インタビュークリス・ワイソパル (別名 Weld Pond) とボストンを拠点とする L0pht* ハッカー集団の同僚たちが、インターネットは絶望的に安全ではないと米国上院で証言してから 20 年が経ちました。
YouTubeビデオ
現在では成功した起業家であり、コンピュータ セキュリティの第一人者でもある Wysopal 氏は、最近、同僚 3 人 (Space Rogue、Kingpin、Mudge) とともにワシントンのキャピトル ヒルに戻り、議会で初めてのサイバー セキュリティ公聴会が開催された 1 年を記念しました。
それから20年経ったが、状況はあまり改善されていない。最近ロンドンで開催されたInfosecカンファレンスで、 El Regがアプリケーション セキュリティ企業 Veracode の共同設立者兼CTOであるWysopal氏に会った際にそのことがわかった。
John Leyden、The Registerより:まず、L0pht (バンド) がどのようにして結成されたのかお聞きしたいのですが。
クリス・ウィソパル(別名ウェルド・ポンド):私が参加した当時、L0phtは設立されたばかりでした。設立からまだ1年も経っていませんでした。無料だったので、掲示板システムで創設メンバーの一人、ブライアン・オブリビオンに偶然出会ったんです。当時はインターネットが普及する前の1992年です。インターネットを使っていたということは、企業か学術機関とのつながりがあったということです。
当時、私はロータスで働いていて、インターネットの仕組みを少しずつ理解しようとしていました。でも、知り合いと話す機会がほとんどありませんでした。それで地元の掲示板に参加していたんです。中にはハッカー系の人もいて、そこでブライアン・オブリビオンという男に出会いました。彼は技術的なファイルをいくつか持っていて、ハードウェアに詳しい人でした。携帯電話を分解してファームウェアを調べ、仕組みを解明しようとしていたんです。
他にそういうことをしている人を知らなかったので、彼とオンラインで友達になり、それから実際に会って、数週間で彼も私のことをよく知るようになりました。彼はこう言いました。「ボストンにロフトっていう場所があるんだけど、ちょっと来ない?」
信頼できるハッカーになるための審査プロセスみたいなものがあったんだと思います。私がそこに招待されたのは、本当に荒れた空間でした。2階にある古い工場のような。そこには他に5人の男がいて、机を並べ、古いコンピューター機器がずらりと並んでいました。
彼らと話し始めると、彼らはこう言いました。「コンピューター機器が多すぎて、妻やガールフレンドにアパートから追い出されたので、この場所を始めたんです。」
![Chris Wysopal (別名 Weld Pond) 元 L0pht、現在は Veracode の CTO [出典: Veracode]](https://image.brawte.com/anejbkmn/a7/fe/chris_wysopal.webp)
クリス・ウィソパル(別名ウェルド・ポンド)は、成功したコンピュータセキュリティのビジネスマンであり、情報セキュリティの権威者となった。
エル・レグ:当時の電話料金はかなり高かったのではないですか?[当時はダイヤルアップインターネット接続の時代でした。 ]
ワイソパル:確かに、共有リソースを持つことは重要でした。当時は紙のマニュアルが主流でした。実際、マニュアルはバインダーにまとめられていました。図書館もありました。誰もがMacとBT100端末とPCを使えるわけではないので、リソースとコンピュータをすべて共有しようという考えでした。
それで、この場所がすごくいいなと思って、「一緒に入ってもいい?」って誘ったんです。キングピンっていう男と机を同じにしました。彼は一番若いメンバーでした。当時僕は26歳か27歳くらいだったと思います。僕が最年長でした。キングピンは一番年下で、16歳でした。
年齢層は幅広く、20代前半の人もいました。
![昔のL0pht [写真提供:Chris Wysopal]](https://image.brawte.com/anejbkmn/ab/44/l0pht.webp)
90年代初頭のL0phtの書斎(写真©Chris Wysopal経由)
最初は彼らと一緒に仕事をしていましたが、そこはテクノロジーを触って、探求するだけの場でした。そして時が経つにつれて、少しずつ真剣に取り組むようになりました。「ネットワークを構築して、Linuxゲートウェイを設置して、ウェブサイトを作ろう。シェルマシンを作って、他の人にコンピューターを使わせよう。リモートログインもできるようにしよう」と。
時間が経つにつれて、単なる共有スペースから、組織のような雰囲気になってきました。階層構造は基本的に存在せず、それぞれが専門分野を持っていました。ハードウェア担当もいれば、ソフトウェア担当もいました。
私はWindowsプログラマーでした。当時はDOSからWindows、正確にはWindows NTへの移行が起こっていました。それが私のプログラミングの得意分野でした。他の人たちからLinuxを学びました。つまり、Linuxを習得したのです。最初のゲートウェイと最初のWebサーバーを実際に構築したのは私自身です。システム管理者でした。
当時の脅威アクターは、基本的には10代のハッカー、ウェブサイトを改ざんする人、そして時折犯罪者といった感じでした。今日のように、個人、あるいは政府でさえも金銭を盗み、攻撃によって利益を得る組織犯罪とは程遠いものでした…
こうして私たちは組織として、様々なスキルを組織化するようになったのです。1993年頃、公衆インターネットが利用可能になった頃にインターネットに接続しました。56Kモデムを持っていて、インターネットに接続していました。
私たちはブライアン[オブリビオン]が掲示板に貼っていた掲示板ファイルやその他のものをすべて持っていました。
エル・レグ:上院で証言するよう招かれた経緯は?
ワイソパル:組織が整い始めると、脆弱性調査という道を歩み始めました。マイクロソフト製品を数多く調査するようになりました。というのも、他の研究者がマイクロソフトを分析しているのを見ていたからです。UnixやLinuxも調査していました。マイクロソフト製品を調べ始めたところ、WindowsとInternet Explorerに脆弱性が見つかりました。「これは一般消費者向けのオペレーティングシステムのようなものだ」と。人々はWindows 95を使っています。人々は自分が使っているソフトウェアに多くの脆弱性があることに気づいていません。自分のマシンにパッチを当てる必要があることも知らないのです。このことについて何も知らないのです。
そこで私たちはこれを自社のウェブサイトでオンラインで公表し始めました。ある時点で記者たちが自社のウェブサイトを訪れ、L0pht が Windows は安全ではないと言っていると言い始めました。
当時としては画期的なことでした。私たちはマイクロソフトを非難した最初の一人でした。そのため、マイクロソフトをハッキングしたという悪評が広まりましたが、実際にはネットワークではなくソフトウェアをハッキングしていたのです。
El Reg:その頃からセキュリティについて書き始めました。L0phtのスローガンは「理論を現実化する」でした。
Wysopal: Microsoft は「これは理論上の脆弱性です」と言っていたので、エクスプロイトを書かなければ修正できないと言っていたのです。
それで、マイクロソフト、IBM、オラクルといった大企業を非難したことで、私たちは悪評を得るようになりました。ニューヨーク・タイムズ・マガジンに記事が掲載されました。彼らは私たち全員にインタビューし、写真を撮り、私たちのことを説明してくれました。ワシントン・ポストの誰かがそれを見て、それから1、2ヶ月後にはワシントン・ポストに私たちの記事が掲載されました。そして、おそらく連邦議会の誰かが、ワシントン・ポストを皆読んでいたのでしょう。彼らは皆、記事を読んで、公聴会が開かれました。
それは政府の安全保障に関する最初の公聴会でした。政府問題委員会の公聴会でした。[フレッド]トンプソン上院議員が多数党院内総務でした。彼は共和党員です。彼の委員会は、政府監査局にすべての政府機関の監査を指示しました。これは1998年のことで、政府機関に対する最初の監査でした。それまでは、政府機関は自分たちの安全性がどれほど低いか全く認識していませんでした。
そこでGAOの職員を招き、調査結果を発表してもらうことにしました。また、政府関係者以外の人材も求めていました。SRIで働き、このメーリングリストを運営していたピーター・G・ノイマン博士を招聘しました。彼comp.risksはソフトウェアのバグをいち早く指摘した人物の一人です。GAOは彼を招聘したのです。
![ロプト氏がワシントンへ [出典: クリス・ウィソパル]](https://image.brawte.com/anejbkmn/2b/75/l0pht_white_house_1998.webp)
1998年、ホワイトハウス記者室にいるL0pht(写真©Chris Wysopal経由)
正確な経緯は分かりませんが、私が聞いた話です。私たちはリチャード・クラークと会っていました。リチャード・クラークはクリントン政権のサイバー担当大臣でした。
ボストンで何度かディック・クラークがやって来て、私たちと会いました。彼は私たちから学びたいと思っていました。ディックが私たちと会うことになったきっかけは、FBIに電話をかけてこう言ったことです。「世の中には優秀なハッカーがいるのは知っています。全員が犯罪者というわけではありません。優秀なハッカーを誰か知っていますか?」FBIはこう言いました。「L0phtの連中と話してみるべきだ」
エル・レグ:では、その前にFBIと話していたのですか?
ワイソパル:非公式です。彼らと何度か話をしました。ですから、彼らは私たちのことを知っていて、おそらく私たちのことを監視対象にしていたのでしょう。もちろん、私たちが公表している脆弱性によって引き起こされるコンピュータ犯罪を彼らは捜査しているからです。彼らの監視対象になっていたのです。
私たちは善良な人間だと審査されていたので、リチャード・クラークは国家安全保障会議から来て私たちと会うことに抵抗がありませんでした。ですから、少なくとも彼とFBIは私たちのことを知っていたことは分かっていました。そしてどういうわけか、私たちは証言に呼ばれました。ワシントン・ポストの記事と、行政府の何人かが私たちのことを知っていたことが重なったのだろうとしか想像できません。
