ハクソク

世界を動かす技術を、日本語で。

DEF CONがアメリカ陸軍と提携する時

285日前原文(jackpoulson.substack.com)

概要

  • DEF CON 33 での米軍・諜報機関との密接な関係が浮き彫り
  • CACI など軍事請負企業の協賛や人権問題の黙殺
  • Jeremy Hammond の抗議・退場と「Free Palestine!」の叫び
  • 米中AI情報戦 や軍事情報作戦への懸念
  • ハッカー文化と軍事権力の矛盾に対する批判的視点

DEF CON 33と米軍・諜報機関の深い関係

  • DEF CON 33 は世界最大級のハッカー会議としてラスベガスで開催
  • オープニングナイトの Arcade Party では、Military Cyber Professionals Associationが グロースティックブレスレット を配布
  • CACIPeraton など米国防請負企業のロゴが会場に掲示
    • CACIは アブグレイブ刑務所拷問裁判 で4200万ドルの損害賠償命令
    • 民間人20万人以上が犠牲となったイラク戦争の象徴
  • 参加者は人権問題に無関心な様子で、高価な飲み物をロゴ入りテーブルに置く姿

DEF CONと米軍・諜報機関のコラボレーション

  • Jeff “Dark Tangent” Moss は米軍サイバーコミュニティへ多大な貢献
    • 2023年に“Order of Thor”受章、2009年からDHSアドバイザー
  • 公式コラボ事例
    • 2016年 DARPA Cyber Grand Challenge
    • 2023年 Hack-a-Sat (Air Force Research Laboratory主催)
    • 近年の DARPA AIxCC 脆弱性パッチチャレンジ
  • 今年は 米陸軍ISR AIデータフュージョン競技 開催
    • 優勝はカリフォルニアの Hoplynk
  • Anduril Industries (致死性ドローン兵器開発企業)が Maritime Hacking Village 協賛
    • 台湾有事を強く意識した内容

物議を醸す出来事と抗議

  • Jeremy Hammond (元Stratforハッキングで服役)が 「Free Palestine!」 と叫び退場
    • Mossと元NSA長官 Paul M. Nakasone の対談後に発生
    • 「Nakasoneは戦争犯罪人」と非難
  • DEF CONは公式報道の撮影禁止
    • だが、やりとりの動画がXにリークされ拡散
  • Hammondの退場は「左派的な理由による退場」の一例として報告
  • ジャーナリスト Lorax B. Horne は「本物のハッカーはDEF CONから追い出される」と皮肉

米中AI情報戦・軍事作戦とDEF CON

  • NakasoneはVanderbilt Universityの Institute of National Security 所長として会見
    • 中国企業 Beijing Thinker Technology Ltd. のAIツール“GoLaxy”による情報操作を問題視
    • 米軍もLLM(大規模言語モデル)を情報作戦に活用中
    • Nakasoneは「米中では法の支配が異なる」と主張

ハッカー文化と軍事権力の矛盾

  • セキュリティ研究者 Micah Lee は“Signalgate”問題を解説
    • 米軍によるイエメン住宅爆撃を「戦争犯罪」と指摘し大きな拍手
    • イスラエル製Signalフォークの脆弱性も批判
      • 「イスラエルはガザでジェノサイドを行っている」と発言
      • 聴衆からも「Free Palestine!」の声と拍手

DEF CONの今後と批判

  • BahrainSingapore など米軍同盟国への国際展開計画が物議
  • ハッカーコミュニティのカウンターカルチャー的自己像と、米軍・諜報機関との癒着という 根本的矛盾
  • 会議内外での抗議や批判的議論の高まり

Hackerたちの意見

デフコンはもうカウンターカルチャーのカンファレンスじゃないし、しばらくそうだったと思う。セキュリティのプロたちが、会社のお金で数日間ラスベガスで遊ぶ場所になっちゃったり、ブラックハットの後に滞在を延ばすための場所になってる。カンファレンスが大きくなりすぎて、逆に良くない方向に行ってる気がする。今はラスベガスコンベンションセンターに移って、ホテル(または複数のホテルが集まってた時)にいた頃よりも便利じゃなくなった。LVCCの良いところはスペースがたくさんあることだけど、村やトーク、ワークショップの音響設備に関する問題はまだ残ってる。

デフコンはもうカウンターカルチャーのカンファレンスじゃないし、しばらくそうだったと思う。これはすべてのコンベンションに起こることで、全然驚くことじゃないよね。もっと大きな問題は、デフコンのオリジナルの精神のようなものは今でも可能なのかってこと。業界(とリスク)が今はずっと高くなってるから、無理な気がする。

CCCやReconの方が良いのかな?正直、なんで人々(企業じゃなくて)がラスベガスに行く必要があるのか理解できない。高いし、腐敗してるし、夏は暑いし。モントリオールの方がずっと手頃だよ。

スカイトークを運営してた人たちを追い出しちゃって、ロックピッキングのグループの資金集めにも影響を与えた時点で、ハッカーコンというアイデアは本当に死んじゃったと思う。ただの企業カンファレンスになっちゃったね。

今年行ったけど、楽しんだものの、もう大きすぎて整理がついてない気がする。それに、デフコンの定番トークだと思ってたいくつかの講演が、すごく少人数しか参加してなくて、みんなどこ行ったんだろうって思った。これは主催者へのFOMOかもしれない。そろそろデフコンは対面登録をやめて、規模を小さくして、ホテルに戻るべきだと思う。村や村のトークはもっとキュレーションが必要だし、基本的に焦点を絞る必要があるね。

これが私の23回目のデフコンで、行く場所を知っていて、大きなきれいな看板に気を取られなければ、数十年前と同じくらいカウンターカルチャーだったよ。デフコンは、連邦政府の人たち、政策立案者、企業、若者、そして本物のブラックハットの犯罪者たちが一緒にパーティーをして、情報セキュリティの未来を形作る場だった。この記事の著者は軍産複合体の方に目を向けたみたいだけど、軍の話が多すぎるって文句を言ってるみたい。私は今年はそういうのは見なかったし、興味がなかったからね。あまり会えないサイファーパンクや活動家たちと会って、来年のプロジェクトについてすごく生産的な会話ができたよ。

デフコンはジェフ・モスが関わった時に変わったけど、観客の数が雰囲気を大きく変えたよね。コロナ後の30%の観客数は、昔のデフコンにちょっと戻った感じ。

「音響機器にまだ問題がある」って言ってるけど、500ドルの入場料を考えたら、ヘッドフォンを提供して、近接検知に基づいてそのヘッドフォンで聞けるアプリを誰かがハックして作るべきだと思うよ。最初の年には誰かがそのアプリの脆弱性を見つけて、既存のインフラに並行して展開する必要が出てくるだろうけど、それでもね。

90年代にDefconに行ったけど、あれは決してカウンターカルチャーの会議じゃなかったよ。いつも「オタクの春休み」みたいな感じだった。

もし「カウンターカルチャー」を「メーカー」に変えたら、反対よりも行動することに焦点を当てるって感じかな。みんなと同じ意見だよ。単に規模が大きくなって、いくつかのサブコミュニティは固まっちゃったけど、新しいトピックが新鮮で活気のあるコミュニティを生み出してる。例えば、AIビレッジは数年前には新しくて変なものだったけど、今やAIがブラックハットの一番のトピックになってるから、ブラックハット本体を超える大きなイベントもできた。個人的には、Defconが行動する人たちを育ててる成功例だと思う。

「セキュリティの専門家が、会社のお金で数日間ラスベガスで遊ぶ場所、またはブラックハットの後に滞在を延ばす場所だね。それが私だ! :) DCでカウンターカルチャーがどこにいるのかはわからないけど、私はクールな子供じゃなかったから、ただの頭のいい変な子供だったよ、今でもね!でもDEF CONではしばしば洞察に満ちた論文が発表されることがある。今年は行かなかったけど、マネージャーが私に気づいてる気がする。 :)」

これは新しいことじゃないよね。マッジは今のDARPAのCIOだし、L0phtの他の人たちも似たような道を歩んでる。連邦政府がDEFCONにオープンに参加するのは、実際かなり昔からの話だよ。ヒッピーやイッピーの時代には、多くの人が帝国にリクルートされたし。アビー・ホフマンは他の面で問題を抱えてたけど、私の知る限りでは彼は際立った例外だった。

デフコンが金のあるところに行くのは本当に驚きなの?アメリカのサイバーセキュリティの仕事は、ボリューム的に言えば、だいたい5つの組織に集約されてるんだよね。そのほとんどがアメリカ政府の機関だし。サイバーセキュリティの仕事は、ロシアのボットファームを古いWordPressのインストールから排除することとは関係ないことが多いよ。

ハモンドはトーク中に抗議しなかったけど、終わった後に抗議したみたいだね。もしこのリンクが正しいならね。会場の警備員に取り押さえられたみたいで、デフコンのスタッフじゃなかったらしい。彼は本当に愛されてるみたいで、これが証拠だね。

ハモンドは、Stratforを影のある傭兵的なCIAだと思ってる人たちにすごく愛されてるよね。実際はただの派手なSubstackなのに。

数年前にデフコンに行った時、スピーカーが話の最初にこう言ったんだ。「デフコンに初めて来た時は、ハッカーだらけで、連邦捜査官を見つけるゲームをしてた。今はみんな連邦捜査官で、ハッカーを見つけるゲームをしてる。」

20年以上前に連邦捜査官だった人がどれだけいるか、驚く人も多いと思うよ…または連邦捜査官になった人も。

新しい話題じゃないけど、数年前、ジェン・イースターリー時代のCISAがデフコンで強力なリクルートをしてた。愛国心やサービスメッセージは、軍にいた頃のことを思い出させるものだったよね。驚いたのは、ハッカーコンでこのリクルートに対しての拍手がすごかったこと。これから起こることを考えると、CISAで働くことがDHSで働くことを意味するかどうかについて、聴衆やスピーカーからの議論がほとんどなかったのも気になった。フォーマルなトークが終わった後のスピーカーからのこの点に関する保証も、ちょっと弱かったしね。彼女のリクルートピッチ自体が悪いわけじゃないけど、ハッカーコンにはちょっと近すぎる感じだった。しかも、そのCISAのメンバーは「もうCISAにはいない」し、起訴されたり、強い社会的圧力を受けたりしてるみたい。評価する価値があると思う!

スパイたちは数年前から基調講演をしてるね。いわゆるハッカーたちは緊張してるけど、内心では「秘密のことをやりたい」と思ってるんだよね。昔はスパイたちがコンピュータの人たちを嫌ってたのに(それがサイファーパンクの始まりだった)。一方で、クリアランスも昔とは違って、コンピュータや分析、収集に関することはすべてデフォルトでTSに分類されるようになった。

あのxTech AIピッチコンペのトップ2チームは、実際にはAIソリューションじゃなかったよ。ただ、陸軍がその企業に競争なしで契約を与えるための手段に見えた。

2022年、Google TAGがDefconで「最もダサいベンダー」賞を受賞したのは、彼らが見つけたChromeの脆弱性を修正したからなんだけど、NSAに許可を取る前にやっちゃったんだよね。それが私にとっての転機だった。

「一方的に対テロ作戦を停止した」ことでPwnie賞を受賞。

この賞は皮肉だと思う。Defconを擁護するわけじゃないけど、そうだね。

確かにそれは変だね。ヨーロッパのハッカーイベントでは、この行動は拍手喝采だよ。何かを修正する前にスパイ機関から許可を取るなんて、最もダサいベンダーになる確実な方法だから、笑。あっちの人たちは政府をあまり信頼してないし、セキュリティホールはどの側にも利用されるから、早急に修正することが重要なんだ。