よく、やや自嘲気味にセキュリティ屋は消火器売りだという話をすることがある。昨日も書いたが、インターネットは壮大なマッチポンプだったという気分がすることがあるからだ。性善説に基づくシステムを利便性の名の下に広大にばら撒いておいて、問題が起きたら今度はセキュリティの名の下にソリューションを売る・・・これがマッチポンプでなくてなんなのか。もちろん、もはやマッチなしで過ごせない人にポンプを売るのも必要なことなんだけど、そんなポンプ＝消火器売りにはいろんな人がいて、たまに「消防署の方から来ました」なんていいながら必要もないほど高価な消火器を売るやつがいるから困る。ファイアウォール売りつくしたらIDS売って回ったというインテグレータの人は是非反省してほしいなぁ。
それはともかく、今日は大阪のITコーディネータ関係の集まりで、セキュリティに関する講習会があるというので行ってきた。それも、受講者として、である。その講習会に「本物のハッカーが来てデモをする」ということを聞いたからだ。似たようなことをつい先日やった＆来月もう一度やる身としては他の人のやり方が知りたい。そこで行ってきたの、だけど・・・
結論から言うととんでもない詐欺師だった。BlackHat Briefingに行ってきてKevin Mitnickに会ったとかいう写真をうれしげに見せてるうちはかわいいものだったが、実際の技術の話になるとボロボロである。あれはTCP/IPすら知らないパターンだ。例えば、いきなりエシュロンの話を持ち出して「世界中のインターネットのパケットは13個のルータのどれかを必ず通るのでそこで監視できて」とかのたまう。DNSルートサーバとルータの区別もついていなければ、そもそもネット全体の仕組みを理解していないのだろう。まぁ技術は知らないスクリプトキディだとしても、私が知らないようなアングラのツール取り出してデモってくれたらそれはそれで見るところあるかなぁと思ってたのだけど、そのデモの内容もお粗末。Subsevenをあらかじめ仕込んだPCを得意げに遠隔操作してみせる、とか、Google Hackingのサイトをつついてうれしげに披露したりと、その程度。デモ中に、中で動いているApacheに向けて何か攻撃がネット側からやってきて、Norton Internet Securityが作動して警告ダイアログが出たのだが、「なんかよくわからないな」とかいいながらあわてて「通信を許可する」をクリックしたのにはさすがに失笑を禁じえなかった。あれでさすがにわかる人にはウサンクサイというのがわかったと思うんだけど・・・講演の最後に、質疑応答の時間があったのでいろいろいじめてこのおっさんの胡散臭さが聴衆に伝わるように工夫してみたんだけど、途中で司会者に止められてあまりうまくいかなかった。クソ。
それにしても本当に困る。セキュリティ屋がこんな詐欺師ばかりと思われるのはとても困るし、あんな詐欺師を見抜けないで素直に受け取ってしまう聴衆がITコーディネータとして働くのも困るし、あれを詐欺師と見抜けず呼んできて講演料を払ってしまう主催者も困る。腹が立つような悲しいようなとてもヤな気分になった日だった。せめてリベンジを、と思い、人を通じて「あんなのに話させるくらいなら私をよびなはれ！講演料タダでええから！」と主催者側に伝えてもらった。