Hubbardは、クラッカーがGoogleの広告にリンク先をごまかす技術を紹介したが、今度はWikipedia をはじめ、人気を呼んでいるサイトに「罠」をどんどん仕掛け始めると予測し、それはお母さんやお父さんが推薦するサイトから、パン屋にまで広がる可能性があると報告している。とくに、Wikipediaの場合は共有で、誰でも容易に「罠」仕掛けられることだろう。だれでも参加できるという夢のようなサービスは、同時に誰でも攻撃ツールに変身できるということで、とくにテキストベースでデータがアップできることから、今後話題を呼んでいるサイト、ユーザーを集めているサイトは「罠」の攻撃から回避する仕事が忙しくなる。詳細情報はURL(http://www.usatoday.com/tech/news/computersecurity/2007-05-01-malware_N.htm)で知ることができる。ビデオ「nailed in 30 seconds」の情報はURL(http://www.explabs.com/nailedin30_1.asp)にある。
San Francisco Chronicleは2008年4月2日に、クラッカーはコンピュータに侵入する最新の試みとして検索エンジンを使って探していると報告した。
過去数週間で、何千ものサイトを感染させるのに不当にJavaScriptを使用するWebページ、インタラクティブ地図のような特徴で使用されるコンピュータ言語を利用した。
WhiteHat Securityによると、サンタクララで10のWebサイトのうちの7は、これらの欠点で傷つきやすい状態であると報告している。
しかし、多くのユーザーは、感染していたとわからないので問題がどれくらい広範囲であるかは、不明瞭であると言っている。
スポークスマンは、Googleがそのような悪意があるWebアドレスに当たって、自動的に妨げるフィルタに取り組んでいると言った。
差し当たり、どうそれらのサイトの脆弱性を修正するかに関して、それらにアドバイスするために影響を受ける組織に連絡している。
最新の攻撃では、クラッカーがポピュラーな探索語に伴うWebアドレスに悪意がある検索用語を植えたので、サイトはGoogle検索で高く格付けされる。
例えば、チャペルヒルのノースカロライナ大学(University of North Carolina)TalkingBizブログは、アメリカ領サモアでホスティングされたサイトから悪質なコードをダウンロードしようとした。
しかし、そのサイトは、ハッカーの居場所ではなかった。
大学は、サイトをどのように感染させたか、そして、またはだれが攻撃に責任があるかを知らないと言っている。
独立セキュリティ・コンサルタントのDancho Danchevによると、金曜日に指定された小売店の中では、Wal-Mart、Target、Sears、Bloomingdaleが犠牲者になっている。
Danchevによって指定されたメディアでは、USAToday、ABCNews、Forbes.com、およびNews.comを含んでいた。
つまり、クラッカーはWebサイトに侵入し、Googleの検索率をSEO(Search Engine Optimization)などを使って高くし、またはすでにGoogleの検索率を高い有名なWebサイトに侵入し、悪質なコードを別のサイトからダウンロードさせるJavaScriptを埋め込み、そこにユーザーが行くと、悪質なコードをダウンロードさせている。
そのダウンロードさせる別のサイトには、クラッカーが存在していないで、そこも侵略されたサイトであったと言うことである。
SEO(Search Engine Optimization)などを使っていることから、かなり、サーチ・エンジンに精通したクラッカーが登場したことになる。詳細情報はURL(http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2008/04/02/BU77VU1VU.DTL)または、URL(http://www.jiten.com/index.php?itemid=9339)で知ることができる。
米国のGAO(General Accounting Office/米国連邦会計監査院)は2008年9月26日に、ロスアラモス国立研究所のUnclassifiedコンピュータ・ネットワークの情報セキュリティに関して、より保護するように要求したレポート「Information Security: Actions Needed to Better Protect Los Alamos National Laboratory's Unclassified Computer Network. GAO-08-1001」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-08-1001)で知ることができる。