ケビン・ミトニックとは？伝説のハッカーの手口

ケビン・ミトニックとは？伝説のハッカーの手口を3行で要約

ケビン・ミトニックはソーシャルエンジニアリング（人間の心理を利用した情報窃取）を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである
1992年から2年半にわたりFBIの指名手配を受けながら逃亡。偽の身分証とクローン携帯電話で各地を転々とし、1995年にノースカロライナ州で逮捕された
5年間の禁固刑を経て2000年に出所。その後はセキュリティ・コンサルタントに転身し、かつて自分が悪用したのと同じ脆弱性を企業に警告する立場となった。2023年7月に膵臓がんで死去（59歳）

12歳の少年がバスの無料乗車券を手に入れた方法は、ハッキングではなくゴミ箱漁りでした。ロサンゼルスのバス停のゴミ箱から未使用の乗り換え券を拾い集め、運転手から教わった場所で自分用のパンチを購入する。技術は不要で、必要だったのは人間の行動パターンへの洞察力だけでした。この少年こそ、後にFBIが最重要指名手配するハッカー、ケビン・ミトニックです。

この記事では、コンピューターコードではなく人間の心理を最大の武器としたハッカーの手口と、犯罪者からセキュリティ専門家への転身の軌跡を解説します。

ソーシャルエンジニアリングという武器
FBIからの逃亡と逮捕
禁固刑とセキュリティ専門家への転身
まとめ
よくある質問
【出典】参考URL

ソーシャルエンジニアリングという武器

ミトニックの手口の核心はソーシャルエンジニアリングでした。これはコンピューターの脆弱性ではなく、人間の心理的弱点を突いて情報を引き出す技法です。

1963年にカリフォルニア州ヴァンナイズで生まれたミトニックは、10代の頃から電話システムを不正操作するフォン・フリーキングに没頭していました。16歳の時、友人から教えられた電話番号を使ってDEC（ディジタル・イクイップメント社）のコンピューターシステムArkに不正アクセスし、同社のOSソフトウェアをコピーしています。

ミトニックの手法は、技術的なハッキングと社会的な騙しを組み合わせたものでした。たとえばIT部門の同僚や技術者を装って電話をかけ、パスワードやアクセス情報を引き出します。彼はこの方法でパシフィック・ベル、モトローラ、ノキア、サン・マイクロシステムズなど大手企業のシステムに侵入し、ソースコードや機密情報を入手しました。

ミトニック自身は、動機は金銭ではなく知的好奇心だったと主張しています。システムがどう動くのかを理解し、それをコントロールしたいという欲求が、15年にわたる犯罪キャリアの原動力でした。

FBIからの逃亡と逮捕

1988年にDECへの不正アクセスで有罪となり12ヶ月の禁固刑を受けた後、保護観察中にミトニックはパシフィック・ベルのボイスメールシステムにハッキングし、逮捕状が出されました。

1992年末から、ミトニックは2年半にわたる逃亡生活を送ります。偽の身分証明書を複数使い、クローン携帯電話で位置の追跡を回避しながら、各地のコンピューターネットワークへの侵入を続けていました。逃亡中にも数十のコンピューターネットワークに不正アクセスし、大手携帯電話会社やコンピューター企業の機密ソフトウェアをコピーしています。

転機となったのは、セキュリティ専門家の下村努のコンピューターにミトニックが侵入したことでした。下村はFBIと協力してミトニックの電子的な追跡を開始し、1995年2月15日にノースカロライナ州ローリーのアパートでFBIに逮捕されました。逮捕時にはクローン携帯電話、100件以上のクローン携帯電話コード、複数の偽造身分証明書が発見されています。

ミトニックの逮捕は世界的なニュースとなり、Free Kevin（ケビンを解放せよ）運動が支持者によって展開されました。1997年にはYahoo!がハッキングされ、ミトニックを釈放しなければネット全体を破壊するという脅迫メッセージが表示される事件も起きています。

賠償罪子

ミトニックの事件が残した最大の教訓は、セキュリティの最も弱い鏈は人間であるという原則です。どれほど高度なファイアウォールを設置しても、IT部門を名乗る電話1本でパスワードを教えてしまえば全てが無意味になります。現代のフィッシング詐欺やBEC（ビジネスメール詐欺）は、ミトニックが1980年代に開拓したソーシャルエンジニアリングの直系の子孫です。

禁固刑とセキュリティ専門家への転身

1999年にミトニックは電信詐欺4件、コンピューター詐欺2件、通信傍受1件について有罪を認め、合計5年間の禁固刑に服しました。

刑期中の扱いは論争を呼びました。当局はミトニックが公衆電話に口笛を吹くだけで核戦争を開始できるという主張を裁判官に認めさせ、独房に収監したとされています。この主張は技術コミュニティから荒唐無稽と批判されましたが、当時の社会がサイバー犯罪をいかに理解していなかったかを示すエピソードです。

2000年1月に出所し、2003年まで固定電話以外の通信機器の使用を禁じられた保護観察を受けました。保護観察終了後、ミトニックはセキュリティ・コンサルタント会社ミトニック・セキュリティ・コンサルティングを設立。かつて自分が悪用したのと同じ脆弱性を企業に警告し、ソーシャルエンジニアリングのペネトレーションテストで100%の成功率を誇ったとされています。

ミトニックは4冊の著書を執筆しており、2002年のThe Art of Deception（欺術）はセキュリティ分野の必読書となっています。2023年7月16日、膵臓がんのため59歳で死去しました。

まとめ

ミトニックはソーシャルエンジニアリングを武器に大企業のシステムに侵入した伝説のハッカー。技術よりも人間心理の操作を重視した
FBIの指名手配を受けながら2年半逃亡し、1995年に逮捕。5年間の禁固刑を経てセキュリティ・コンサルタントに転身した
セキュリティの最も弱い鏈は人間であるという教訓は、現代のフィッシング詐欺やBEC詐欺にもそのまま当てはまる

よくある質問

Q ソーシャルエンジニアリングとは何ですか？: A

コンピューターの脆弱性ではなく、人間の心理的弱点を利用して情報を入手する技法です。IT部門を装って電話でパスワードを聞き出す（プリテキスティング）、偽のメールでログイン情報を入力させる（フィッシング）、他人になりすまして施設に侵入する（インパーソネーション）などの手法があります。ミトニックはこれらを体系化し、セキュリティ業界に人間の脆弱性という概念を定着させました。

Q ミトニックは本当に核戦争を起こせたのですか？: A

いいえ、完全に誇張です。公衆電話に口笛を吹いて核戦争を開始できるという主張は、ミトニックを独房に収監するために当局が用いたもので、技術コミュニティからは荒唐無稽と批判されています。当時の社会がサイバー犯罪の実態をいかに理解していなかったかを示す逸話です。

Q ミトニックの事件を題材にした作品はありますか？: A

ミトニックの自伝Ghost in the Wires（2011年）がニューヨーク・タイムズのベストセラーとなっています。また下村努との追跡劇を描いたTakedown（2000年）も映画化されました。セキュリティ分野ではThe Art of Deception（欺術、2002年）とThe Art of Intrusion（2005年）が必読書とされています。

【出典】参考URL

Wikipedia：Kevin Mitnick：経歴、逮捕、裁判、死去
Mitnick Security：ミトニックの遺産とセキュリティ会社
EBSCO Research：ミトニックの逮捕とサイバーセキュリティへの影響
Purdue University cyberTAP：ミトニックのソーシャルエンジニアリング手法