倫理的ハッカー

公認クラッカー

法に則ったクラッカーの総称。セキュリティが確保されているかどうかを確認するために、悪意を持ったハッカーと同じ方法を使用して、外部からクラッキング・テストをしてシステムの持つ脆弱性を明らかにし、悪意を持ったハッカーによる攻撃からシステムを防衛するために活動する専門技術者といえる。ただし、セキュリティ技術を使って、秘密裏にテロリストなどが情報を交換していると噂され、それらの行動を盗み見るために、国や警察が認可して、不正に他人のコンピュータやWebサイトに侵入して情報を盗む公認クラッカーも「倫理的ハッカー」と呼ばれている。マレーシアのクアラルンプールで実施されたセミナーでは「倫理的なハッキングと対策」の必要性が強調され、侵入テストや倫理的ハッキングのプログラムを取得した「認定倫理的ハッカー」の称号が与えられる可能性まででてきている。これではまるでジョージ・オーエル(George Orwell/本名Eric Arther Blair/1903 1950)の全体主義的政治の恐怖を描いた未来小説「1984(Nineteen,eighty-Four)」が現実になったといえ、個人のプライバシーを完全に無視した国家権力や警察権力の暴走になりかねない危険な制度といえる。通信総合研究所(CRL)は2002年11月12日に、ヘッダーの内容を詐称した不正パケットを模擬的に発生させて、DoS攻撃を再現してサーバーやネットワーク機器の耐久性能を検証できる、倫理的ハッカーが利用することが可能な「不正パケット模倣装置」を開発したと発表した。米国のGAO(General Accounting Office/米国連邦会計監査院)は2002年11月19日に、コンピュータ処理されたデータで公開できる情報の査定をレポートした2002年10月1日の情報「Assessing the Reliability of Computer-Processed Data. GAO-03-273G」を公開した。また、コンピュータ・セキュリティの進化にともなう連邦政府に対する批判と、リスクによる賛成の意見を調査したレポートとして、米国政府の最も重要なコンピュータ・システムの中には、依然として重大なセキュリティの欠陥が有ることを指摘した「Computer Security: Progress Made, But Critical Federal Operations and Assets Remain at Risk. GAO-03-303T, November 19」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-273G)または、URL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-303T)で知ることができる。米国ではオリン・ハッチ(Orrin Hatch)米国上院議員が2003年6月17日に、「著作権」とは何かを知らせるため、P2Pサービスで海賊行為に使われたパソコンを遠隔攻撃する過激な対策を提案し、2003年6月18日に声明文を公開した。詳細情報はURL(http://judiciary.senate.gov/hearing.cfm?id=623)または、URL(http://judiciary.senate.gov/member_statement.cfm?id=623&wit_id=51)または、URL(http://hatch.senate.gov/index.cfm?FuseAction=PressReleases.Detail&PressRelease_id=205147)で知ることができる。ただし、WIREDNEWSは2003年6月23日に、Orrin Hatch米国上院議員の公式サイトでイギリスのソフトメーカーMilonic Solutions社が開発したメニュー・システムを無断で使用していることがヒューストン在住で、現在失業中のシステム・アドミニストレーターのローレンス・サイモン(Laurence Simon)によって発見され、Amish Tech Supportで発表したことから、Orrin Hatch米国上院議員のパソコンも遠隔攻撃されるターゲットであったことを報道した。詳細情報はURL(http://www.hotwired.co.jp/news/news/20030623204.html)または、URL(http://amish.blogmosis.com/archives/012511.html#012511)で知ることができる。「George Orwell生誕100周年記念(100th anniversary of George Orwell)」としてイギリスのThe GuardianとThe Telegraphは2003年6月26日に、イギリスの警察スコットランド・ヤードは、200万人のDNAデータベースを管理し、2004年までに300万人にDNAデータを増やす計画で、Mr. Blunkett によれば550万人の指紋データを持っていると報道した。詳細情報はURL(http://www.guardian.co.uk/uk_news/story/0,3604,985006,00.html)または、URL(http://www.telegraph.co.uk/news/main.jhtml?xml=/news/2003/06/26/ndna26.xml&sSheet=/portal/2003/06/26/ixportal.html)で知ることができる。Viruslist.comは2006年6月20日に、イギリスで初の政府に認可された「倫理的なハッキング」を教授する高等教育コースとしてハッキング学部がスコットランドのDundeeにあるUniversity of Abertayで9月に開始されると報告した。このコースを卒業すると、セキュリティに関してアドバイスしていて「倫理的なハッキング」のアートとして、抜け目のないコンピューティングと創造的な技術の専門家として働くと予想されている。ITセキュリティの問題は、より多くの圧搾物になっていたが、イギリスでの最近の情報機密保護違反に関する研究では、ITセキュリティに対処するイギリスの会社の12%だけが正式なセキュリティ資格があることが報告され、新しいコースではとくに、訓練されたセキュリティ専門家の数を増強することが目的で、システムをより保護するためにハックする技術は知識として必要であるという結論に達した。ただし、イギリス政府当局は密接にコースと学生をモニターし、すべての応募者が授業を始める前に内務省による慎重な精査を受けることになる。また、刑事上の過去をもっている応募者はコースに認められない。 されに、卒業生は、将来、彼らが犯罪に走らないことを確実にするためにモニターされる。コンピューティングと創造技術学校(School of computing and creative technologies)の代表でコースリーダーのLachlan McKinnon教授は、反対の考えで、このコースに関する自然な心配を述べ、「私たちは、彼らが倫理的なハッカーになって欲しいと思うので、密接に学生をモニターします。」と誓った。しかし、彼は、保証を全く申し出ないで、コンピュータを安全にすることができる唯一の確かな方法は、それらのプラグを抜くことであると言い足した。危険性のある人間を管理下において、いつもモニターしていることが本当の安全確保なのかもしれない。詳細情報はURL(http://www.viruslist.com/en/news?id=189271101)で知ることができる。