7月のラスベガス。容赦ない砂漠の真昼の太陽は、すでに外気温を3桁に押し上げている。しかし、ここアレクシス・パーク・リゾートの中は、涼しく薄暗い。バーはオープンし、客が集まり始めている。午後1時、ビッグゲームが始まったばかりだ。スポーツ賭博の世界的中心地であるラスベガスでは当然のことながら、数十台のスクリーンがアクションのあらゆるニュアンスを捉え、室内は光で輝いている。
しかし、これはテレビ画面ではなく、ノートパソコンだ。そして、その画面を覗き込み、キーボードを忙しく叩いている雑多な男たちは、ゲームの最後の瞬間に情報を得ようとするギャンブラーではなく、ハッカーだ。そして、これがゲームなのだ。
自称「世界最大のアンダーグラウンド ハッキング イベント」、Def Con へようこそ。
参加者や主催者がプライバシーに抱くフェティッシュな価値観を考えると、これは検証しにくい主張です。しかし、ダーク・タンジェント(通称ジェフ・モス)と呼ばれる21歳のハッカーが、これまでオンラインでしか知り合えなかった友人たちに会うためにこのイベントを立ち上げて以来、12年間でDef Conの人気が爆発的に高まったことは間違いありません。1993年の第1回カンファレンスには、約100人の友人が彼の呼びかけに応じました。2004年のConでは、事前に印刷された4,000枚の入場バッジがすべて早期完売しました。バッジを手に入れるには、80ドルの現金を持って会場に足を運ぶだけでした。
事前登録も、名前の記入も、質問も一切ありません。
では、ダーク・タンジェントの地下組織に所属する仲間たちは、80ドルで何を手に入れるのか?それは、最新のセキュリティ研究から車のハッキング方法まで、あらゆるテーマのパネル プレゼンテーションが満載の 3 日間プログラムだ。さらに、ウォー ドライビング (ラスベガスで保護されていない無線アクセス ポイントを探し出す宝探しゲーム)、Wi-Fi シュートアウト (砂漠で長距離無線接続を確立するコンテスト)、スポット ザ フェッド (群衆の中から政府職員を見つけ出すと T シャツが贈られるゲーム) など、さまざまな競技で腕試しができる。もちろん、恒例の神聖なコーヒー淹れコンテスト (彼らはコーヒーに真剣だ) も忘れてはならない。さらに、3 つのプールから好きな場所を選ぶことができ、少なくとも 1 つは DJ も登場する大酒飲みパーティーの会場になっている。
だが、太陽の周りを回っているようなデフコンの看板イベント、まさにこのいかがわしい宴会場で、まさに今まさに幕開けを告げるゲーム、キャプチャー・ザ・フラッグの電子版が繰り広げられている。予選トーナメントに出場した21チームの中から、8つの精鋭ハッカーチームが勝ち上がり、各チームは9フィート(約2.7メートル)の高さのスコアリングセンターを囲むように設置された会議テーブルの一組に陣取る。各テーブルにはノートパソコンと、チームのサーバー、つまり「ゲームボックス」が散らばっている。夏のキャンプでみんなが遊んだあのゲームと同じように、ここでの目的は自分のフラッグを守りながら相手のフラッグを奪うことだが、これらの「フラッグ」はサーバー内の仮想世界以外には存在しない。
Def Conのキャプチャー・ザ・フラッグ大会はハッキング界のスーパーボウルと言えるでしょう。とはいえ、黒ずくめの服を着た青白い顔のオタクたちがタイピングに励み、レッドブルの空き缶を積み上げている様子は、フットボールの激しい肉体美を思い起こさせるものではありません。一方で、この会場に集まったアスリートたちのスタミナには、さすがの一言。フットボール界のスーパースターたちが最高のパフォーマンスを発揮できるのは、たった4時間程度です。ところが、彼らはこれから33時間、ノートパソコンの画面を見つめ続けることになるのです。
ゲームが始まると、会場は張り詰めた雰囲気に包まれる。キャプチャー・ザ・フラッグは過去8年間、毎年夏にラスベガスで開催されてきたが、プレイヤーたちは現地に到着するまで、どんなことが待ち受けているのか全く予想もつかない。約1時間前、主催者たち(シアトルを拠点とするゲットー・ハッカーズというグループで、3年連続で優勝した後、2002年にゲームの主導権を握った)が、企業スパイ(ルールでは窃盗とされている)をモデルにしたシナリオのCDと説明書を配布した。各チームは銀行に扮し、フラッグではなく「トークン」を奪取するために競い合う。1時間に約10回、自動プログラムがトークン(小さなコード片)を各チームのゲームサーバーに配置する。トークンは貴重なデータであり、現実世界では精査されたり盗まれたりしたくなる魅力的な標的となるだろう。
明日の夜までに優勝したチームには、誰もが欲しがる黒いDef Conバッジが贈られます。このバッジは、Def Conへの生涯無料入場(そして1年間の自慢できる権利)に使用できます。しかし、おそらくもっと重要なのは、参加者全員が自身のセキュリティスキルを現実に試されるということです。このゲームは可能な限りリアルに設計されており、参加者は実際の企業がオンラインで使用しているようなサービスを攻撃したり防御したりします。Ghetto Hackersは、現実のセキュリティ問題がどのようなものかをよく理解しています。彼らの多くは、そうした問題に取り組んで生計を立てているからです。
一緒に座っているほとんどの人たちもそう思っている。彼らは「ベーコン」というチームのメンバーで、チーム名は12人のチームメイトが思いつく中で唯一好きなものにちなんで付けられている。もしストリップのブックメーカーが今年の大会に賭けるなら、ベーコンは間違いなく優勝候補の一人だろう。グループの中でリーダーに最も近い存在であるジョン・ヴィエガに会ったのは2年前、今私たちが座っている場所から20フィートほど離れたテーブルだった。当時、彼と現在のベーコンのメンバーの多くは「イミュニクス」(Linuxセキュリティ企業にちなんで名付けられた)というチームに所属しており、最終的には僅差で2位になった。ヴィエガのチームメイトのほとんどは、新興企業「セキュア・ソフトウェア」で働いているか、かつて彼の下で働いていたことがある。ただし、コックス・コミュニケーションズから2人、インテルから1人、AOLから1人、そして週末ずっと私と話していたものの、名前も勤務先も教えてくれない男性が1人いる。
ハッカーカンファレンスにしては、参加者が全体的にかなり大人びているように思えるかもしれないが、それは2004年だからだ。1980年代、いや、90年代のティーンエイジャーたちはすっかり大人になった。ユーモアと気概は健在で、今、ラップトップに「私のもう一台のマシンはあなたのLinuxボックスです」と書かれたステッカーを目にしている。しかし、キャプチャー・ザ・フラッグの出場資格を得た彼らは、もう子供ではない。
証拠Aとして、ヴィエガ氏を取り上げよう。彼は30歳で、2児の父親だ。重要なオープンソースソフトウェアをいくつか開発している(Mailmanというプログラムもその1つで、メーリングリストに参加していれば使えるかもしれない)。大学で講義を行い、安全なコードの書き方に関する書籍を3冊出版し、2001年には自身の会社を設立した。現在、同社は31人の従業員を抱え、ヴィエガ氏は最高技術責任者を務めている。カンファレンスの1週間前はあまりにも忙しく、ホテルの予約を取り損ねたという。もっとも、寝なければ部屋は必要ないだろうが。
ヴィエガはテーブルに身を乗り出し、焦りながらも静かにゲームプランを練っている。ベーコンのプレイヤーたちはゲームサーバーからラップトップにアプリケーションをダウンロードし、解析を始めている。ゲットーハッカーたちは、熟練したハッカーによる攻撃に対して脆弱な形でアプリケーションを開発(そして市販のアプリケーションも一部改変)している。ベーコンは鍵をこじ開け、他チームのサーバーに侵入し、貴重なトークンを盗もうとしている。
そして、その努力はすぐに報われた。午後4時頃、アナウンサーがPAシステムから「試合の先制点を挙げたベーコンにエールを送ります」とアナウンスした。ヴィエガは5チームのシステムにハッキングした。しかし、他のチームにはまだ追いつく時間がある。試合終了まであと30時間。
多くの人々――ハッカーも含む――は、ハッキングコミュニティを明確に二分しようとします。一つは「ブラックハット」、もう一つはブラックハットに発見される前に穴を塞ぐために穴を探すハッカーです。現実はもっと曖昧なことが多いのですが、コンベンションには常に両方の陣営のハッカーが参加しています。(そして、キャプチャー・ザ・フラッグの魅力の一つは、最も純粋なホワイトハットでさえ、週末の間悪者になれることです。)
人々が日常生活で電子データ交換にますます依存するようになるにつれ、両タイプのハッカーにとっての機会は拡大しています。ATMのレシートのような単純なものでさえ、攻撃を受ける危険性があると、元国家安全保障局(NSA)主任科学者のロバート・モリス氏は、Def Conのパネルセッションで警告しました。「ATMにそのまま置いてはいけません」と彼は言います。「歩道に捨てるのもやめましょう。今ここで問題がどうなっているのか詳しく説明することはできませんが(すでにご存知の方もいらっしゃるでしょうが)、ATMにそのまま置いておくと、多額のお金を失うことになります。」
無線通信の普及に伴い、電子的な侵入経路がさらに増えています。別のパネルでは、Shmoo Group(複数のBaconプレイヤーを含むセキュリティオタクの緩やかな集団)のメンバーが、インターネットホットスポットのトラフィックをすべてハイジャックできるプログラムを発表しました。また、セキュリティ保護されていないWi-Fiユーザーを見つけ出し、パスワードを大画面に表示する、車輪付きの小型「ハッカーボット」も披露しました。週末の後半には、オハイオ州からDef Conに参加した3人のティーンエイジャーが、シンシナティを車で走り回り、セキュリティ保護されていない無線インターネット接続を探し、ドアをノックして中の人に接続を修復するかどうか尋ねた様子を語りました。「彼らはかなりパニックになっていたので、購入したばかりの機器をどうにか活用できないかと考えていました」とベン・コラードは言い、Def Conに参加したきっかけを語りました。彼らは砂漠で55.1マイル(約80km)に及ぶ無線接続を確立し、Wi-Fiシュートアウトで優勝しました。
初心者には、キャプチャー・ザ・フラッグをプレイしている人たちは、ただノートパソコンの前に座り込んでいるだけのように見えます。ほとんどの時間は、コンピューターのコードを一行一行じっくりと読み、侵入方法を考え、アイデアを試すために数行のコードを書くことに費やされています。ほとんどの場合、うまくいきません。
数分おきにゲットーハッカーズが壁にビデオクリップを映し出し、単調な雰囲気を打破する。その多くは典型的な発達障害の映画のような内容で、露出度の高い服を着た女性が激しく振動する電動工具を使っているといった類のものだ。一方、バーの向こう側では、一部の参加者が「恥の壁」を投影している。コンベンションの無線ネットワークで暗号化せずに荒らし行為を働いた愚かな参加者のユーザー名とパスワードの最初の数文字をリストアップしているのだ。
今年のゲームに登場したアプリケーションの一つ、マルチユーザードメイン(MUD)は、おそらくプレイヤーのほとんどが人生を通してオンラインで過ごしてきた時間の長さを考慮して採用されたのでしょう。MUDはテキストベースのマルチユーザーオンラインゲームで、プレイヤーはリモートからログインできます。MUDは1980年代から存在しており、マニアならEverQuestのようなゲームの先駆けとしてご存知でしょう。MUDはチャットルームとそれほど違いはなく、人々は何十年も前からMUDで交流してきました。各チームはMUDを運営し、他チームのプレイヤーがログインできるようにする必要があります。
ヴィエガは早い段階でMUDのアクセス制御、つまり本来であれば彼の行動を制限するはずのルールに弱点を発見する。間もなく彼は「ウィザード」権限を獲得し、通常のユーザーにはできないこと、例えばトークンを盗むためのコードを書くなど、あらゆることを実行できるようになる。
午後が夕方へと移り変わるにつれ、ベーコンのテーブルには空のポテトチップスの袋や酒瓶が散らばっている。ヴィエガと仲間たちはジャック・ダニエルとベイリーズを1本ずつ飲み干し、ワイルドターキーを1リットル用意するところだ。
午後8時頃、ゲットーハッカーがヴィエガに話しかけに来た。「君は自分でトークンを送信したんだね?」と彼は尋ねた。
「どういう意味だ?」とヴィエガは答え、数分間そのふりを続けたが、ついに笑顔で正体がバレてしまった。得点するには、プレイヤーは盗んだトークンをスコアリングサーバーに提出する。ベーコンのプレイヤー、プラヴィル・チャンドラは、ハワイアン柄のシャツを着た陽気な男性で、AOLでセキュリティ業務を担当している。チームが独自のトークンを提出するのを阻止する手段がないことに気づき、ベーコンはそれを試してみた。結局のところ、このゲームはハッキングがテーマだ。不正行為は歓迎される。主催者は彼らを祝福し、欠陥を修正するために戻っていった。
しかし、この頃には他のチームも得点を重ねていた。間もなく、Sk3wl of Rootというチームがベーコンを追い抜いて首位に立った。(Sk3wlはハッカー用語で「学校」を意味し、Unixコンピュータのルートアクセス権限があれば何でもできる。このチームは海軍大学院のサイバーセキュリティ専攻の大学院生で構成されている。)その後、ヴィエガは足を伸ばすために立ち上がり、Sk3wl of Rootのテーブルに挨拶に向かった。多くの人にとって、コンベンションは普段はサイバースペースでしか会わない友人と集まる機会となっている。
スタートアップでの過酷な労働と子育ての両立で、ヴィエガは深刻なストレスを抱えたままラスベガスに到着した。どうやら、徹夜でハッキングをするのが効果的な解毒剤のようだ。ゲームが進むにつれて、彼はどんどんリラックスし、ゲームに馴染んでいく。他の二人のプレイヤーもヴィエガと同じように椅子に釘付けになっているようだが、プールパーティーを覗いたり、昼寝をしたりするために席を外す人もいる。
午前2時直前、ヴィエガはベーコンのサービスの一部がロックダウンされていないことに不満を漏らした。明確なリーダーと役割分担を持つチームとは異なり、ベーコンは予選ラウンドのために集まり、その後ラスベガスで再集結した、ただの気の合う仲間集団に過ぎない。彼らはそれぞれ思いついた通りにタスクを引き受け、ほとんどのプレイヤーは守備よりも攻撃に関心がある。もちろん、こうした場当たり的な戦略にはリスクが伴う。ヴィエガの発言から約1時間後、ベーコンのシステムがロックダウンされていないことが確認された。「支配されている」とヴィエガは嘆いた。「PHPインターフェースのタイトルには『Sk3wled by Root』と書いてある」
ハッキングと聞いて、おそらく多くの人が思い浮かべるのは「所有される」こと、つまり部外者にシステムを乗っ取られることでしょう。PHPはWebページを生成するためのスクリプト言語で、今回のケースでは、RootのSk3wlがそれを使って、Baconに誰が責任者であるかを知らせるメモを残しました。しかし、ハッキングはステルス的な活動になることもあり、攻撃者にとっては捕まらない方が得策となる場合が多いのです。
チームが実行しなければならないアプリケーションの多くはサービスです。私たちの多くは、こうしたサービス、つまりリモートコンピュータに保存されている電子メールやその他の情報にアクセスするためのプログラムを、日々無意識のうちに利用しています。これらのサービスが侵害された場合、深刻な事態を招く可能性があります。
ほとんどの企業はセキュリティ問題を公表しないため、その深刻度を把握するのは困難です。しかし、米国シークレットサービス、CSO誌、そしてカーネギーメロン大学の政府出資セキュリティセンターCERTが昨年実施した企業調査によると、回答者500社のうち125社が、電子犯罪によって自社が経済的損失を被ったことを認めています。CERTが発表した別の報告書は、ハッカーが長年認識してきた事実、「ベンダーは脆弱性を抱えたソフトウェアを生産し続けており、その中には予防策が十分に理解されている脆弱性も含まれる」ことを裏付けています。主要なソフトウェア製品には毎年数千もの脆弱性が発見されており、その多くはDef Conに訪れた人々によって発見されています。
キャプチャー・ザ・フラッグは、デフコンだけでなく、ますます他の場所でも、一種の実験室のような役割を果たしています。ラスベガスで初めてプレイされた時、NSA職員がジェフ・モス氏に、NSAがこのゲームを内部で利用する計画があると伝えました。現在、キャプチャー・ザ・フラッグのバージョンは、政府機関や学術機関の訓練に使用されています。「セキュリティにおいては、細部にこそ悪魔が潜んでいるのです」と、カリフォルニア大学サンタバーバラ校のジョバンニ・ヴィーニャ教授は説明します。彼は期末試験の一つでキャプチャー・ザ・フラッグのバージョンを使用しています。「実際にやってみるまで、本当のところは分からないのです。」
教室でのゲーム経験と緊密なリーダーシップが、大学院生中心の2チームが今年のゲームで首位に立つことができた理由の一つかもしれない。午前9時までに、ベーコンは4位に転落した。それでも選手たちは恐ろしいほどの集中力を維持し、2時間経っても昼食どころか朝食の気配すら感じられない。チームはその後数時間で何度か得点を重ねたが、追いつくには至らなかった。RootのSk3wlとEnemy Combatantsというチームが優勝をかけて激突する。午後には、ヴィエガと彼のチームにとって優勝は不可能であることが明らかになった。しかし、彼らは黙って負けるつもりはない。
ベーコン・アリーナで数少ないWindowsノートパソコンを持つプレイヤーの一人、21歳のマーティン・マレーは、さりげなく部屋を横切り、スコアリングタワーとメインフロアを隔てるテーブルを飛び越えた。見物客の誰もが見やすいように、プロジェクターのところまで歩み寄り、スコアリングシステムからプラグを抜き、ノートパソコンに差し込んだ。
突然、スコアが消え、Windowsユーザーなら誰もがお馴染みの、不気味な青色に置き換わりました。画面には長々としたエラーメッセージのようなものが表示されていますが、上部に「Bacon . . . Owns . . . Ghetto」という文字がはっきりと見えます。
フロアから大きな歓声が上がる。スピーカーから声が聞こえる。「もし誰か見た人がいたら、プロジェクターの接続を誰かがやっていたってだけだよ」スコアが再び表示され、RootのSk3wlがリードを奪い、ゴールまでそのリードは続く。ベーコンにとって、試合は終わった。
ロビン・メヒアはカリフォルニア州サンタクルーズ在住のフリーランスライターです。
