ブラックハッカーの仕事は｢つまらない単純作業｣ ビジネス化するサイバー犯罪が若年化する背景

誰も見つけていない脆弱性情報は、ダークマーケットで数千万円の高値で買われますが、コンテストではそれを上回る賞金を稼げるうえに、表の世界で堂々と評価されます。「犯罪組織に加担するよりずっといい」という環境を整えているわけです。

最も有名なコンテストは「Pwn2Own」で、2024年にはテスラ車の脆弱性を発見する「Pwn2Own Automotive 2024」が東京で開催されました。

その他、自社のシステムやソフトウェアの脆弱性を見つけて報告してくれたら、内容に応じて報奨金を支払う「バウンティプログラム制度」を採る企業が徐々に日本でも増えています。

――ハッキングやセキュリティに興味がある人たちにホワイトな世界で活躍してもらうには、今後どんな取り組みが必要ですか。

若い人は、例えばゲームのチート行為を見て「どんな仕組みなんだろう」と、ある日突然スイッチが入ってハッキングやセキュリティに関心を持つことがあります。そうした人の受け皿として、多様なイベントや機会が必要だと考えています。

私が企画に携わった、IPA（独立行政法人情報処理推進機構）の「セキュリティ・キャンプ」もその1つです。合宿形式で次代を担う情報セキュリティ人材を発掘・育成する事業ですが、好きなことを全力で語り合えると、とても喜んでもらえています。これは話が通じる人が身近にいないことの裏返しでもあるので、「世の中には仲間になれそうな人がこんなにいるんだよ」ということはもっと見せてあげたい。

またNICTでも、若手セキュリティイノベーターの育成を目的としたプログラム「SecHack365」を用意しています。こちらは1年間かけるハッカソンのプログラムですが、若者にセキュリティの意識を学んでもらうことで、世の中の問題を解決するようなものを作ってほしいと思っています。

こうしたイベントは、我々が若い頃に「あったらよかったな」というものを作っています。一見するとハードルが高いかもしれませんが、とても楽しい内容になっていますよ。

とはいえ、まだ数が少なくて取りこぼしもあるので、サイバー犯罪の若年化を考えると学校などでの対応も期待したいですね。

宮内 健：ライター