📓

なぜ、現実の天才ハッカーは映画・ドラマと違って「標的攻撃」をしないのか?

に公開
アニメーション
映画
ハッカー
ドラマ
idea

はじめに

映画やドラマのハッカーは、孤独な天才が黒い画面に向かって数分で国家や巨大企業のサーバーを破る存在として描かれがちです。いっぽう現実の標的攻撃は、長期計画を要する「兵糧攻め」に近い組織戦で、人数も資金も時間もかかります。軍事映画なら「一人の歩兵が軍の大部隊に勝つ」展開は荒唐無稽として扱われ、成立させるには作品全体を使って周到な説明が要ります。ところがサイバーの物語では、人物が登場していきなり「政府のサーバーから情報、取っておいたよ」と言っても多くの観客は受け入れてしまう。この“納得の基準の不均衡”こそが、現実理解をゆがめる最大の要因です。本稿はこのギャップを起点に、標的攻撃の実像、攻撃者の正体、ハッカーの本質、標的攻撃にラテラルシンキングが向かない構造、PoCの扱いが難しい理由、ランサムウェア報道の混同と確率の直感、捕捉リスクの非対称性と認知バイアス、計算資源神話と量子時代の見通し、ニュースが落とす工数までを一本の流れで整理し、なぜ現実の天才ハッカーがドラマと違って「標的攻撃」を避けるのかを合理性の観点から説明します。

軍事映画とサイバー描写の不均衡

現実の軍事で「一人の歩兵が軍の大部隊に勝つ」ことはほぼ不可能です。それゆえに、もしそれを物語にするなら、特殊訓練や異常な地形条件、敵の致命的失策、長年の布石といった説明で作品全体を埋めなければ、観客は納得しません。ところがハッカーが登場する作品では、初登場の人物が唐突に「政府のサーバーからデータ抜いておいた」と口にしても、物語はそのまま進行しがちです。黒い画面と高速タイピングという強力な視覚記号が「ハッキングならそういうものだ」という誤った直感を生み、現実の難易度を覆い隠しているからです。ここを違和感を感じない限り、私たちはサイバー領域だけ“説明を免除”してしまい、現実の攻防の重さを見失います。

「標的攻撃」の実像――兵糧攻めとしての作戦

「標的攻撃」とは、特定の相手を狙い、長期間にわたって弱点を探り、初期の足場を作り、内部に潜伏し、権限を段階的に拡大し、最後に目的(情報窃取・破壊・改ざんなど)を静かに達成する作戦です。兵糧攻めや水攻めになぞらえられるように、正面突破の派手さはなく、補給線を断ち、時間を味方につける堅実な攻めです。実行には人員、資金、時間が必要で、役割分担(偽装連絡文の作成、脆弱性調査、横展開、ログ隠蔽、持ち出し後の分析など)が欠かせません。一人の才覚で完遂できる性質ではないという当たり前をまず据えるべきです。

攻撃者の正体は「ITに強いスパイ」

現場のセキュリティエンジニアが想定する敵は、孤高の術士ではなく、ITに強いスパイです。古典的スパイの手管(内通者工作、偽情報、心理操作、関係者への接触や買収、カバー企業)に、クラウド構成の知識、権限管理(IAM)、多要素認証(MFA)、監査ログの読み解きなどが統合されています。攻撃は技術と人間の合わせ技で、だからこそチームと兵站が要ります。映画の「端末一台で世界を出し抜く人物」と、現実の「ITに強いスパイ組織」は似て非なるものです。

ハッカーとは何者か――ラテラルシンキングの職人

ハッカーとは、基本的にラテラルシンキング(固定観念を外して考える発想法)で、とんでもない解決法をひねり出す人を指します。閉塞した問題に対して、正面から押し切るのではなく、前提をずらし、仕様の読み替えを行い、異なる領域の知恵を組み合わせて突破口を作るのが十八番です。身近な例で言えば「ライフハック」という言葉が示す通り、面倒な作業の並び替えや自動化、小さな道具の再配置だけで、全体の効率や安全性を大きく引き上げる発想がハッカーの得意技です。メールの自動仕分けと簡単なスクリプトを連携して“入力ミスが起きない運用”を設計したり、APIの想定ユースを少し外して“短時間で検証できる実験環境”を作ったり、安価な既存部品の組み合わせで“高価な専用装置の代替”を作る、といった振る舞いがそれに当たります。共通するのは、最小限の試作や実証で仮説を素早く検証し、摩擦の大きいところを見つけて一撃で取り除く点です。ハッカーの価値の源泉は、並外れた実装力だけでなく、そもそも「問題をどう切り取るか」を再発明することにあります。

ラテラルシンキングが刺さりにくい構造

ところが、防御が整った環境ではこのハッカーの武器が刺さりにくくなります。クラウドでは監査ログが常時収集され、異常な権限昇格や不自然な通信を自動検知し、その背後にいる防御側の専門家もまたラテラルシンキングを総動員して想定外をつぶしにかかります。結果として、攻撃側の横跳びは短命に終わるか、踏み込む前にアラートで炙り出され、現場で残るのは前提確認、足場の維持、段階的な権限拡大、ノイズ抑制といった地味な積み上げです。要するに、ラテラルシンキングの“主戦場”が防御側に奪われているため、天才のひらめきは標的攻撃では生かしにくいのです。

なぜドラマは標的攻撃を好むのか

ドラマで「天才」を描くとき、短時間で誰にもできない偉業を見せるのが一番わかりやすい手法です。医療ドラマで天才医師が手術で輝くのと同じように、サイバー系ドラマでは「標的攻撃」がよく使われます。「機密を奪った」という結果だけで観客は凄みを感じられるので、技術的な細部を説明する必要がないからです。

一方で、PoC(Proof of Concept、概念実証) という言葉があります。これは「新しいアイデアが本当に動くのかどうか」を示す小さな実験のことです。攻撃手法に限らず、新しい認証方式や監視システムなどにも広く用いられます。研究や開発の現場では当たり前に使われる用語ですが、一般にはまだ耳慣れないかもしれません。

ここで大切なのは、PoCこそがハッカーの最も得意とする分野だという点です。ハッカーの本領は、既存の仕組みの穴を突いたり、新しい発想で仕組みを組み替えたりすることにあります。その成果は往々にして「小さな実証」という形で現れるため、まさにPoCの積み重ねがハッカーの仕事そのものと言えます。

しかし、PoCを物語に据えるのは難しいのです。標的攻撃なら「成功しました」という派手な結果で観客を満足させられますが、PoCは「なぜそのアイデアが可能なのか」という理屈そのものを提示しなければ説得力が出ません。つまり、PoCを扱う作品では 脚本家自身が革新的なアイデアを生み出せるかどうか が問われてしまうのです。

天才的所業としてよく引き合いに出される「ジェバンニが一晩でやってくれました」(漫画『DEATH NOTE』の場面を指すネット上の言い回し)のような鮮やかさは、標的攻撃では「結果」で代替できます。しかしPoCでは「中身の天才性」として理屈が要求されます。だからこそ、本来はハッカー描写に最もふさわしい題材でありながら、脚本家にとっては負担が大きすぎるため、フィクションは標的攻撃を好んで描くのです。

「鮮やかな標的攻撃」の子供だまし性とプロの苛立ち

セキュリティエンジニアがもっとも苛立つのは、ドラマや映画に登場する「天才ハッカーが一瞬で政府サーバーに侵入し、データを取っておいた」という描写が、観客に“現実味”を装って伝わってしまう点です。もしこれが単なるギャグキャラ、あるいは完全なファンタジーとして描かれるなら問題はありません。魔法を題材にした作品――たとえば『ハリー・ポッター』や『オズの魔法使い』――は、誰もが「魔法なんて現実には存在しない」と理解したうえで楽しむからこそ成立します。観客も制作者も“ありえない”前提を共有しているから、物語は成立し、誰も現実と混同しません。

ところが「政府サーバーに侵入して情報を抜いた」という描写は、ファンタジーであるにもかかわらず、往々にして“現実にもありそう”という雰囲気で提示されます。これが非常にやっかいです。セキュリティの現場にいる者からすると、これは魔法が存在する世界観を提示しているのか、単にギャグでやっているのか、それとも本気でリアリティを装っているのかが判然としません。もし「本気でリアリティを装っている」なのであれば、現場を知る人間からすれば「絶対に無理なことを“真実性”をまとわせて描いている」という子供だまし性が鼻について仕方がないのです。

結果として、「魔法が使えないことは誰もが知っているが、ハッカーが一晩で政府サーバーに侵入できないことは多くの人が知らない」という非対称が生じます。これこそが、セキュリティエンジニアにとって大きな苛立ちの源です。もし完全にファンタジーなら許容できる。しかし“ありえない現実”を、ほんの少しのリアリティを纏わせて描いてしまうと、一般社会に誤解を植え付け、現実の議論に悪影響を及ぼしてしまいます。

プロにとっては「これはファンタジーです」と断りを入れるか、あるいは徹底してギャグに振り切ってくれれば何の問題もないのです。ところが“真実性”を残したまま描かれるからこそ、彼らは強い苛立ちを覚えるのです。

「侵入」ニュースの誤解――ランサムウェアは標的攻撃と別物

ここで重要な区別があります。報道で「システムに侵入し、データを暗号化して身代金を要求」と語られるケースの多くは、ランサムウェアを用いた脅迫であり、標的攻撃ではありません。ランサムウェアの多くは機会型で、ばらまき型のフィッシング、外部公開されたRDPやVPNの弱パスワード使い回し、既知脆弱性への遅延パッチ適用といった“開いている扉”を狙います。目的は特定の秘匿情報の奪取ではなく、迅速に暗号化して身代金を得ることなので、作戦は短期・定型・反復が基本です。対して標的攻撃は、相手を特定し、長期の偵察と潜伏、権限昇格や横展開、痕跡管理まで含む重たい作戦で、必要な工数は桁違いです。
この違いは「誕生日の確率」で直感できます。機会型攻撃の成功は、クラス40人のうち“誰かと誰か”の誕生日が一致する確率に似ています(約89%)。一方、標的攻撃の成功は、「この私と同じ誕生日の人が同じ40人の中にいるか」に相当し、確率はおよそ10%にとどまります。広くばらまけばどこかで当たるのが機会型攻撃、特定相手に当てるのが標的攻撃で、成功度合いはこのくらい開くのです。ニュースがこの区別を明示しないまま「侵入」「サイバー攻撃」と一括りにすると、難易度や必要工数の直感が崩れ、社会の理解を誤らせます。本来は「目的(恐喝か、情報奪取か)」「標的選定の有無」「準備期間と人数」の三点を並記して報じるべきです。

捕まりやすさの非対称性――標的攻撃は“痕跡”が集約される

機会型攻撃は「ばらまいて当たればいい」ため、攻撃者は特定の防御体制と正面から対峙しません。痕跡は世界中に分散し、摘発の難度は上がります。特殊詐欺も同様で、名簿や電話網を使った大量投下が基本です。いっぽう標的攻撃は、特定の組織や国家に対する継続的な接触・潜伏・権限昇格・横展開が必要で、その過程の通信・操作ログ・マルウェア断片が一点(標的側)に高密度で蓄積されます。標的側組織のSOC(セキュリティオペレーションセンター)はその蓄積をもとに相関分析を行い、検知後はCSIRT(各国のセキュリティ問題対策組織)や各IT企業の共有網を通じて指標を世界に配布します。結果として、標的攻撃は多大な労力の末に成功しても、摘発リスクが大きくて割に合わないのです。この“非対称性”を冷静に計算できる人ほど、標的攻撃という選択が割に合わないことを理解します。

虚像を増幅する社会的要因――「捕まらない攻撃者」像の転写

特殊詐欺や機会型攻撃が捕まりにくいこと自体が、サイバー攻撃全般に「攻撃者=滅多に捕まらない」という虚像を与えます。その虚像は、そのまま標的攻撃にも転写され、「経済合理性だけでドライに標的攻撃をやってしまう天才ハッカー」という絵を支えます。実相は逆で、標的攻撃は捕まりやすく、工数も巨大です。この食い違いを是正しない限り、社会は「一人の天才がさっとやって、誰にも捕まらない」という作り話を信じ続けます。

現実世界の検挙率がもたらす認知バイアス

リアル世界の犯罪統計では、通り魔的な無差別殺人(機会型)と計画殺人(標的型)の検挙率にほとんど差が見えません。日本の殺人は全般に検挙率が極めて高く、結果だけ見ると「計画の有無は検挙リスクに効かない」と錯覚しやすいです。この“差が見えない”事実が認知バイアスを生み、サイバー領域にも転用されます。つまり人は、「現実世界で計画性の有無は検挙率に差がないのだから、サイバーでも標的攻撃と機会型攻撃で捕まりやすさは大差ないはず」と無意識に推論してしまいます。しかしサイバーでは前述の通り構造が逆で、標的攻撃こそ痕跡が集約され、摘発リスクが高いのです。ここを明確に言語化し、教育・報道・ドキュメンタリーで繰り返し可視化することが、虚像の修正には不可欠です。

計算資源の誤解をほどく

「スパコンがあれば暗号はすぐ破れる」という誤解は根強いですが、現実の攻撃者はスパコンを使いません。スパコンを要するほど強固な暗号(例えばAES-256の総当たりや大きなRSA鍵の素因数分解)は、使っても実用時間内に解けないからです。攻撃者は、人の不注意、権限設定の穴、フィッシング、サプライチェーンの綻びといった“早い道”を選びます。たとえば旅行の全工程で考えると分かりやすいです。仮に列車そのものが光速で走れたとしても、オフィスから駅に向かい、乗車手続きを済ませ、到着駅から目的地へ移動するという前後の手続きは消えません。工程の一部だけが極端に速くなっても、全体の所要時間は劇的には縮まらないのです。暗号や認証の侵害も同じで、計算力が何桁上がっても、まず過去の認証データや鍵の断片といった素材を集め、検証し、使える形に整える前後処理が必要です。たとえ現在のスパコンの1000倍の計算機と、それを使う者としてIQ200の超天才ハッカーがタッグを組んでも、クラウドの認証や暗号を1日で破るのは非現実的です。素材の収集と解析に時間がかかるからです。

量子コンピュータで何が変わるか

量子コンピュータが実用規模になれば、RSAやECCのような公開鍵暗号は大きな影響を受けます。ただし量子計算は巨大なエラー訂正というオーバーヘッドを抱えるため、「何年もかかる計算が一瞬になる」魔法ではありません。さらに防御側は耐量子暗号(PQC)を標準化・配備して対抗します。攻撃と防御は新しい舞台で再びイタチごっこを続けますが、「量子コンピュータが実用化したら暗号は全部一瞬で終わる」という見取り図は現実の運用を反映していません。

ニュースが落とす「見えない工数」

「攻撃者集団、政府機関に鮮やかに侵入」という見出しは、一般の直感を誤らせます。準備期間(しばしば半年〜数年)や投入人数(数十〜数百人)、失敗の撤退や作戦のやり直し、標的側の制度変更への追随といった工数は紙面から落ちがちです。結果だけを見せられると、人々は“攻撃は一瞬でできる”と勘違いします。ビットコイン採掘の現在の姿(専用機を何万台も並べ、電力と冷却に巨費を投じる産業)を思い浮かべれば、個人のノートPCで太刀打ちできないのは直感できます。サイバー攻撃も同じで、国家や大規模組織が兵站を背景に動かす産業化された領域に、個人が才覚だけで挑むのは非現実的です。

なぜ天才ハッカーは「標的攻撃」をしないのか?

さて、本題への答えに移ります。ここまでの話を踏まえて、答えは以下の三つです。

1.費用対効果が低過ぎる

標的攻撃は人員・資金・時間を食い、環境変化で作戦価値が蒸発するリスクも大きいのに対し、PoCやOSS、プロダクト、防御技術の改良なら、ラテラルシンキングで短期間に大きな価値を生み、名声と収益と影響力を正の形で得られます。

2.摘発リスクが高過ぎる

監査ログや行動分析、クラウドの検知機構は常時動き、検知後は国際的な情報共有網が一斉に反応します。標的攻撃は痕跡が集約される分、機会型より捕まりやすいです。

3.ハッカーの適性に合わない

ラテラルシンキングは、防御が未整備な領域で最も輝きます。防御が整った標的攻撃の主戦場では、防御側が同じ発想で先回りするため、個人のひらめきは刺さりにくいです。ハッカーに最も向かない作業こそが、標的攻撃なのです。言うなれば藤井聡太棋士に野球をやらせ、大谷翔平選手に将棋をやらせるくらい馬鹿げたことなのです。

まとめ

サイバーも軍事も、単一の天才や単一の兵器で世界はひっくり返りません。標的攻撃は兵糧攻めのような長期戦で、攻撃者の正体はITに強いスパイ集団です。ハッカーの本質はラテラルシンキングで世界の切り取り方を再発明することにあり、その才能は防御が未整備な領域やPoC、OSS、プロダクト、防御技術で最大効率で価値化されます。ランサムウェアのような機会型は「ばらまけば誰かに当たる」構造で、40人クラスの“誰か同士の誕生日一致”(約89%)に相当する一方、狭義の標的攻撃は「私と同じ誕生日の人が同じクラスにいる」程度(約10%)の成功確率で、工数もリスクも重い。加えて標的攻撃は痕跡が集約されるため捕まりやすく、労多くして割に合わない。特殊詐欺や機会型攻撃の捕まりにくさ、現実世界の検挙率に差が見えにくい統計が、虚像の天才ハッカー像を後押ししていることも忘れてはなりません。計算資源が何桁増えても、暗号や認証には素材の収集と検証という前後処理があり、スパコン神話は現実と合いません。量子時代が来ても“速くなる”のであって“即座”ではなく、防御側は耐量子暗号で応戦します。ニュースが強調する「鮮やかな成功」の裏にある年月・人数・捕捉リスクまでを可視化し、軍事と同じ納得の基準をサイバーにも適用する――この当たり前を共有できたとき、私たちはようやく、ドラマの「天才像」と現実の合理性の差を健全に見分けられるはずです。

Discussion