匿名の情報筋という魔法

誰がジョン・F・ケネディを暗殺したのか？

バミューダトライアングルを支配しているのは誰か？

フリーメイソンの目的は？

簡単なことだ！こういった疑問の答えは、これ以上ないくらい単純なものであることがわかった。こう付け加えるだけでいい。「匿名の情報筋によれば」と。以上！これでどんなもの、どんな人に関する質問だろうと答えられる。答えの信憑性がいっそう高くなる場合もあるのだが、それは答え自体の…信憑性が高い場合ではなく、記事を報じたメディアに対する世間一般の信頼度が高い場合だ。

note to self: when I publish my next APT report, I'll make sure to quote at least two anonymous sources, for added credibility.

— Stefan Tanase (@stefant) August 14, 2015

ロイターが先日、アンチウイルス業界の驚愕の実態という「世界的な大スクープ」を伝えた。その記事は衝撃的、だが誤った主張に満ちあふれている。Kaspersky Labが標的を絞り込んだマルウェアを作成し、正体を隠して競合のアンチマルウェア企業にばらまいたというのだ。その唯一の目的は、競合を深刻な危機に陥れ、市場シェアを奪うことらしい。なるほど。だが、このアイデアを思い付いたのは着ぐるみのクマを脱ぎ、蒸し暑いサウナに入っているときだった、ということを書き忘れているのではないか。

I don’t usually read @reuters. But when I do, I see false positives. For the record: this story is a complete BS: https://t.co/m0Rcy2Vm6Y

— Eugene Kaspersky (@e_kaspersky) August 14, 2015

ロイターの記事は、匿名の元Kaspersky Lab社員の話を基に書かれたものだ。その主張はまったくの事実無根である。

不満を抱いた元社員というのは、前の勤め先のことを悪く言うものだが、今回のケースはその嘘の内容があまりに馬鹿げている。こういう情報源は記者の気を引くことはできたようだが、このような「スクープ」を何の証拠もなく報じるのは、私が考える正しい報道のあり方ではない。この「元社員たち」が次回の取材で当社について何と言うのか、そのデマを誰が信じるのか、ちょっと興味がある。

ロイターの記事の真相は、多少の事実に根も葉もない作り話を大量に付け加えたものだ。

To be honest: its quite annoying all these insinuating stories about Kaspersky. Haven't seen any solid evidence nor trustworthy sources.

— Rickey Gevers (@UID_) August 14, 2015

2012年から2013年にかけて、アンチマルウェア業界は深刻な誤検知の問題に悩まされていた。残念ながら、Kaspersky Labも大きな影響を受けた企業の1社だ。この問題はセキュリティ業界に対する組織的な攻撃であることが判明した。何者かが正規ソフトウェアに悪質コードを織り交ぜて拡散させ、当社を含む多数の企業のアンチマルウェアエンジンに狙いを絞って攻撃していたのだ。攻撃の黒幕はまだ謎のままだが、それが私だと言われている！寝耳に水の話で、この根拠のない非難にはすっかり驚かされた。

事のいきさつを説明しよう。2012年11月、当社製品が一部の無害なファイルを誤検知した。Steamクライアント、Mail.ruゲームセンター、QQクライアントだ。内部調査を実施したところ、これらのインシデントは正体不明の第三者集団による組織的な攻撃が原因だとわかった。

インシデントの数か月前、Steam、Mail.ru、QQの正規ファイルを少しだけ改ざんしたものが、VirusTotal Webサイトなどの業界内の情報交換チャネルを通じて、当社のアンチマルウェアリサーチ部に何度も大量に送られてきた。改ざんファイルの作成者は、正規ファイルに悪質コードの断片を追加していた。

@DavisSec –> I agree. @e_kaspersky is very enthusiastic about #cybersecurity, but an industry saboteur seems unlikely. cc:@josephmenn

— John Bumgarner (@JohnBumgarner) August 14, 2015

その後、当社が至った結論としては、攻撃者は各社の検知アルゴリズムの違いを事前に把握した上で、自動システムが検索すると思われる場所に悪質コードを正確に注入したと思われる。

新たに送られてくる改ざんファイルは、悪意あるファイルと判定され、当社のデータベースに登録された。悪質コードを含む正規ファイルは、合計で数十ファイルほど送られてきた。

誤検知が発生するようになったのは、ファイルの正当な所有企業がソフトウェアの更新バージョンをリリースした直後だ。システムはファイルをマルウェアデータベースと照合するが、非常によく似たファイルが登録されているため、正規ファイルを悪質ファイルと判定してしまった。当社はその後、検知アルゴリズムをアップグレードし、このような誤検知を回避している。

一方、攻撃は2013年に入っても続き、改ざんされた正規ファイルも引き続き送られてきた。また、この攻撃の標的が当社だけでなかったことも判明する。業界の他の企業もこれらのファイルを受け取っており、誤って悪質ファイルと判定していた。

@davidu @josephmenn @e_kaspersky Vikram @symantec has stated they deeply investigated the FP issue in '13 and findings != K

— Christopher M Davis (@DavisSec) August 14, 2015

2013年に、主要サイバーセキュリティ企業と、同じくこの攻撃を受けていたソフトウェア業界の他の企業、そして問題の影響は受けていないものの認識はしていたベンダーが集い、非公開の会議が開催された。この会議では、参加企業がインシデントについて情報を交換し、原因究明と行動計画の策定に取り組んだ。残念ながら画期的な案は生まれなかったが、攻撃者の素性について興味深い説がいくつか提示された。会議に参加した企業の間では、他のアンチウイルスベンダーが攻撃の背後にいるという説が有力だった。また、正体不明だが強大な力を持つ悪意ある組織が、主要アンチマルウェア製品による検知を回避する目的で、マルウェアを調整するための攻撃だったという見方もある。

We had investigated these attacks but could not find out who was behind them. We had some suspects, Kaspersky was not one of them.

— Liam O'Murchu (@liam_omurchu) August 14, 2015

こういった批判は今に始まったことではない。1990年代後半まで遡るが、私は「No！」と書かれたプラカードを記者会見に持って行った。これでずいぶんと時間を節約できたものだ。同じ質問をされたら、そのプラカードを指させばいい。なにしろ、3回に1回は「自分でウイルスを作成して、後から自社製品で感染を『駆除』しているのでは？」と聞かれるのだ。はいはい、もうわかったから。今でも毎回同じ質問を受ける。信用がすべての業界で18年以上続いている企業がそんなことをするなどと、本気で思っているのだろうか？

I really like @josephmenn but I am having a hard time with this @e_kaspersky story. I simply can't see them doing that.

— Christopher M Davis (@DavisSec) August 14, 2015

無実が証明されるまでは推定有罪ということにしたい人もいるらしい。いつの時代もそういう人はいるのだろう。世の中そんなものだ。しかし、この根拠のない匿名の馬鹿げた批判の本質を見抜いてほしい。はっきり言えるのは、当社は今後も業界と緊密に連携し、デジタル空間をさらに安全な場所にしていくということ。そして、サイバー脅威を出所や起源にかかわらず、白日の下にさらすという当社の責務と決意は、決して揺るがないということだ。

@KASPERSKY 、競合他社を誤検知するように仕向けたとの報道を一蹴Tweet

@e_kaspersky @Reuters Beyond that: "ordered by Eugene Kaspersky, in part to retaliate against smaller rivals…" like Microsoft?

— Lulu Cheng (@luludcheng) August 14, 2015