グレーハットハッカー

グレーハットハッカーとは？

グレーハットプログラマーとは、道徳や基準を乱用する可能性があるものの、ダークキャッププログラマーに見られる悪意を持たない人物です。グレーハットプログラマーは、一見不正に見える行為に手を染めることもありますが、多くの場合、全体の利益のために活動しています。彼らは、セキュリティを守るホワイトキャッププログラマーと、脆弱性を悪用するダークキャッププログラマーの中間に位置します。

‍

グレーハットハッカーは何をしているのか？

ホワイトキャップを警官、ダークキャップを泥棒と考えるなら、グレーハットは少し風変わりな探偵のような存在です。ダークキャッププログラマーは、不正にシステムに侵入する点では似ていますが、得た情報をホワイトキャップのように扱います。これは、組織に対して脆弱性の存在を知らせる連絡をする（まるで泥棒が休暇中の家の水道の蛇口の放置を指摘するように）場合もあれば、内密に知らせて修正を促す場合、または情報を公表し、組織がダークキャップの標的になる結果を招く場合もあります。

‍

なぜグレーハットハッカーが必要なのか？

懸念はあるものの、技能不足が深刻な市場ではグレーハットの技量は無視できません。サイバーセキュリティにおける人材不足が明らかになり、組織はダークキャップの攻撃に晒されています。McAfeeの『Hacking the Skills Shortage』では、回答者の82%が技術不足の影響を受けたと述べ、Indeedの調査ではサイバーセキュリティ関連の求人が2年間で約3割増え、英国では技能不足が5%拡大したと報告されています。Network Security Venturesは、今後5年間で世界のサイバーセキュリティへの支出が1兆ドルを超え、2019年までに150万件の求人が生まれると予測しています。市場需要が大きく分かれており、ダークキャップを一方的に犯罪者と断じると、セキュリティ市場に大きな影響を及ぼす可能性があります。

‍

グレーハットハッカーはなぜ役に立つのか？

前述の通り、ダークキャップによるハッキングは法に触れる違法行為です。対象の許可なしに組織の脆弱性を探ることは、法を犯す行為となります。そのため、グレーハットプログラマーは、脆弱性を発見して組織に知らせることで、拒否されるリスクを覚悟する必要があります。

しかし、一部の組織はバグ報奨プログラムを活用してダークキャッププログラマーに発見を報告するよう促し、プログラマー自身が脆弱性を悪用するリスクを回避しています。ただし、この方法はあまり一般的ではないため、組織の許可を得ることが最も確実な対応となります。

Wallarmが提供する、APIハッキングに関する興味深い記事 - APIハッキング手法をご覧ください。

結論

サイバー犯罪は蔓延しており、技術への依存が高まるにつれますます深刻化するでしょう。ホワイトキャップとダークキャップに分けるなら、バランスを取るのはグレーハットです。ダークキャップの能力を非難や弾圧で排除しても、その技量を活かすことはできません。同様に、違法な行為を肯定してホワイトキャップの信頼性や倫理性を損なうわけにもなりません。できることは、バグ報奨プログラムを積極的に活用し、プログラマーの技量を評価しながら創意工夫を支援して、闇市場に打ち勝つことです。こうした観点から、グレーハットプログラマーを信頼することが重要です。実際、ダークキャッププログラマーも必要な存在です。