📚

読書感想文「ハッキング思考」

2024/03/31に公開

概要

書籍「ハッキング思考」を読了しました。

読書感想文を書いてみます。

導入部(読もうと思った背景)

セキュリティの分野には、「攻撃から身を守るためには、攻撃者の考え方を知る」という考え方があります。

過去に「攻撃者の考え方」を学ぶ機会があったのですが、幾分2,3年前の話で、自分の持つ情報が古いと感じていました。

そんな中本書の存在を知り、自分の知る「攻撃者の考え方」を更にアップデートできることを期待して、読書に取り掛かりました。

前提

本書のテーマである「ハッキング」は、いわゆるIT分野におけるハッキングではありません。

以下のニュアンスのような、より広義の意味で使用しています。

システムに対して、
システムから逸脱することなく、
システム設計者の意図しない結果を引き出し、利益を得る行為

「システム」も、コンピューターシステムではありません。

以下のニュアンスのような、より広義の意味で使用しています。

何らかのルールに基づき、
アウトプットを出すことを意図した、
複雑なプロセス

本文

「ハッキング」の定義から始まり、「ハッキング」の簡単な具体例と簡単な対策を述べた後、以下の観点で更に「ハッキング」を掘り下げています。

  • 金融システム
  • 法システム
  • 政治システム
  • 認知システム
  • AIシステム

権力者ほど、ハッキングの動機は強くなる

以下のように、権力者はハッキング能力が高くなる傾向にあります。

  • 能力あるものを雇うことで、ハックを発見しやすくなる
  • 豊富な資金力を背景に、より多くのレイヤー(詳細は後述)に対してハッキングを仕掛けることが出来る

「利益の追求」という目的に加え、高いハッキング能力を有する権力者は、ハッキングする動機が強くなります。

つまり、権力者は「高いハッキング能力を駆使して、自身の利益を追求する」ようになります。

ここから、「権力者が如何にシステムをハッキングするか」という話が、実例を交えて解説されていきます。

ハッキング対象にはレイヤーがある

ハッキング対象である「システム」には、攻撃対象にはレイヤーがある、と説明されています。

  • 下)システムそのもの
  • 中)システムを策定するプロセス
  • 上)システムを策定する機関
  • 最上)選挙とか(もっと上もあるかも)

法律を例に挙げると、以下の通りとなります。

  • 下)法律の条文
    • 法律の抜け穴を探し出す
  • 中)立法プロセス
    • ロビー活動などを通じて、立法プロセスに介入する
  • 上)規制当局
    • 規制当局を掌握し、検査を逃れる
  • 最上)選挙
    • 情報を操作し、任意の候補者が有利(または不利)になるよう働きかける

上位のレイヤーほど一般性が上がり、実行に必要なリソースも増大します。

ハッキングの動機

ハッキングの強力な動機として「利益を得ること」と説明されています。

ここで言う利益は、「権力増強」、ひいては「金儲け」を指します。

「金儲けのために金融システムや法システムをハッキングする」「自身の権力を増すために政治システムや認知システムをハッキングする」といった具合です。

幾つか身近な例を挙げてみます(間違ってたらごめんなさい)。

  • 金儲けを目的とした、金融システムのハッキングの例 : グレーゾーン金利、ふるさと納税の過剰な返礼品(ルール改正前)
  • 金儲けを目的とした、法システムのハッキングの例 : ライドシェア(※)、行政的負担(手続きを過度に複雑化して、サービス享受を困難にする行為)
  • 権力増強を目的とした政治システムハッキングの例 : ロビー活動支援、立法プロセスへの介入

結論(教訓や学び、感想)

当初期待した内容では有りませんでしたが、広義の「ハッキング」という、全く新しい視点を得ることが出来ました。

「ハッキング対象にはレイヤーがある」というのは、今までの自分には無い考え方であり、「こういう切り口で説明できるのか」と目からうろこでした。

寄生的なハッキング(一部の権力者に利益をもたらし、それ以外の人間が不利益を被る)が存在する一方、ハッキングによってシステムの新たな側面が表面化し、システムが進化することもあるというのは印象的でした。

各種ハッキングの具体例は、知らなかったテクニックや、現在のシステムが積み上げてきた歴史などが登場して、「ああ、あれってそういう意味だったんだ!」となることが多く、読んでいて学びが多かったです。

認知へのハッキング手段を学ぶことが、ソーシャルエンジニアリングを予防する一つの手段になることが分かりました。

Discussion