サイバーセキュリティ分野で働いている人は、ブラックハットと呼ばれる悪意を持ったハッカーと接触したことがあるかもしれません。そういったハッカーの何人かはダークな過去を捨て去り、今日の世界的なサイバーセキュリティ研究で素晴らしい成果を上げています。個人の将来は、ダークな過去によって左右されるべきでしょうか？

この4月、WannaCry を止めたホワイトハットの英雄、Marcus Hutchins 氏は、Kronos と呼ばれる銀行用トロイの木馬を作成したことに関連する過去の活動への告発に対して罪を認めました。

この件が明らかになって以来、セキュリティ研究者のコミュニティは困惑と混乱に巻き込まれました。サイバーセキュリティコミュニティでは、自らの知識を共有することでサイバーセキュリティ分野で多くの貢献をしてきた著名なセキュリティ研究者である同氏の有罪認定は衝撃的でした。広範なセキュリティ研究での功績に対して、多くの人が彼を称賛していますが、必ずしもそういう人たちばかりではなく、疑いの目を向ける人もいます。米国政府とFBIは後者に属します。

以前ブラックハットだった人物を信頼できますか？

根源的な問題は、彼が過去に起こした不祥事にあります。彼がまだ未成年者でサイバーセキュリティの世界に足を突っ込んだばかりの頃の話です。Marcus Hutchins 氏の暗い歴史については、Krebs on Security に詳細が記述されています。

しかしながら、彼が近年過去の過ちを反省して心を入れ替え、ホワイトハットとして真摯に活動していることを示す顕著な証拠があります。また、英国でNHSに大損害を与えていた WannaCry を止めたことで名声を獲得することがなければ、彼はそもそも起訴されたでしょうか？不幸な偶然の犠牲者のようにも見えます。

彼のケースだけではなく、似たような法律違反に問われるサイバーセキュリティ研究者がたくさんいます。たとえば、Kevin Mitnick 氏がもう一人の例です。今日では、Mitnick 氏は、彼自身が何年も前に仕組んだような罠にひっかかるようなことがないよう、企業を保護するのを助けようと尽力しています。だからと言って、彼の過去の罪が帳消しにされるわけではもちろんありませんが、最近の彼の正義ハッカーとしての活動には見るべきものがあります。Hutchins 氏も、判決が出てその償いをした後には同様の活躍をするかもしれません。時がたてばわかるでしょう。

サイバーセキュリティ専門家の意見は？

先日サイバーセキュリティ専門家のお二人に意見をお聞きしました（ページ上方の Defrag This をクリックすると録音が再生できます）。サイバーセキュリティのエグゼクティブ兼コンサルタントであり、Phenomenati の創設者である Scott Foote 氏、そしてバージニア州および米国東海岸にサービスを提供するサイバーセキュリティ会社の Bluestone Analytics の共同創設者でありCTOである Joe DePlato 氏です。

両氏とも、それぞれの状況によって解釈も違ってくるという点では意見が一致します。Hutchins 氏は、Kronos と呼ばれる銀行用トロイの木馬に仕掛けられた悪意あるコードを書いた罪で有罪となりました。もちろん、これは子供が学校のコンピュータでビデオゲームをダウンロードするといったような問題よりはるかに深刻です。両氏とも、彼は自分の行動に対して責任を負うべきだと考えており、おそらく禁固刑が科されることになるでしょう。

ブラックハット・ハッカーが逮捕されたとき、どのように扱われるべきかについては、様々な見解があるようです。サイバーセキュリティ産業から永遠に追放されるべきだと考える人もいれば、将来的に政府機関や企業、そして個人を保護するのを助けることができる貴重な人材になり得ると考える人もいます。

ここには結論はありません。それぞれの人が自分なりに考察を深めていただければと思います。