2014年7月9日
善悪の彼岸?
Microsoftは先日、ダイナミックDNSサービスNo-IPに対し大規模な措置を講じたと発表した。その結果、同サービスの22のドメインが差し止めとなった。Microsoftによれば、この措置には正当な理由があるという。同社が挙げた理由は次のようなものだ:No-IPはあらゆる種類の不快なマルウェアをホストしている、No-IPはサイバー犯罪者の温床である、No-IPは標的型攻撃の発生源である、No-IPはサイバー犯罪の根絶に向けて誰とも協力しようとしない。
多くの争いがそうであるように、双方が相反する発表を浴びせ合っている。「悪いのは向こうだ」「いや、先にやったのはそっちだ」という昔から繰り返されてきたやりとりだ。
No-IPが言うには、自分たちは真の善良サービスであり、サイバー攻撃の根絶にいつでも協力する用意があるそうだ。No-IPはその一方で、今回のドメイン差し止めに顧客が強い不快感を抱いていると述べ、Microsoftの措置は合法的なビジネスに対する違法な攻撃であるとの考えを示した。マルウェアは実質的にあらゆる場所で発見され得るものであり、それを理由に裁判所を通じてサービスを停止させることは到底容認できないという。
#マルウェア が見つかったから、とサービスを閉鎖させるのは合法か?…どこでも見つかるのに?…Tweet
話は変わるが、今回の措置は非常に広範囲に影響を及ぼしている。有害なサイトも安全なサイトも含め、400万以上のサイトが停止し、180万人のユーザーに影響が出た。Microsoftは優良サイトと悪質サイトを選別し、問題ないサイトを復旧させようとしているが、中断が続いていることに今も多くのユーザーが不満を訴えている。
どちらが悪いのかを追求しても始まらないし、おそらく何の希望もないだろう。報道機関がやるような調査は・・・報道機関に任せておくとして、ここでは考えるための材料を提示したいと思う。ありのままの事実と数字だ。Microsoftの措置の合法性と倫理性について、以下に挙げる事実と数字を基に、皆さんが自分自身の結論を出すだろう。そう願いたい。
1) 22のNo-IPドメインの差し止めは、Kaspersky Labで追跡している標的型攻撃の約25%の活動に影響した。過去3年間にわたって続く何千件ものスパイ活動やサイバー犯罪活動だ。そのうちの約4分の1が、少なくとも1つのコマンドアンドコントロール(C&C)センターをこのホストに置いている。たとえばシリア電子軍やGaza TeamといったハッカーグループはNo-IPだけを使っており、Turlaはホストの90%に使用している。
2) 大手プロバイダーの中でNo-IPが最も非協力的だ、という裏付けはある。たとえば、ボットネットのシンクホールに関する当社のメールを、彼らはすべて無視してきた。
3) 当社がマルウェアの現状を分析したところ、No-IPがサイバー犯罪者のボットネットコントロールセンターに頻繁に使用されていることがわかった。VirusTotalで簡単な検索を行うと、この事実を裏付ける冷厳たる数字が得られた。合計で450万種のマルウェアサンプルがNo-IPから発生しているのだ。
4) だが、当社のセキュリティクラウド(Kaspersky Security Network)の最新の数字が示しているのは、それほど単純なものではない。下の表に、大手ダイナミックDNSの上位10サービスから実行されたサイバー攻撃の検知数をまとめた。
サービス | 悪意あるホストの割合 | 検知された数(期間:1週間) |
000webhost.com | 89.47% | 18,163 |
changeip.com | 39.47% | 89,742 |
dnsdynamic.org | 37.04% | 756 |
sitelutions.com | 36.84% | 199 |
no-ip.com | 27.50% | 29,382 |
dtdns.com | 17.65% | 14 |
dyn.com | 11.51% | 2321 |
smartdots.com | 0.00% | 0 |
oray.com | 0.00% | 0 |
dnserver.com | 0.00% | 0 |
このように、No-IPの検知数は他と比べてかなり高いものの、1番というわけではない。
比較のための情報をもう少し紹介しよう。悪意あるホストの割合は、.comゾーンでは全体の0.03%で、.ruゾーンでは0.39%だが、No-IPでは27.5%だ!
さて、少し違った視点で見るための数字を挙げる。No-IPのマルウェアドメインは、1週間で約30,000回検知されたが、.comゾーンにおける最も悪質なドメインの1つは、同じ週に429,000回検知された。およそ14倍である。また、.ruゾーンの第10位の感染ドメインでは146,000回の検知が発生した。つまり、上の表のダイナミックDNSプロバイダー上位10サービスの合計とほぼ同じなのだ!
まとめると・・・
一面においては、(何百万人とはいわないまでも)何万人もの一般ユーザーが利用する人気サービスをブロックすることは正しくない。が、別の面では、マルウェアの温床を閉鎖することは正しい。尊敬すべき行いと言える。
No-IPの差し止めは正しいのか?誤りか?大いなる二面性を内包した問いだTweet
だが、そこで数字が反対派という役割を演じ、そして証明する。
数という点で見ると、No-IPの全ドメインを差し止めても、マルウェアの拡散と戦う上で、人気ゾーン(.com、 .net、.ru)のどれか1つのトップマルウェアドメインを差し止めるほどの効果はない。もっと簡単に言うなら、仮にダイナミックDNSの全プロバイダーを閉鎖したとしても、インターネットは違いがわかるほど「きれいな」場所にはならないということだ。
これでわかっただろう。極めて多面的な問題なのだ。
自分の心に正直になって考えれば誰もが認めるだろうが、この問題は決して、白か黒か、正しいのか間違っているのか、良いのか悪いのか、ということではないし、ニーチェのようなものでもない。誰がそう言えるだろうか。
だが、こうしたことを深く考えていると、ある時点でまた別の考えが浮かんでくる・・・
著作権侵害の数や犯罪行為の度合いが一定のしきい値を超えると、「権力者」が突然割り込んできて、サービスを閉鎖し、インターネットの自由や事業を行う自由という概念が無視されるようになる。このことのさらなる証拠が今回の騒動だ。これが世の中というものであり、人間社会の生活のルールである。臭うものは遅かれ早かれ処分される。
ブロックされたサービスは今までにもたくさんあった。Napster、KaZaA、eMule、Pirate Bayなどだ。今回そこにNo-IPが加わった。
次はどのサービスだろう?