2026-05-14 の一覧へ戻るホーム
『90年代末から00年代初頭のハッキングツールの感傷的な旅』

2026/05/14 3:25

『90年代末から00年代初頭のハッキングツールの感傷的な旅』

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

早期の遠隔アクセスツールの歴史は、二重の遺産を示している:Back Orifice や Back Orifice 2000 のようなユーティリティは、Windows セキュリティの失敗の演示であると同時に危険なマルウェアとして機能した一方、NetBus は特定の悪用により刑事起訴に直面した。これら 1990 年代後半の革新は孤立したものでなく、Bulletin Board システム (BBS) に依存していた地下コミュニティを壊滅させた 1994 年のイタリア・Fidinet BBS ノードの捜査などに例示されるように法制度の変化と共におこった。IRC ボット統合などの高度な機能は、単純なスクリプトを洗練されたコマンド&コントロールネットワークへと変化させ、Sub7 といったツールを新たな脅威レベルへと昇華させた。直近の危害を超えて、これらの技術はデジタル権利弁護士、ジャーナリスト、サイバー法に特化したインシデントレスポナーへと進化していく一世代の実践者の形成に影響を与えた。その時代には包括される標準的なツールの他にも、Nmap、Netcat、John the Ripper、Cain & Abel、dsniff、ettercap、Hping、Aircrack、Whisker および Nikto のような脆弱性情報スキャナなどのツールは、今日なおペンテストに relevan t なままである。これらの永続的な影響力は、その時代の概念が現代の攻撃的および防御的戦略において依然として不可欠であることを示している。今日においても、トラフィックを混在させることや正当なインフラストラクチャ内で身を隠すようなレガシーなテクニックは、脅威アクターが検出から回避する手法に影響を与え続け、1990 年代の基礎的な教訓が現在のサイバーセキュリティ防御のために依然として関連性を持つことを保証している。

本文

子供たち、寄りなさい。
Rust でコンパイルされた eBPF プロブ、Sigma ルール、十数億ドルの EDR コントロールパネルを置き去りにして、この古いフロッピーディスクの山に座り込んでください。
ここで、かつて 56 kbps モデムが「大量破壊兵器」とも呼ばれた時代の話、あなたの運用基盤全体がキーボードのスティッキークスリが残る Windows 98 マシンであり、最も洗練された C2 チャネルだったのが、リンキン・パークについて熱く議論するティーンエイジャーで溢れるチャットルームである時代の話を、私の元々(Ai miei tempi)聞かせてあげましょう。

その時は、私たちは「文字」を使ってハッキングを行いました。

RAT の黄金時代

この物語は、およそ 1998 年、Cult of the Dead Cow というグループが DEF CON で「Back Orifice」というものを公開したところから始まりました。
この名称は、Microsoft の BackOffice を意図的にパロディ化したものであり、幼稚ではありながら的確であり、また「物事をうまく名付けることが戦い半分である」と理解していた同グループのコンセプトに完全に合致していました。
Back Orifice とは、Windows 95/98 のマシンをリモートから管理できる「リモートadministration ツール」で、ファイルの閲覧、スクリーンキャプチャ、キーストロークの記録、ポートのリダイレクトなどの機能を備えており、悄然として動作し、展開には特別な専門知識を要せず、サイズは 100KB も未満でした。

セキュリティ業界の見識した側は当然のように精神を錯乱させました。Microsoft はそれを「マルウェア」と称し、Cult of the Dead Cow はそれが「Windows のセキュリティ欠陥のデモンストレーションである」と主張しました。両者ともに正しいのです。

その後、1999 年 7 月の DEF CON で提示された Back Orifice 2000(BO2K)が登場しました。これはオープンソースとして提供され、プラグインによる拡張性を持ち、暗号化通信を可能にしたものであり、その当時には市場に流通していた大部分の正当なリモート管理ツールよりも豊富な機能を備えていました。

その同年、NetBus もすでに circuIating していました。
1998 年にスウェーデンのプログラマ Carl-Fredrik Neikter によって作成された NetBus は、Back Orifice の基本的な前提、つまり Windows マシンへの悄然としたリモート制御を共有していましたが、より「 respectable」に近いとさえ感じられるほどクリーンな GUI を備えていました。
NetBus が悪名高くなったのは部分的には、スウェーデンの法科大学院教授のコンピューターに児童ポルノを植え付けるために使用された事件が原因です。その事件は同ツールを実際の刑事裁判へと引き込み、「リモート管理」という言葉がどのような意味を持つのかについて関与者全員に大きく真面目さを求めざるを得ない状況を作り出しました。教授は無罪となり、そのエピソードは法と倫理に関する議論を予兆として示し、何十年もの時間を要するまで政策類似の形態へと成熟する過程を見せました。

しかし、Back Orifice や NetBus はいずれも当時の最も広く展開された RAT ではありませんでした。
この栄誉は、ルーマニアのティーンエイジャーで mobman という名前で通っていた人物が Delphi で作成し、1999 年 2 月に最初にリリースした Sub7(SubSeven)に属します。2000 年までにはそこら中にいたのです。
洗練された GUI を備えており、被害者がオンライン状態であるかを追跡するためのアドレスブックを持ち、展開前にペイロードをカスタマイズするためのサーバーエディタを持っており、BO2K からそのアイデアを直接拝借していました。さらには、被害者がオンラインになる際に ICQ による通知もサポートしており、マルウェアとしては異例ほど洗練されていました。
「Sub7」という名称の正確な起源は mobman によって最終的に確認されることはなく、フォーラムで流布していた様々な説明のほとんどは民俗語源学に過ぎませんでした。
重要なのは、それが機能したという事実、無料で利用でき、設定も極めて簡単だったということです。

ガレージオペレーターのスイス軍ナイフたち

RAT はツールキットの Glamorous な先端部に位置していました。
その下層には、いまだ今日でも広く使用されている多くの場合で真に有用で、時にはエレガントであり、インターネットの核心インフラが極めてゆっくり進化してきたことを示す証しとなるツール群がありました。

  • Gordon Lyon が開発したネットワークスキャンタである Nmap はすでにこの時代から存在し、すぐに標的に対して最初に実行されるものとして急速に進化しました。サブネットを持ち、5 分の時間をかければ、何をリスニングしているかを正確に把握することができました。
  • Netcat は死ぬことができないツールでした:ネットワークからの読み取り、ネットワークへの書き込み、ポートでのリスニング、ファイル転送、簡素なシェルの作成など。これほどまでに「TCP/IP スイス軍ナイフ」と呼ばれ、それが陳腐化したとしても、その陳腐さは正確でした。2026 年現在も、両ツールはパレントレーターの機材に必ず入っています。
  • John the Ripper はパスワードクラッキングを担当しました。
  • Cain & Abel は Windows におけるその他の作業:ARP 毒化、パスワード回復、ネットワークスニッフィング、VoIP インタセプションなどを行いました。
  • dsniff および ettercap が Unix におけるスニッフィングの側面をカバーしていました。
  • Hping は生 TCP/IP パケット操作を提供しました。
  • Aircrack の初期バージョンでは、WEP がもはや暗号化プロトコルというより「礼儀正しい推奨事項」であるという主張を開始しました。

ウェブに公開されている標的に対しては、品質の異なるスキャンタとエクスプロイトパックが存在していました。それらの多くは、数ヶ月前から修正すべきだった既知の CGI 脆弱性のリストを循環させることで機能し、2001 年のパッチ管理は「誰かの甥がいつか見てくれるだろう」という状況でした。Whisker、Nikto など、他の脆弱性スキャンタも同様の手続きを通過していました。

このエコシステム全体は、標的はインストール以降、何らかの更新を行っていないという暗黙の前提に基づいており、公平に言えばそれは通常正しいことを示しています。

IRC:指揮本部、社交クラブ、そして犯罪現場

すべてがどのように機能したかを理解するには、インターネットリレーチャット(IRC)、および特に EFnet、DALnet、Undernet や特定の興味を圍繞する様々な小規模ネットワークを中心として時間を過ごすことの意義を理解する必要があります。
IRC は「シーン」が生きていた場所であり、#hack、#warez、#sub7、#bo2k など、ここでは印刷し難いほど創造的な名称を持ついくつかのチャンネルが存在しました。

Sub7 の IRC 統合は偶然ではありませんでした。バージョン 2.1 から、このトロヤンのサーバーコンポーネントは指定された IRC チャンネルに接続でき、オペレーターからの命令をリスニングしてボットのように反応していました。これは少し恐ろしいほどエレガントで、あなたの侵害されたマシンは単なる IRC クライアントであり、あなたが制御できない追跡不可能なフリーチャットサーバーが C2 インフラストラクチャーとして機能していました。
法執行機関は、自分が何を観測しているのかを理解する以前に、IRC ネットワークに対して検索令を請求する方法を見つける必要がありました。

これは、現在 legitimate クラウドサービス内に隠れるすべての近代 C2 フレームワークの概念的な先行者であり、アーキテクチャではなく技術そのものが革新でした。
革新は技術的ではありませんでした。それは構造的ものでした:すでに存在するインフラストラクチャーを使い、すでにトラフィックを生成しており、防御者がより明白な攻撃面に関心を持っているためにモニタリングしていないものに注目することです。
今日の脅威アクターは Slack、Telegram、Google Drive を利用していますが、その「Ai miei tempi(私たちがいた時代)」では EFnet の #r00t というチャットルームでそれをやりました。

純粋な運用だけでなく、IRC は独自の文化、儀式、階級を持つ社会的な空間でもありました。
情報を共有することによって、他人より先にツールへのアクセスを持つことによって、そして興味深いことが起きた際に存在することによって自己を証明しました。
チャンネルは混沌としており、頻繁に有毒でありながら、会費が払えない人々にとってネットワークセキュリティのための厳しさを伴う修行でした。
現在 DFIR、脅威インテリジェンス、レッドチームの尊敬すべき専門家となった多くの人々は、そこで基礎を学んだのです。

イタリアのシーン:創造的混沌、中断

イタリアにはこれらすべてにおいて独自の側面がありました。
IRC がすべてを代替する以前に、イタリアのハッカーと smanettone コミュニティは Fidonet 上で動作する BBS(Bulletin Board Systems)を中心に構築し、技術的好奇心、政治的活動、そして地中海地方特有のルールに対する態度が融合した文化を持っていました。

その後に来たのは、1994 年 5 月 11 日でした。

その朝、Guardia di Finanza の職員たちは国中のシステムオペレーターたちの门前を同時にノックし、裁判官が発した命令状を実行して「Operation Hardware 1」と呼ばれるものでした。
ペザロ出身の検事から発行された命令状に基づき、彼らは個人がネットワークを使用して不正ソフトウェアを配布しているという疑いで Fidonet ノード 119 のすべてを捜索しました。戦略は単純で残酷でした:Fidonet ノード全体のディレクトリを取り、それら全員を捜索する。二人だけが嫌疑を受けたが、残りは collateral problem となりました。没収された機材にはモデム、フロッピーディスク、CD-ROM、オーディオテープが含まれ、少なくとも文書化された一カ例ではパワーストリップも「不法素材の複製に適した」として没収されました。

イタリアの BBS コミュニティへの影響は壊滅的でした。多くのシスコは単に停止しました。
何年にもわたる非公式な知識共有、ファイルアーカイブ、コミュニティビルディングが一晩にして消えました。それは法的用語ではわずかに耐え難いほどの法的アクションによって解体された技術コミュニティでした。元々嫌疑を受けた二人は後に起訴されましたが、百数人の collateral カジュアルたちには握手程度の強さで謝罪書が届きました。

「イタリアの弾圧」はシーンを殺しませんでした。捜査から数ヶ月後には、CyberNet などのネットワークはユーザー数が増加し、それはインターネットが固定電話番号を持つ BBS よりも搜查されにくいことが発覚した人々から部分由来していました。
IRC が 1990 年代後半に主要メディアとして地位を確立する頃には、イタリアのハッカーとセキュリティ研究者たちは再び国際チャンネルに分布し、ファイル保存場所について多少慎重になり、デジタル権利について著しく明確な議論をするようになっていたのです。

私たちは何を学んだか

その時代のツールは今見ると原素的に映ります。Sub7 の GUI は Visual Basic の学習演習に似ていますし、Back Orifice 2000 のプラグインアーキテクチャは 1999 年では巧妙でしたが、現代のエンドポイント保護製品によって直ちに検出されるでしょう。Cain & Abel は 2014 年にメンテナンスが停止され、本来運行すべきでないオペレーティングシステム上しか動作しません。

しかし、メンタルモデルは原素的ではありませんでした。侵害されたマシンをリレーノードとして使用すること、C2 トラフィックが正当なトラフィックに溶け込むこと、オペレーターがインフラストラクチャーの再利用を避けること:これらは 1990 年代後半のツールキットに含まれており、今日ではすべての深刻な脅威アクターのプレイブックに含まれています。
Sub7 の IRC ボット統合を開発した人々は、十数年後の多くのエンタープライズ防御者が理解していたよりも、運用セキュリティについてより深く理解していました。

「イタリアの弾圧」は、法的にはハンマハンマーのように粗暴でしたが、技術コミュニティ、法システム、市民的自由との関係について真剣に考える実践者たちを生み出しました。
一部はジャーナリストとなり、一部は弁護士となり、一部はインシデントレスポナーとなりました。少数は同時に三つの役割を果たしました。

「Ai miei tempi(私たちがいた時代)」、私たちはおそらくすべきでないことを行ったことで、絶対にいてはいけないチャンネルで、現在ではデジタル考古学の対象となっているサイトからダウンロードしたツールを使って学びました。
そして、その混沌の中からいかにして専門職が生まれることができたのか?

あなたに感謝いたします。

同じ日のほかのニュース

一覧に戻る →

2026/05/11 5:54

Linux のゲーム処理が高速化しているのは、Windows API が次第に Linux カーネル機能へと統合されてきたからである。

## Japanese Translation: 2026 年 3 月、Steam ライニングでの Linux ゲーム利用は史上初の重要な人口統計学的閾値を超え、Steam ユーザーベースの 5%に達した。同時に、NTSYNC ドライバーの導入により主要な技術的マイルストーンを達成した。CodeWeavers とオープンソースコミュニティが共同開発した NTSYNC は、Linux カーネルに直接統合され、以前は Wine/Proton のワークアラウンド(例:fsync)によってエミュレートされていた Windows 協調ツールに対して、ネイティブの実装を提供する。 Valve のエンジニアである Pierre-Loup Griffais が推奨する通り、2026 年 3 月の更新済み Steam Deck においてデフォルトでロードされるこのドライバーは、デッドロックやフイッチなど長年存在したエッジケースの問題を解決する。ベンチマーク結果によると、NTSYNC は顕著なパフォーマンス向上をもたらしており、未変更のアップストリーム Wine と比較するとフレームレートの最大 200%の増加を実現している。ただし、Proton(すでに fsync を含む)に対する利得はより modest(小規模)である。Microsoft が昨年 10 月に Windows 10 の公式サポートを終了したという背景において、この進展は技術的障壁を軽減し、Bazzite、CachyOS、Fedora、Ubuntu など複数のディストリビューションが新しいカーネルバージョンを採用するよう促すことで、Linux エコシステムを強化している。これは、外部パッチへの依存から、Windows 互換性を Linux コアに直接組み込むという戦略への変換をもたらした。

2026/05/13 23:45

地域レベル(自治体)向けの無料ドメイン「*.city.state.us」の設定手順(2025 年)

## Japanese Translation: 米国の居住者および組織は、特定の町が .us 下のサブドメインを委任した場合に、無料で地域固有のドメイン名(例:frederick.seattle.wa.us)を検索・登録することが可能です。対象者は米国市民または永住者、米国で設立された団体、あるいは米国において実際の事業活動および合法な活動を行う組織に限られます。地域固有ドメインは 1992 年に作成され、以降も政府との契約下で運用されていますが、インフラの變更により多くの連絡先リストが陳腐化しています(例:NW Nexus が 2009 年に NuOz Corporation に再編されたこと等)。委任されていないドメインは NeuStar が管理しており、2002 年のポリシーに従い現地政府のみを対象としています。特定の地域サブドメインが存在しない場合、gen.your-state.us 下(例:next.gen.oh.us)で一般的な独立系エンティティとして登録できます。登録には「Interim .US Domain Template v2.0」を使用し、申請者は組織情報を自身の詳細で記入し、メールを Admin/Technical/Zone コンタクトとして記載しても構いません。登録時に提供される個人アドレスは WHOIS 結果に表示されず、表示されるのはレジストラー情報のみです。承認には手動レビューが必要であり、所要時間は数日から数週間かかります。承認後、申請者はレジストラーが提供する無料のネームサーバーを介して DNS レコードを追加することで構成します(例:Amazon Lightsail の場合)。Lightsail を使用するには、AWS アカウントを作成し、「Domains & DNS」から「Create DNS zone」をクリックし、「Use a domain from another registrar」を選択し、提示されたネームサーバーアドレスを記録します。これらのサーバーの IP アドレスは、オンライン DNS ツールまたは `dig` コマンドを使用して解析できます。最後に、Lightsail(または同等のサービス)で DNS レコードを追加し、GitHub Pages や他のサーバーなどへのポインタを設定することで、有料ホスティング費用なしに真正な地理的 소유権を確保できます。申請者は、企業の構造を反映していない可能性があるレガシーの連絡先データに依存する際に注意する必要があります。

2026/05/09 20:14

グーグルにおける IDE の歴史

## 要約: Google は、デスクトップ型エディタと初期段階の独自 Web エディタ(「Cider」)から構成されていた分断されたエコシステムから移行し、単一の成熟した Web ベースのプラットフォームである Cider V に統合することで、膨大なソフトウェア開発事業を一元化しました。この重要な転換は、2020 年頃、VSCode をフロントエンドとして採用するピボットにより開始され、各内部ツールに対して独自のカスタム統合が必要という長年のツールの課題に対処しました。当初のリーダーシップが「不満」を引き起こすリスクや、エディタへの宗教的な熱狂を理由に単一エディタへの強制を推奨しなかったことに対し、Google は Cider V のバックエンドサーバーアーキテクチャを利用して重いインデックス化タスクを外注することに成功し、規模拡大における以前の限界を克服しました。導入の拡大は緩やかでした;元々の Cider は技術作家には支持されていましたが、Java 開発者からは懐疑的な態度が示され、VSCode ベースのアプローチにより馴染みのある体験を提供するまで、その姿勢を変えませんでした。2023 年までに Cider V は主要なコードベースの 80% をカバーし、分散した環境を標準プラットフォームに置き換えるとともに、クロスチーム拡張機能や自動コードレビュー、スマートペーストといった高度な AI 機能をサポートしています。

『90年代末から00年代初頭のハッキングツールの感傷的な旅』 | そっか~ニュース