Wuyun.com CEO: 抵抗は主にBATビッグスリーから来る

Wuyun.com の創設者、Fang Xiaodun 氏

写真は北京タイムズ記者の潘東風氏によるもの。白魔術と黒魔術と同じように、ハッキングの分野にも「ホワイトハット」と「ブラックハット」が存在します。ファン・シャオドゥンは「情報警察官」として、過去8年間ハッカー分野で「ガンダルフ」の役割を演じ、特に「ヴォルデモート」と戦ってきた。 Ctrip.com の最近の「脆弱性ゲート」事件により、Fang Xiaodun 氏と彼が作成したインターネット脆弱性報告プラットフォーム Wuyun.com が再び注目を集めています。今年27歳になったばかりのファン・シャオドゥン氏は、国内の主要ウェブサイトのセキュリティ上の抜け穴をチェックするために、さまざまな分野に散らばっているホワイトハットハッカー5000人を集めたと語った。方小屯氏は、「暗雲」はクラウド時代の情報窃盗犯とインターネット企業に降りかかる警告の呪いであり、暗雲が晴れるたびにネットワークセキュリティが前進することを期待していると述べた。

□キャラクターストーリー

独学ハッカー

2002年、湖北省出身の15歳の少年、ファン・シャオドゥン君がハルビン理工大学の化学専攻に入学した。 「私は子供の頃からずっとコンピューターに興味がありました。大学では時間がたくさんあったので、インターネット技術を独学で勉強しました。」ファン・シャオドゥン氏にとって、テクノロジーは実際には何でもなく、独学で専門家になれるのです。 「当時、インターネット上にはインターネット技術のチュートリアルやディスカッションコミュニティがたくさんありました。学ぶ意欲さえあれば、誰でも技術の専門家になれます。セキュリティ技術は、学校で教えられるものではありません。」

ファン・シャオドゥンは大学での4年間、ほぼ全ての時間をハッキング技術の研究に費やした。ご存知のとおり、ネットワーク セキュリティは常に攻撃と防御が統合されており、ハッカーのレベルは実際の戦闘を通じて獲得されます。そこで、方小盾は学校のウェブサイトをハッキングし、独自のネットワーク技術コミュニティサイトを立ち上げました。当時、ネットワーク技術を研究する小グループの間では技術的な「戦い」が頻繁に起こり、方小盾は常にその主力でした。 「当時は、誰もが技術を競うためにハッキングし合っていました。2004年頃は、インターネット全体が今ほど人々の生活に深く根付いておらず、ネットワーク セキュリティはまだ純粋に技術的な存在でした。その後、ハッキングするものがなくなったので、私たちは一般的なソフトウェアの脆弱性を探しました。それらを発見して開発者に伝えた後、私たちは達成感を感じました。」

最初は趣味で始めたことが、Fang Xiaodun の最初の仕事となり、偶然にも本物のネットワーク セキュリティ エンジニアになることができました。 2006年、卒業を控えていた方小墩は、あるソフトウェア会社の製品に脆弱性を発見した。当時、その会社は数十万の顧客にサービスを提供しており、脆弱性は数億人のユーザーに波及する可能性がありました。

「脆弱性を発見した後、インターネット コミュニティを通じて会社の関係者に連絡を取りました。彼らは非常に興味を持ってくれて、CEO と話すために北京に招待してくれました」と Fang Xiaodun 氏は言う。「私たちはとても仲良くなり、卒業後、私はその会社に入社してソフトウェア セキュリティ保護の責任者になりました。」

百度がセキュリティ専門家を引き抜いた

ある意味、Fang Xiaodun も「ハッカー」ですが、トラブルメーカーではありません。 2008年、方小盾はすでにネットワークセキュリティの分野で活躍しており、インターネット企業は彼を引き抜こうと次々にやって来た。しかし、方小盾を最も惹きつけたのは百度だった。

インターネット企業の「プログラマー」や「技術者」には、「コミュニティにたむろする」習慣がある。これらの大小さまざまなオンライン技術コミュニティは、中国のインターネット専門家やハッカーが集まる場所です。組織は非常に緩やかで、誰もがオンライン上のニックネームでお互いを呼び合っていますが、このようなオンラインフォーラムでも、年功序列は厳格に守られています。

「私たちのセキュリティコミュニティでは、あなたが十分に優秀であれば、多くの人があなたを推薦します。百度はこのコミュニティを通じて私を見つけたのです。」ファン・シャオドゥン氏は、当時、ソフトウェア会社で2年間働いていたものの、大企業の大きなプラットフォームに向き合うことは一度もなかったと考えていたと語った。 「そこで、環境を変えて、大規模なプラットフォームでセキュリティ技術をうまく活用できるかどうか試してみることにしました。」

2008年に百度に入社してから2011年に退社するまで、ファン・シャオドゥンは百度のシニアセキュリティエンジニアにまで昇進し、主な職務はハッカーの侵入を防ぐことだった。百度のセキュリティチームも、当初の5～6人から30人以上の「ハッカー防御壁」にまで成長した。

百度を退社した理由について、方小屯氏は、それは主に自身の理想のためであり、自身の技術を使ってより多くのインターネット企業のセキュリティ問題を解決したいと思ったからだと述べた。 「ホワイトハットハッカーは、テクノロジーに興味を持っているだけでなく、ポジティブな理想も持っていなければなりません。」実際、百度の主な事業は検索エンジンであるため、インターネット分野全体に制限があります。当時の方小墩にとって、百度が残してくれたスペースは極めて限られていました。 「百度では百度でできることしかできない。インターネット全体にはまだまだ成長の余地があるので、もっと大きな空間で何かできないかと考えました。」

リーダーのウーユンは一夜にして有名になった

実際、2010年7月には、Fang Xiaodun氏はSinaと360の2人のホワイトハットエンジニアとともにWuyun.comを設立しました。当時の設立目的は、BaiduやBaiduに類似した企業の問題を​​解決することでした。 「五雲」の名前の由来について、方小墩氏は、当時はクラウド技術が力強く発展しており、多くの企業がクラウドの利便性と低コストを話題にしていたが、実際には、以前は問題が1、2人のユーザーに影響しただけだったが、クラウド技術を使用した後は、数千万人に影響を与える可能性があると述べた。 「暗い雲は、クラウド技術が危険であることを皆に伝えるためのものです。暗い雲は警告なのです。」

Wuyun は、その行為が攻撃的であることから、設立当初からホワイトハットと企業の間に立つ非営利団体としての立場をとっています。 2011年、設立からわずか1年だったWuyun.comは、JD.com（ローリングニュース）、Alipay、NetEaseなど、有名インターネット企業の高リスクの脆弱性を相次いで公表した。その後、五雲はアリペイユーザー2500万人のデータ流出、ホームインのホテル予約情報流出、テンセントQQグループユーザー7000万人のデータ流出など、一連のセキュリティ問題を指摘した。五雲はほぼ全ての戦いに勝利し、一躍有名になった。

「私たちは小さなテクノロジーサークルから発展したので、最初は大手インターネット企業にのみ焦点を当てていました。その後、多くのホワイトハットが政府部門や大手国有企業のウェブサイトに脆弱性レポートを提出しましたが、第三者組織である私たちがこれらの組織と調整し、改善情報を提供するように依頼することは困難でした。」 方小墩氏がこの課題の解決に苦慮していたちょうどその時、2011年末、工業情報化部の「国家情報セキュリティ脆弱性共有プラットフォーム」の責任者が、五雲がデータ情報を共有し、このプラットフォームが政府や国有企業のシステム改善を後押ししてくれることを期待して、協力を求めて方小墩氏にアプローチした。

「現在、五雲には国家情報セキュリティ脆弱性共有プラットフォームと広東省情報セキュリティ評価センターという2つのスポンサーがいます。彼らは毎年定期的に資金を提供してくれており、基本的に私たちの費用を賄うことができます。」ファン・シャオドゥン氏は、「この2つのプラットフォームの助けにより、五雲はインターネット企業、金融、大中規模企業、政府機関のウェブサイトなど、あらゆる業界の脆弱性のポータルになりました。」と語った。

自分はエンジニアだと主張しているが、ビジネスマンにはなりたくない

スポンサーを獲得したにもかかわらず、2011年は依然としてWuyunにとって最も困難な時期でした。 2011年12月、Wuyunは、国内の有名なテクノロジーコミュニティであるCSDNの600万人以上のユーザーのデータが漏洩したことを明らかにした。データが公開された後、多くの人がそれを利用して他社を攻撃し、Wuyun は一時、広く疑問視されました。 12月29日、Wuyun.comは一時閉鎖を発表し、今後は影響を軽減するために脆弱性を選択的に開示すると述べた。半月後、情報開示規定を再調整したWuyun.comがアクセスを再開した。

ファン・シャオドゥン氏は、Wuyunが設立された当初、Wuyunの役割はハッキング行為ではなく、単なるセキュリティ警告であることを企業や規制当局に説明するのに多くの時間を要したと述べた。現在までに、Wuyunは約5万件のネットワークセキュリティの脆弱性を公開しており、Ctrip、Tencent、Taobaoなどの有名企業を含む524社のメーカーがWuyunに登録している。 Wuyun の技術チーム (ホワイトハットハッカー) は 5,000 人に達しています。これらのホワイトハットハッカーには、大手企業のネットワークセキュリティエンジニア、IT 実務家、ホワイトカラー労働者、弁護士、さらにはシェフも含まれます。人気が高まるにつれて、ますます多くの人が五韻を受け入れ始めます。

しかし、ダーククラウドに対して疑問を呈する声も少なくない。ハッカー界隈では、ハッカーがウェブサイトに侵入して情報を盗んだ後、Wuyun.com でメーカーに脆弱性を提出することで、その情報から逃れられるという格言があります。承認されたホワイトハットのみが参加できるWuyun.comのプライベートフォーラムには、ブラック産業、オンライン収入、サイバー戦争などのトピックに関する特別なディスカッションセクションがあります。Wuyunはかつて「中国最大のハッカー訓練基地」と呼ばれていました。

疑問に直面しても、ファン・シャオドゥンは冷静さを保っていた。 「サイバーセキュリティにおける最大の問題は、敵が何をしているか分からないことです。私たちはブラックハットのテクニックを研究し、ハッカーをより効果的に阻止するために、こうしたディスカッションフォーラムを設置しました」とファン・シャオドゥン氏は語った。「本物のハッカーは無実を主張しません。自分がやったことを誰にも知られないようにするのが一番です。ハッカーはどうすれば企業に自発的に通報できるのでしょうか？」

実際、百度を離れて五雲を設立した後、方小盾の収入は大幅に減少した。今のところ、どれくらいの収益を上げるかは考えていないものの、Fang Xiaodun氏と彼のチームには、将来に向けたビジネスアイデアがいくつかある。 「現在、Wuyunは問題を発見し、早期警告情報を無料で提供しています。将来的には、Wuyunプラットフォームをさらに一歩進め、ホワイトハットと企業を結び付けて、コード修正や脆弱性修復などのソリューションを提供できるようになります。この部分のサービスは有料となります。」

方小屯氏は、五雲自身が営利目的のセキュリティ技術仲介者になることは決してなく、オンライン公益事業モデルを継続していくと認めた。 「私は今でも自分をビジネスマンではなく技術者だと考えています。」

■用語説明：ホワイトハットハッカー

ホワイトハットハッカーとは、ハッキングスキルを使って「良いこと」をするハッカーのことで、ネットワークセキュリティエンジニアの性質と多少似ています。通常、ホワイトハットハッカーは、自身のシステムを攻撃するか、セキュリティ監査のためにクライアントのシステムを攻撃するよう雇われます。

□人物スケッチ：現実の境界にいる理想主義者

私が初めて方小盾に会ったのは、IT企業が集中する中関村だった。長髪にTシャツ、ビーチサンダル姿の彼は、技術系ハッカーというよりは文学好きの若者といった感じだった。百度で方小盾を検索すると、最も広く流布している情報は、武芸やホワイトハットハッカーではなく、湖南テレビの「Day Day Up」番組にロビン・リーと出演した際、彼を捨てた恋人に少し音程を外して歌った「I Have Nothing」という曲だ。

方小盾さんは、かつてはテクノロジーに夢中になりすぎて、食事と睡眠以外の時間はすべてオンラインでテクノロジーの勉強に費やしていたと語った。五雲を担当することになった今、やるべき事務作業は増え、多くのスキルを放棄しなければなりませんが、私に残っているのは理想だけです。ファン・シャオドゥンの理想は、ネットワークセキュリティの問題をより透明化することで、企業がセキュリティにもっと注意を払い、ホワイトハットの給料を増やすことです。

しかし、方小屯氏は、現在のインターネット業界の環境は十分ではなく、実際にそのような理想を実現するのはかなり難しいとよく言っています。ご存知のとおり、ホワイトハットとブラックハットの収入の差は、月に 10,000 円稼ぐのと 1 日に 10,000 円稼ぐのとでは違います。 「ホワイトハットハッカーになって百度に行って五雲を立ち上げようと思ったことは一度もありません。五雲や他のプラットフォームを今どうするかはまだわかりません。道は一歩一歩発展していくものであり、熟考されたものではありません。今五雲はただ自分のやりたいことをやることに集中しています。」この時、方小墩は再び実務的な理工人になった。

>>困難について話す

抵抗は主にBATビッグスリーから来ている

北京タイムズ：企業はWuyunの脆弱性開示モデルを認識していますか？

方小墩：ほとんどの企業がまだそれを認識していると言ってもいいでしょう。しかし、セキュリティを気にせず、気軽にソフトウェアを使い、口座にお金を入れることを望んでいる企業もあります。私たちは、誰もがセキュリティに注意を払ってくれることを望んでいるので、このような不承認は確かに存在します。

北京タイムズ：そのような反対意見は多いのでしょうか？

方小屯：この抵抗は主にBAT（百度、アリババ（ローリングニュース）、テンセント）から来ています。最近、多くの企業が脆弱性を発見した人に報奨金やボーナスを提供しています。ボーナスの一部は確かに問題の解決に使われますが、セキュリティ上の問題があることを一般の人々に知られたくないという目的の方が大きいのです。彼らは、私たちが明らかにした問題に対して報酬を与えることはなく、問題を彼らに持ち込んで個人的に解決した人達にのみ報酬を与えました。

北京タイムズ：今回の件で、BATの関係者から個人的に連絡がありましたか？

方小墩氏：当初は提案がありましたが、理由が何であれユーザーに開示しなければならないというルールを定めていたため、同意しませんでした。その後、彼らは戦略を変更し、脆弱性を報告したエンジニアに多額の報奨金を提供し、脆弱性はユーザーに対して閉鎖されました。ここはとても楽しいですよ。

北京タイムズ：これは暗雲に何らかの影響を与えるでしょうか？

Fang Xiaodun: そうです。しかし、業界全体がセキュリティにますます注目するようになり、私たちも BAT とよりよい方法で競争する方法を考えています。なぜなら、一般の人々が脆弱性やセキュリティ問題を理解してこそ、業界全体がやる気を起こし、企業はセキュリティ分野にもっと資金を投資する意欲を持つようになるからです。ホワイトハットの生存状況と一般の人々の情報セキュリティをより良く保護することができます。これまでは、セキュリティにあまり注意を払わず、企業も投資せず、ホワイトハットの報酬は低く、生計を立てるためにブラック業界に流れていく人が増えていました。私たちは、このサイクルを変え、企業がセキュリティ問題に直面したときに情報をより透明化したいと考えています。

>>誇大宣伝について

私たちに最も不満を抱いている人は3つのタイプに分けられます。

北京タイムズ：Wuyun の脆弱性公開は注目を集めるための「クリックベイト」ではないかと疑問視する人もいます。Wuyun は内部監査をどのように行っているのでしょうか?

Fang Xiaodun: 私たちはタイトルに特に注意を払っています。現在、ホワイトハットから提出された脆弱性レポートをレビューし、客観的に処理する責任者が 3 人います。しかし、解決できない矛盾があります。最近、アリババはある脆弱性のリスクレベルが非常に低いと信じていたが、ホワイトハット研究者はそれを見てそうではないと考え、問題を実証し、問題のリスクレベルが高いことを発見したというケースがありました。企業にとっては、影響が小さければ小さいほど良いです。しかし、ホワイトハットにとっては、より本物であるほど良いです。そうでなければ、私たちは簡単に他人から「クリックベイト」とレッテルを貼られてしまいます。しかし、45日後には脆弱性の詳細をすべて公開します。その頃には事実が明らかになり、それが客観的なものかどうかは誰もが判断するでしょう。

北京タイムズ：五雲は宣伝が得意だという疑惑もありますが、この声についてどう思いますか？

方小墩：これらの声は非常に奇妙であり、企業は間違いなくそう言うでしょう。アリババとテンセントの広報力は非常に強力であり、このような声を止める方法はありません。何をしても、不満を持つ人は必ずいる。私たちは自分のことをうまくやるしかない。私が言いたいのは、私たちに最も不満を抱いている人は3種類いるということです。1つ目は、ユーザーがセキュリティに注意を払わないことを望んでいる大企業です。2つ目はブラック産業です。私たちは多くのブラック産業チェーンを直接ブロックしました。3つ目は、情報をブロックすることで利益を得ることを望んでいる企業です。たとえば、一部のセキュリティ会社は、抜け穴を利用してユーザーを脅迫していました。私たちはすべての情報を公開していますが、それは彼らにとって良くありません。

>>報酬について話す

企業はホワイトハットに報酬を与えるよう規制されている

北京タイムズ：ホワイトハットが企業にシステムの脆弱性を知らせると、多くの企業が報酬を与えるのではないでしょうか？

Fang Xiaodun: 私たちは非営利団体ですが、これからも橋渡し役として貢献していきたいと考えています。現在、多くの企業がホワイトハットに対して非常に友好的です。最近、モダン スカイ ミュージック フェスティバルの脆弱性が明らかになりましたが、主催者は善意の参加者にチケット 30 枚を報酬として提供することを決めました。私たちが衝突するのは、セキュリティ問題についてユーザーが知ることに敵対する人々だけです。

北京タイムズ：この人たちはBATですか？どうやってバランスを取るのですか？

方小墩：オンラインコミュニティのやり方はビジネスのやり方とは異なります。営利目的の組織であれば、バランスを取ることはできません。したがって、WuyunとBATは対立しているわけではありません。私たちも彼らの上級管理職とコミュニケーションを取ろうとしていますが、時間がかかると思います。

北京タイムズ：企業が与える報酬を管理する仕組みはありますか？

方小墩：通常は、企業がホワイトハットに直接連絡し、ちょっとした贈り物を送るようにしています。工業情報化省の後援により、定期的にいくつかの小さな賞品が提供され、定期的に書籍が出版される可能性があり、私たちはこれらすべてを監督します。

>>安全性について話す

現在、国内のネットワークセキュリティは、

北京タイムズ：国内のサイバーセキュリティのレベルはどの程度だとお考えですか？

方暁盾：率直に言って、2011年以前の国内のインターネットセキュリティは非常に貧弱でした。現在は大幅に改善されましたが、米国と比べるとまだ大きな差があり、合格点しか付けられません。現在、私の国のインターネットセキュリティは十分にオープンで透明性がありません。

北京タイムズ：Ctripの脆弱性事件後、ネットワークセキュリティと使いやすさの間に矛盾があると思いますか？

方小屯：本質的な矛盾はありません。特定の計画に矛盾があるかもしれませんが、そのような矛盾は他の計画によって補うことができます。安全性と利便性のバランスはどうなっているのでしょうか。お金や個人の核心情報が関わるのであれば、安全性が第一だと思います。

原題: Wuyun.com のボス: 抵抗勢力は主に BAT ビッグ スリーから来ている

キーワード: Wuyun.com、BAT、巨人