2016年6月8日
ITセキュリティの進化論パート2:はったり製品による洗脳
やあ、みなさん!
約束どおり、今回の投稿では、進化論と、サイバー脅威に対する保護の進化経緯の共通点について、もう少し話そう。
生物の突然変異が何によってもたらされたのか、今も厳密にはわかっていない。なかには、意図的に遺伝子配列を変えるウイルスの仕業と考える常識破りの学者もいる(そう、まさに世界を意のままに操るモノがいたのだ!)。その真偽はさておき、同じような突然変異の過程がITセキュリティでも起きている。時にウイルスが片棒をかついでいるのも同じだ。
セキュリティ技術は生存競争の原理に従って時間とともに進化している。新たな製品カテゴリの出現によって淘汰される製品もあれば、他の製品との融合を果たす製品もある。たとえば、90年代中盤に大躍進した完全性チェッカーは、いまやエンドポイントソリューションの脇役に収まっている。また、それまでの保護技術を補う新たな市場区分やニッチが生まれ(APT対策など)、積極的な共生過程をたどっている。その間にも、時折厄介な寄生虫が這い出してはぬくぬくと日差しを浴びている。まあ、構うことはない。これが物事の常だし、どうしようもないことなのだから。
ITセキュリティの市場シェアをめぐる競争では、「伝統的」技術の突然の終焉を予言する預言者が定期的に現れる。幸いにも、時を同じくして(絶妙のタイミングで!)はったり製品画期的な万能薬(先着5名には大盤振る舞いのディスカウント付き)が作り出される。
これは今に始まったことではない。アンチスパイウェアを覚えているだろうか?2000年代初頭、スパイウェアを駆除する製品の巨大なバブルが、何もないところから発展した。多くのはったり製品が、「伝統的なアンチウイルス」ではこの問題に対処できない、という考えを顧客に焚きつけた。実は初っ端からすべてでっち上げだったのだが。
市場は成長し、こういった預言者にもすっかり慣れ、むしろ食傷気味だ。今では「万能薬」でもうけるなら、多大な投資といんちき万能薬の 売り込みが必要だ。
幻想を彩る壮大なプロパガンダ
州または民間(広告業界)のプロパガンダを真似てはったり製品がやっているのは、幼少期に人間心理の根本に芽生える特定の脆弱性、すなわち奇跡や陰謀説を信じる心に狙いを定めることだ。
次世代製品を映画にするなら筋書きはこんなところだろう。古くから住む貪欲で堕落した者たち(悪者)がおとぎ話のコミュニティを牛耳っている。悪者たちはコミュニティに無意味な考えを垂れ流し、進歩的な思考を押さえ込んでいる。そこに「革新者」(正義の味方)が登場し、人々を窮地から救う。当然ながら、観客は「革新者」側に強く共感し、悪者たちに対する憎悪は高まるばかりだ。そして、この映画は正義の味方の勝利と明るい未来で終わる。
さて、冷静になって舞台裏をよく見てみよう。
蓋を開ければ
ここ10年ほど、はったりセキュリティ製品の製造元は、彼らが人工知能(AI)と呼ぶものに対する怪しげな考えに操られている。
AIは、一種の奇跡の技術として脚光を浴びている。それを使うすべての人を、自力で(ユーザーが何もしなくても)、直ちに、あらゆるものから、永遠に救うものとして。なるほど、素晴らしい。この驚くべき技術の広告を見れば、これが最先端の方法であり、未来であり、マルウェアやスパム、標的型攻撃といった不快なサイバー攻撃を排除してくれる魔法だと「実感」することだろう!
まんまとそんな目眩ましに騙されるとでも?何だか良さ気な物に救われると信じるとでも?この幻想が信用できるからではなく、安心感を与えるという理由だけで?そうはいかない。正体を突き止めるべく、宣伝材料よりも深く深層へと掘り進んでみる。だが、掘っても掘ってもそこには何もないことを知る。表面的な一般論を超える質問はすべて/dev/nullグルに回され、その後はデペッシュ・モードが歌うとおり沈黙だ。永遠に。
そしてその先にあるのは
もっと詳しく探ってみよう。
どのはったり製品も、伝統の殻を破った人工知能のような製品を称えつつ、「伝統的なアプローチ」を小馬鹿にしている。ちょっと映画「ターミネーター」のスカイネットに似ていないか?
@dakami Lies, damn lies, and automated statistics?
— jrk (@suburbsec) May 19, 2016
いや、スカイネットよりももっとすごい。はったり製品は「独自の方法で機械学習し」、「アップデートが不要で」、「わずかなメモリしか必要なく」、「バックグラウンドでひっそり動作し」、「伝統的な製品よりも効果的に働き」、「誤検知の報告が少なく」、しかも「他の製品が見逃している非常に巧妙なスパイ攻撃も阻止する」のだそうだ。だが、触れていないことが1つある。その方法だ。また、製品が謳っているどの機能も独立系機関のテストで実証されていない。
聞いたところで、詳しい方法をやすやすと明かすわけにはいかないと言われるだけだ。悪者に利用され回避されたとしてもだ。その魔法のちょっとしたヒントとして、顧客や投資家、ジャーナリストが中身のないお決まりの作り話を書き立てる。
豪華な宣伝用パンフレット、見栄えの良いWebサイト、さらに手の込んだ記者会見でこの作り話を裏付けようとしても、大した助けにはならない。製品を売ったり投資家を引き付けたりするには、できれば第三者、また信頼のおける者による説得力のある証言が必要だ。
そんなことをすれば、間違いなくはったり製品の製造元にとって痛手となる。では、どうするのかって?ただ独立系機関のテストには参加しないことだ。テストマーケティングの流れにならってテストに参加するとしても、テストを厳選し、後に結果を曲げて解釈するだけだ。または、曖昧な方法やさらには明らかに間違った方法に基づいて手作りした有効性の「証拠」を提示するのだ。
9 ways to pull wool over your eyes and manipulate antivirus comparative tests results http://t.co/CGh2pwy3
— Eugene Kaspersky (@e_kaspersky) January 24, 2013
AIという目新しいもの伝統
はったり製品のマーケティングで繰り出される美辞麗句の真の狙いは、新しい進歩的なアプローチを持ち上げ、「伝統的」なアプローチをすべてこき下ろすことにある。「過去のヒーローが売るのは過去の技術で、新たにハイテクで便利なものを生み出すことはできない」と。
そこまで言うなら検証してみようではないか。機械学習を例にあげよう。これは、機械学習を使用している(と主張する)はったり製品のニューウェーブなのだろうか?
実は、機械学習はITセキュリティシステムで2000年代始めから広く使用されている。
たとえば、当社が新たに検出するマルウェアの99.9%は、AIの前身である機械学習ロボットが検出している。専門家の介入が必要になるのは、極めて複雑な一握りのマルウェアだけだ。実際、機械学習はどの予防的保護技術にも例外なく必要だ。機械学習のおかげで、たとえば(i)システムウォッチャーで動作状況を監視し、システムの変更を追跡して検出された悪意のある操作をロールバックし、(ii)その時点では未知の脆弱性を突いたエクスプロイトから自動的に保護し、(iii)ヒューリスティックをさまざまなモジュールに適用して間接的な手掛かりに基づいてマルウェアを捕捉し、(iv)疑わしいファイルを隔離された「サンドボックス」環境で実行するエミュレーションを実施し、(v)巧妙な標的型攻撃に当社のTargeted Attack Analyzerを適用することができる。そして、何十もの実例がその言葉を裏付けている。
セキュリティのDNA
保護技術の継続的な開発は、ITセキュリティ業界に受け継がれるDNAの要だ。防御能力の増強、セキュリティ技術の世代交代、新機能の導入-それがサイバー犯罪との戦いを勝ち抜く唯一の道だ。市場競争で優位に立つこともまた大きな動機となっている。新たな技術によって保護効力が高まり、リソースの負担が軽減され、製品はよりシンプルに使いやすくなる。ワーム市場シェアを手にするのは、いつの時代も先乗りした者伝統に基づく革新者だ。
また、当社が保護技術の継続的な開発について言及するとき、それが絶対的に意味するのは賢い(スマートな)技術、すなわち機械学習の継続的な開発だ。機械学習に代わるものなど考えられない。数十万にもおよぶ悪意のあるコードのサンプルを毎日手作業で処理するなんて、とてもじゃないが不可能だ。やろうとも思わない。頭を使ってインテリジェントなシステムを考え出し、そのシステムで確実かつ自動的に仕事をやらせればいい。単純なことだ。これは技術の進歩と呼ぶもので、目新しいものとは言い難い。
@dakami @jamesmcn "The depth-limited tree search with arbitrary scoring heuristics will replace your job." Sounds like it was a crappy job?
— Jim Gray (@grayj_) May 19, 2016
ITセキュリティにとって機械学習はなくてはならない要素だ。とは言っても、機械学習だけでは足りない。ITセキュリティには何重もの 保護が必要だ。あらゆる種類のデバイスをあらゆる種類の脅威からインフラストラクチャのあらゆるレベルで保護しなければならない。また、新たな課題に俊敏に反応し、実世界のビジネスにおけるITセキュリティのニーズに適応できるもでなければならない。もちろん、これが「あらゆるものを今もこの先もずっと保護するには?」という問いをすっかり解決する最終的な答えではない。適応モデルであっても、遅かれ早かれ卑劣なサイバー犯罪者はそれを出し抜く方法を見つけるのだから。だが心配は無用だ。それまでには、犯罪者たちに悲嘆と苦悩を与え、犠牲を負わせる次なる手段を思い付いているはずだ。
取捨選択
人工知能に対する情熱はしばらく冷めないだろう。いいことだ。突破口を見つけようとするサバイバルに挑む企業が増えるほど、より強い賢い者が勝者となるのだ。
各社は、機械学習に基づくマルウェアの自動処理と予防的保護の技術力を強化するために引き続き励むことになるだろう。また、市場は今後も万能薬を約束する新たな預言者に見舞われるだろう。「人工知能」という言葉に錯覚と幻想を抱かせる何かを頼りに。きっと魔法に違いない(笑)。
@grayj_ @dakami @jamesmcn Amusingly I called AI “self-modifying shellscripts” in college, and backed it up with awk, sed, and $0.
— K. Reid Wightman (@ReverseICS) May 19, 2016
無念にも、はったり製品を予防する万能のワクチンはない。だが、ITセキュリティ市場をひっくり返すような真のスーパー技術の出現を否定するつもりもない。そんな技術が現れたら、もちろん拍手喝采だ。何が言いたいのかというと、AIに関しては、大切なものまで無用なものと一緒くたに捨ててしまう可能性が常にある、ということだ。別の例えを使ってみよう。読者の皆さんには、AIに関して、小麦ともみ殻を分けられるようになっていただきたい。(あともう1つ)AIに関する話は話半分に聞くようにしてほしい。
自然淘汰の果てしない地平線
人間の知識に対する好奇心と渇望により、地平線の向こう側を見たいという欲求は止むことがない。そこに何があるのかを見て理解するためだけにだ。地平線の向こうをもっと広く、もっと遠くまで、そして地平線から次なる地平線へと探求し、把握し、征服するために多大な時間とリソースを費やしている。
それはまるで、解のない等式を解こうとしているかのようだ。合理的に考えれば、有限のリソースで無限をとらえようするのは、無駄なだけでなく愚かなことに思える。とは言え、世界が、全部見るには開け続けるしかないマトリョーシカ人形のようなものだと信じて掘り続けるのが、私たち人類なのだ。
人が未来にどう立ち向かうかは哲学的問題であり、まったく個人的なことである。私個人としては、それが何であろうと、掘って掘って掘り続けるべきだと考えている。カオスの合理化と認知の向上は人類最高の目標であり、私自身の経験から言えば、楽しく、精神的にも肉体的にも社会的にも有益なことだ。そして、ITセキュリティにとっても重要だ。毎週のように現れる新たな世代のサイバー攻撃に対抗するために、サイバー犯罪者たちを生きづらくする新たな手段を次々に考え出さなければならないからだ。
コンピュータ業界と同様、ITセキュリティ業界の自然淘汰も辛辣で無情だ。神出鬼没でとらえどころころのない(どちらも深刻化する一方だろう)サイバー攻撃に立ち向かうには、新たな考え方が必要だ。それは、安全地帯から踏み出すようなもので、苦痛と犠牲を伴うが、絶滅を免れるための必然的で普遍的なただ1つの手段なのだ。
@E_KASPERSKY が ITセキュリティ業界における最近のインチキ万能薬 #AI_OIL に対してカンフル剤を注入 Tweet