Ethical Hackers Prevented $27B in Cybercrime
2021/11/17 SecurityBoulevard — 倫理的ハッカーたちが、パンデミックが経済を破壊し、組織が最も脆弱になった14ヵ月間に、その価値を証明した。世界中のセキュリティ・チームが、ソフトウェアの欠陥に圧倒された時期に、$27 billion の被害額に相当するサイバー犯罪を未然に防いだのだ。Bugcrowd のレポートによると、2020年5月1日〜2021年8月31日に、倫理的ハッカーの10人に8人が、これまでに遭遇したことのない脆弱性を発見したという。
Bugcrowd は、同社のプラットフォーム上で実施された調査回答やセキュリティ調査に加え、同社が蓄積した約3,000のセキュリティ・プログラムから得られた、数百万件の脆弱性に関するデータを分析した。この調査結果は、脅威の状況が大きく変化していることを示している。
この年次レポートでは、フードをかぶった怪しげなハッカーという、ハリウッドで好まれるステレオタイプが払拭され、若い世代で構成されるセキュリティ研究者たちが、起業家精神に富み、世代を超えて活躍していることが指摘されている。
Bugcrowd の CTO である Casey Ellis は、「倫理的ハッキングに惹かれる人々の、創意工夫や起業家精神にはいつも刺激を受ける。当社の最新レポートによると、倫理的ハッカーの 79% がオンライン・リソースを使って、ハッキング方法を独学で習得している。そして、彼らは、パンデミックの後にチャンスを見つけだした。4分の3近く、つまり 71% の人々が人、リモートワークを高収入につなげたと答えている。また、Bugcrowd プラットフォームでは、レポートを送信してから支払いを受けるまでの時間が短縮され、中には 30分を切るケースもあった」と述べている。
エシカル・ハッキング (Ethical Hacking) は、セキュリティ業界で必要とされている、多様性への道でもあると考えられる。今回のレポートで明らかになったのは、倫理的ハッカーの世代が史上最も若く、民族的にも多様化しているという現実である。しかし、女性の比率はまだ低い。このレポートに登場する倫理的ハッカーのうち、女性はわずか 3% である。
このレポートでは、「より広い範囲で、より利用しやすいプログラムにおいて、女性や非技術系の人々にインセンティブを与えることで、倫理的ハッキング・コミュニティ内の多様性を高める動きを後押しできる。そうしたな継続的な働きかけがなければ、セキュリティ・チームは同質的/平面的な文化に陥る危険性があり、職場の多様性を促進するという社会的責任を果たせない」とも述べている。
Casey Ellis は、「この種のハッカーたちの躍進は否定できない。この集団がサイバー攻撃を阻止することで、業界の発展を支える大きな影響力を提供しているが、この傾向は今後も続くだろう」と述べている。こうしたメリットを考えれば、組織は倫理的ハッカーを呼び寄せることが、あらゆる組織にとって得策となる。
IDG Research Services の調査によると、IT リーダーの 78% が自社のセキュリティ対策に自信がないと回答している。また、91% の組織が2021年に向けて、サイバー・セキュリティ対策の資金を増やすとしている。エシカル・ハッキングは、このような投資を後押しする論理的な解決策であり、組織が検討すべき、いくつかの異なる手段が存在する。しかし、マーケットでの競争は激しい。
Casey Ellis は、「ペンテスターは時間に対して報酬を得るが、バグバウンティ・ハンターは インパクトに対して報酬を得る。ただし、この職業に就いた人は、自分の仕事に対して敬意を払い、明確なコミュニケーションをとり、公正な報酬を支払い、問題をタイムリーに解決してくれる企業を求めている。そして、仕事をするだけで法に触れる危険性のある、倫理的ハッカーを保護するための対策も必要だ」と述べている。
CFAA (Computer Fraud and Abuse Act) に代表される、世界中のハッキング防止法は、ハッカーは悪人であるという考え方に基づいており、賞金稼ぎや善意のハッカーが安全に仕事をする余地は限られている。このような反ハッキング法が進化するまでの間に、また、脆弱性の公開/バグ・バウンティ/クラウドのセキュリティ・プログラムが成長するまでの間に、こうした法律上のギャップを埋めなければならない。法的な応急処置を標準化し、VDP (Vulnerability Disclosure Policy) の適用を促進し、善意で行動するハッカーたちが安心して活動できるようにするための、安全な働き方を確立する必要があることは明らかだ。
Casey Ellis は、「I Am The Cavalry の Hackers On the Hill/CISA OMB の BOD 20-01 Vulnerability Disclosure Directive/国防総省の Hack The Pentagon などの取り組みを、善意のハッキングとハッカーに対して、議会に注目させるための有用なツールだ」と指摘している。しかし、ハッキング防止法の更新と近代化に向けた、持続的な努力が必要である。たとえば、Van Buren 事件をはじめとする、この 10年の間に始まった動きや、最高裁への働きかけ、反ハッカー情報との戦いを継続することである。
エシカル・ハッカーたちの活躍は目覚ましいです。Black Hat 2021 では、Microsoft Exchange 問題の新たな観点が指摘され、Black Hat Europe では、AWS API Gateway を回避する脆弱性と、Microsoft Azure Cosmos DB の問題が指摘されました。その一方で、中国のハッキング・コンテストである Tianfu では、Windows 10/Linux/iOS などの問題が解明されました。もちろん、このようなステージ以外でも、彼らが問題を明らかにすることで、その解決が進み、大きな利益が得られていることに間違いはありません。この記事で指摘されているように、彼らを護ろうという動きが加速すると良いですね。
IoT OT Security News 