2016年夏、米国防総省がラスベガスで開催したコンテストでは、優勝賞金200万ドルをめぐって、高性能なコンピューターが12時間にわたり、対戦相手をハッキングする闘いを繰り広げた。優勝ソフトの「メイヘム(Mayhem)」はいま、現実社会でハッキングの技術を発揮しようとしている。
メイヘムを開発したのは、カーネギーメロン大学のデイビド・ブランリー教授と、2人の博士課程の学生だ。3人が共同で設立したセキュリティ系スタートアップ企業フォーオールセキュアは、ある種の商業ソフト(ルーター等のネットワーク機器を含む)にある欠陥を自動的に検出し、修復できるようにメイヘムを改良し始めている、とブランリー教授はいう。
メイヘムの試験は、複数のパートナー企業(ネットワーク機器メーカーを含む)と実施中で、メイヘムがソフトウェアの脆弱性を特定し、素早く、漏れなく修復できるかを調べている。企業のIT部門は、何年分もの従来製品にセキュリティ・アップデートを適用し、サポートすることに相当な労力をつぎ込んでおり、メイヘムで負担を軽減させることが期待されているのだ。2016年末、ハッカーはカメラ等の侵入しやすいネットワーク機器に不正アクセスし、大量のボットネットでレディットやツイッター等のWebサイトを一時的にダウンさせた。
「機械が侵入されても、誰かが気づくまでには何日も、何週間もかかります。修復されるのにさらに何日か何週間かかるか、あるいは永遠に修復されない場合もあります。ハッカーが最初の1台の機械の脆弱(ぜいじゃく)性を突こうとしても、攻撃できるのはその1台だけで、しかもすぐにパッチが適用されてしまう世界を想像してみてください」とブランリー教授はいう。
2016年、ブランリー教授は、メイヘムに使われている手法の一部により、約2000件のルーターのファームウェア・イメージを投入して得られた実験結果を公開した。全体の40%以上のファームウェア、機種では89製品で、1件以上の脆弱(ぜいじゃく)性を検出したのだ。さらにメイヘムは、69件のソフトウェア・ビルドに影響する14件の未検出の脆弱(ぜいじゃく)性も発見した。フォーオールセキュアは米国防総省と協力し、現実社会で、どのようにメイハムが脆弱(ぜいじゃく)性を検出し、修復するかのアイデアを研究中だ。
メイヘムが2016年に優勝したサイバー・グランド・チャレンジ・コンテストは、米国防総省の部門である国防先端研究計画局(DARPA)が、セキュリティー専門家による業務の一部を自動化する研究の促進を目的に開催した。出場した各チームが持ち寄ったソフトウェアによって、サーバー・ソフトウェアを修復し防御しながら、ライバルチーム側のプログラムの脆弱(ぜいじゃく)性を発見し攻撃し、勝敗を決めた(DARPAは、民間でのテクノロジーの開発を奨励することで、テクノロジーが攻撃ではなく主に防御のために使われるように、方向転換できるとしている)。
カリフォルニア州立大学サンタバーバラ校のジョバンニ・ビーニャ教授は、DARPAの「ボットバトル」の手法を実用化することが重要だという。しかしビーニャ教授は、それでも人間がソフトウェアの作業を確認する必要があり、自動化されたハッカーが世界のすべてのセキュリティの脆弱(ぜいじゃく)性をなくしてくれる夢は現実的ではない、という。
「ルーター企業の立場で考えてみましょう。品質保証がなく、すべてネットワーク機器を切断してしまう可能性があるパッチを提供しようとは決して思わないでしょう」と、ビーニャ教授はいう。ビーニャ教授が率いたチームが開発し、昨夏のDARPAのコンテストで3位に入賞したソフトウェア「メカニカルフィッシュ」は誰もが実験できるようにオープンソースとして公開されている。
ブランリー教授も問題があることは認める。米国政府を含め、多くの人は自動ソフトウェアに全てを任せるより「判断に人間が加わる」ほうを好む、とブランリー教授はいう。
「機械任せに問題がないとはいいませんが、人間が加わることで、対処する速度が落ちる気がするのです」とブランリー教授はいう。自律ハッカーや修理機能が効果を証明すれば、人間に監督されずにソフトウェアが機能するようになる未来がやってくる、とブランリー教授は考えている。