脆弱性への対応は2つ、パッチか常態化か

 ハックの話となると、システムの設計者によってすぐに防止される、つまりパッチが当てられると考える。コンピューターに対するハックなら、たいていはそうなる。

 脆弱性は研究者またはメーカー自身によって発見され、社内でシステム設計者に開示されて設計者によってパッチが開発されている。その後ようやく、システムの脆弱性は解消されたという報告とともに発表されるのである。

 コンピューターセキュリティの場合はこれに名前があって、「責任ある開示」と呼ばれている。この反対が「ゼロデイ脆弱性」だ。最初は犯罪者や政府の手で、あるいは犯罪者や政府に情報を売りつけるハッカーによって発見され、システムの責任を負う組織は実際にそれが悪用されるまで知ることがない。事前には誰も警告を受けないのである。

 本書に登場するどのハックも責任ある開示は伴っていなかった。コンピューター以外のシステムの場合は、そのほうが普通なのである。ヘッジファンドマネージャーが、ある金融システムで儲かるハックを発見しても、規制当局に通報して修正を待つようなことはしない。行政機関によって禁じられるまでは、自分の利益になるように脆弱性を利用する。

 このほうが、事態の推移としては一般的だ。まず脆弱性が発見され、システムへのハッキングに悪用される。やがて広く知られるようになる。その進み方は遅いことも早いこともあり、ハックとそのしくみ、収益の大きさによって違ってくる。ハッキングを受けるシステムの普及度や、ハックに関する情報が伝わる速さなどによっても差が出てくる。

 ある時点で、システムの統括機関がハックの存在を知る。当事者の対応はふたつにひとつだ。一つ目は、システムの規則を変更してハックを防ぎ、システムにパッチを当てること。二つ目は、ハックをシステムに取り込み、標準として常態化することだ。常態化を経ると、誰もがそれを実行するようになって優位が失われ、ハックは自然死を迎える。

ハックはもはやハックでなくなる

 金融に対するハックの歴史は、常態化の歴史だ。誰かがハックを思いつき、巨額の利益を得る。別の誰かがそれを模倣して、棚ぼた式に儲ける。そこで規制当局が気づき、介入する。当局は規制を違法と断定して、ハッカーを処断することもある。

 だがほとんどの場合、さかのぼってハックを是認する。その時点で、ハックはもはやハックではなくなり、単に通常の金融システムの一部になるのである。こうした常態化のプロセスが常に意図的に起こるとは限らない。ヘッジファンドのように、何も手を打たずに放置され、受動的に常態化するハックもある。

 こうした過程が建設的な場合があって、NOW(譲渡可能払い戻し指図書)勘定やCD(譲渡可能定期預金証書)のように、一部のハックは金融におけるイノベーションになる。ただし、そこにはコストが発生する。

 前章までに紹介したハックの多くは、情報、選択肢、主体性を狙って市場の公平性をくつがえす。革新的というより、破壊的だ。そうしたハックが常態化するというのは、裕福な個人の権力が、他者を犠牲にしながら無理を押し通すという図式にほかならない。

 常態化は新しい現象ではないし、ハッカーと規制当局のいたちごっこも今に始まったわけではない。