悪質なゲームハッカーから、精鋭のレッドチームハッカーへ。
クリス・トンプソンはハッカーです。10代の頃にゲームを不正操作することから始まったキャリアは、IBMで初の専任レッドチームを立ち上げ、その後X-Force Redのグローバル責任者へと上り詰めるまで続きました。2024年にはOffensive AI Conを創設し、現在もオーガナイザーを務めています。そして2025年にはIBMを離れ、RemoteThreatの共同創業者兼CEOに就任しました。
この業界への入り口も、その後のキャリアの歩みも、決して王道とは言えませんでした。「高校時代、ハッキングが好きな女の子に興味を持ったんです」と彼は語ります。それ以前の自分について、彼はこう認めます。「親に対しても、先生に対しても、学校のコンピュータ室でも、とにかく規則を破ったり回避したりしようとするちょっとしたやんちゃ者でした」
しかし、その彼女との出会いが「ハッキングへの興味に火をつけた——マルウェアの開発や、コンピュータゲームやソフトウェアのクラッキングへの関心が生まれたんです。アートを作るためにPhotoshopを使いたかったし、DJや音楽ミキシングのソフトも使いたかった。だから、そういったソフトのアクティベーションを回避する方法を調べているうちに、いつの間にかゲームハッキングや、ゲームサーバー・マルチプレイヤーサーバーへの攻撃を試みるようになっていました」と言います。
そして彼は、通常のハッカーとは異なる道を歩み始めます。17歳になる頃には、「これらのゲームサーバー企業がサーバーを強化し、自分の攻撃に耐えられるよう手助けしたいと気づいた」と言います。
EAとのコネクションを活かし、「サーバーの強化や関連インフラのホスティングに関する契約を結びました。その後、さまざまなコネクションを通じて仕事が広がり、18歳の頃にはNews Corporationなども初期クライアントになっていました」と語ります。
この話には説明されていない部分が多くあります。関連する学術的なバックグラウンドを持たない18歳が、どうやって大手組織に自分のセキュリティ改善能力を納得させたのでしょうか。セキュリティを破ることに長けた若者が、なぜ突然それを修復したいと思い始めたのか。その答えはおそらく、彼自身の強い個性と、深まっていく彼女との関係が及ぼした心理的な影響にあるのでしょう。
「18歳で自分のセキュリティテスト会社を立ち上げ、以前は無料で使おうとハッキングしていたのと同じゲーム会社のために働くようになりました」と言います。この時期、彼は彼女とともに世界を旅し、タイで約1年を過ごしながら、旅の途中でも(責任ある形で)ハッキングを続けました。「旅を続け、自由でいられるよう、ハッキングをもっとキャリアとして確立したかったんです」
これが、若いゲームハッカーを責任あるセキュリティエンジニアへと変えた、最も重要な動機だったのでしょう。彼は、ものを壊すというハッカーとしての情熱を捨てることなく、安定と自由の両方を求めた、ちょっとした反骨精神を持つ若者でした。正当な方法で物事を壊し、より良く作り直す——それこそがレッドチーミングの本質です。
「大切なのは、法律に違反せずに楽しみ、挑戦を受け入れることです。世界を旅しながら、一般的な企業の枠にはまることなく自由でいられる良い方法だと思ったし、それを楽しみながらやれると思ったんです」
その選択は、生来の高い道徳心からではなく、実際的な判断によるものでした。彼は今でも、少しばかり反骨精神を持ち続けています。「破られるために作られているルールもあるし、疑問を感じる法律もある。でも最終的には、どこかで線引きをしなければなりません。自分の行動で誰かが苦しむことは望まないけれど、それでも楽しみながらやりたいんです」
発見した脆弱性やエクスプロイトをダークウェブで売るという別の道に、誘惑を感じたことはないのでしょうか。「ダークウェブで? いや、一度もありません。ブローカーやバグバウンティの優れた点は、そういった誘惑を人々から遠ざけてくれることです。ただ、将来はこの仕組みがもっと広がってほしいと思っています」
現状については、「今のところ、ゼロデイ脆弱性に限られているのが実情です。ユニークなマルウェアの能力や技術も対象に含めてほしいですね。業界がその課題に応え、CDRを回避する新しい手法やシステム間のラテラルムーブメントを実行する技術に対して報酬を支払うようになれば、現在インターネット上に無料で公開されているこれらの新しい能力は姿を消し始めるでしょう。発見を収益化し、研究の対価を得る方法が生まれるからです」と語ります。
ハッキング能力と誰も傷つけたくないという思いの組み合わせは、彼のキャリアの軌跡に如実に反映されています。現在、彼はRemoteThreatのCEOを務めています。同社は、悪意ある行為者によるAI活用の脅威に対抗するためにAIを用いることを目的として、彼自身が共同創業した会社です。型破りな姿勢は、これまでの道のり全体で一貫して彼に寄り添ってきました。彼は大学の学位を持っていますが、それを取得したのは、すでに優れたハッカーとして実績を積んだ後のことでした。
「すでにやっていることを正当化するためにコンピュータサイエンスのプログラムを受けてみたらと友人に勧められて、やってみました」サザン・アルバータ工科大学の情報システム学士号を取得しましたが、それは彼のキャリアにとってほぼ後付けのもの——しかも他人の後付けの考えによるものでした。大学を卒業すると、すぐに新たなペネトレーションテスト会社を立ち上げました。
能力を定義するものとして学歴に頼らないというスタンスは、今も変わりません。
「大学などの高等教育は、一部の人々にとって素晴らしいものです——構造を与え、幅広い概念を紹介してくれます。しかし、私が知る中で最も優れたハッカーの何人かは、高校すら卒業していません。ただ中退しただけです。ハッキングとは、どれだけ自分を追い込んで学び、さまざまな方向に掘り下げ、概念を把握できるかということなのです。
だから、例えばX-Force Redで採用する際、大学の学位は気にしませんでした。大事なのは、自分を証明できるかどうかです。見せてほしい。あなたがやってきた研究を見せてほしい。他者とどう協力して働くかを見せてほしい。この分野での深い専門知識を見せてほしい。
それが私が本当に求めていたことです。他者とうまくやれるか? 協力して仕事ができるか? 結果を出せるか? クライアントはあなたと一緒に働くことを好むか? 人当たりは良いか? そして何より重要なのは、その分野の専門知識を持っているかどうか、ということです」
現在、彼はBlack Hatのレビューボードメンバーも務めています。「大学や専門学校に一度も行ったことのない人たちから、素晴らしい投稿をたくさん目にします。彼らは自分が非常に才能ある個人であることを自覚し、その理解の水準に到達しようと自分を追い込んでいます。学位がなくても、そこに至れるのです」
これは答えの出ない問いを提起します。知的な人が学校を中退する理由の一つは、ニューロダイバージェンス(神経多様性)にあります。
ニューロダイバージェンスは、高い知性と社会的な困難を組み合わせることが多い(必ずしもそうとは限りませんが)ものです。統計的に、ハッカーの中には予想よりも高い割合でニューロダイバージェントな人々がいることが多く指摘されており、完全な自閉症よりもASDの範囲(アスペルガー症候群)やADHDの傾向がより多く見られます。問題は、ニューロダイバージェンスがハッカーの形成においてどの程度関与しているか、ということです。
「自分にはADHDが確かにある」とトンプソンは語ります。「自分にはいくつか変わった点があることは間違いありません。でも、業界の人々にとってはむしろスーパーパワーだと思っています。ニューロダイバージェントな人々と多く働いてきましたが、彼らはそうでない人とは異なる形で課題に取り組みます。物事がどのように機能するか、どうすれば回避できるかを細かく吟味し、ほとんどの人よりもはるかに深いレベルで物事を理解します。ニューロダイバージェントでない人とは異なるレベルの集中力を発揮するため、この業界はニューロダイバージェントな人々を引きつけると確信しています」もちろん、こうした人々の中には高校を中退した人もいるでしょう。
ニューロダイバージェンスがハッカーを生み出すわけではないでしょうが、ハッキングのプロセスを確実に助けることは間違いありません。
Black Hatのレビューボード以外にも、IBM在籍中にトンプソンは数多くのサイドプロジェクトを手がけました。その一つは、ある非公開の組織(NATOのシークレットクリアランスが必要とされた)における、契約CNE(コンピュータネットワーク活用)オペレーションと電子戦・合法的傍受に関するコンサルテーションを専門とするオペレーターとしての活動でした。また、MITRE Center for Threat Informed DefenseのプロジェクトスポンサーやCRESTの取締役会メンバーも務めました。
現在も続けているサイドプロジェクトの一つが、Offensive AI Conferenceの創設者兼共同オーガナイザーです。これは興味深い取り組みです。ハッカーの視点から、人工知能が攻撃的・防御的なサイバーセキュリティの両面にどう影響し始めているかについての洞察を提供してくれるからです。そしてもちろん、これがRemoteThreatの共同創業へとつながりました。
AIとハッキング
「攻撃的AIの活用は、非常に興味深い機会であると同時に脅威でもあります」と彼は語ります。「優れたハッカーではなく、自分でマルウェアを書けない、攻撃的セキュリティツールを作れないような人々が、今やチャットプロンプトを使ってそれを実現できるようになっています。そして、自分が得意ではないテストをタスクエージェントに任せることもできます」
その結果、悪意ある攻撃の速度と量(必ずしも質ではない)、そしてレッドチーマーが発見する悪用可能な脆弱性の速度と量に、大きな変化が生まれています。「一方で」と彼は続けます。「専門知識を持つ人々は、ドメインデータ分析やターゲットの偵察といった比較的単調な作業をAIに任せることで、より速く動けるようになり、他のことに時間を使えるようになります」
「賢い人々はAIを活用して、基本的な作業を単にオフロードするだけでなく、より興味深いことに集中する時間を生み出しています。攻撃的セキュリティツールをより速く構築したり、脆弱性を発見して武器化したり、問題を発見してパッチを当てたりするためにAIワークフローを活用している人々を目にするようになりました。これはもはや、自分でマルウェアやエクスプロイトをコーディングする優位性を失うことの話ではありません。すでに優れたハッカーである人々のために、AIを強化・増幅するものとして活用することについての話です」
もちろん、この議論は悪意あるハッカーと攻撃的なレッドチームの防衛者の両方に当てはまります。サイバー戦争はその激しさと洗練度の両面で増大し、賭け金はさらに高くなるでしょう。
「私たちの業界では、大規模なスキル不足が続いています」と彼は付け加えます。「しかし、これまで以上に速いペースで動く必要もあります。悪意ある者や他の国家は、AIを活用して脆弱性を発見し、武器化し、そのエクスプロイトをより速く利用しようとするでしょう。私たちも同様にAIを活用して同じ脆弱性を発見してパッチを当てなければ、あるいは脆弱性を発見し、武器化し、敵対者に対してより速く使用しなければ、重大な紛争が発生した際に非常に困難な状況に陥ることになります」
私たちは地政学的緊張の時代に生きており、その温度は急速に上昇しており、短期的に冷却される可能性は低い状況です。ロシアはすでにNATOに加盟する国の重要インフラへの破壊的攻撃を行っており、それは懸念すべき事態です。しかし、同様に懸念されるのは、重要ネットワーク内でのポジション確保を進める中国の動きです。執筆時点では、これらのポジションから破壊的攻撃を行ってはいませんが、現在の戦争によって引き金を引かれたイランは、イラン以外のあらゆる国・組織を標的にしており、すでに破壊的なサイバー攻撃を実施しています。
もしこれらの敵対的な国々が、エクスプロイトと事前配置の両方においてAIの支援を受け、重要インフラを大規模に混乱させられるほどの能力を持つに至ったとしたら、何が起きるのでしょうか。トンプソンが使う言葉は「甚大な影響」——そしてAIは原因と結果の両方において中心的な役割を担うことになるでしょう。
クリス・トンプソンは「善玉」ハッカーの一人であり、彼の仕事はグローバルなサイバー戦場のバランスを維持するうえで、ますます重要性を増しています。彼が担う種類の攻撃的セキュリティは、サイバー抑止力というコンセプトの根幹をなすものです。サイバー防衛においてAIを使うべきかどうかという問題ではもはやなく、AIを使わなければならないという単純な事実があるだけです。
