ITセキュリティの進化論パート3：今こそ悪しき寄生虫に対処を

やあ、みなさん！

ITの適者生存をテーマにもう少し話すことにしよう。3部構成にするつもりはなかったのだが、何というか結局そうなってしまった。

ともかく、ITセキュリティの世界にはびこる寄生虫という問題を今回ようやく取り上げているわけだが、実は前々から頭に引っかかっていたことだ。このダーウィン説についての投稿は、それをぶちまけるのにちょうどいい機会だったわけだ。読み進めばおわかりいただけるだろう。

今回のターゲットは寄生虫。当社が戦っている相手（「極」悪人）ではなく、自分たちも極悪人と戦っているとうそぶいている連中だ（哲学的にはどちらが真の悪者なのだ？）

現代のIT業界はすさまじい速さで進化している。ほんの10～15年前の主流は、デスクトップ向けアンチウイスやファイアウォール、バックアップだった。いまや製品は多様化し、新たなセキュリティソリューション、アプローチ、アイデアが大量に生まれている。当社は、ライバルから一歩抜きん出ることもあれば、後れをとることもある。そしてまた、驚きで茫然自失することも。それは、新技術や革新、斬新なアイデアによる驚きでなく、ともにセキュリティ業界を戦うライバルの、恥知らずで厚かましく、とんでもなく無節操な行動による動揺からだ。

まずは、どういうことか説明しよう。

VirusTotalマルチスキャナーという非常に便利なサービスがある。約60種類のアンチウイルスエンジンを集め、ユーザーが送ったファイルやURLをスキャンしてマルウェアに感染していないかチェックし、その判定を返すものだ。

たとえば、あるユーザーがハードディスク/USBメモリ/インターネットで疑わしいアプリケーションやオフィス文書を見つけたとする。自身のアンチウイルスソフトウェアではウイルスは検出されなかったが、疑り深いこのユーザー、本当に感染していないのか確認したい。そこでVirusTotalサイトの出番だ。ここなら自身のアンチウイルスだけでなく約60種類のアンチウイルスソリューションでスキャンでき、しかも無料だから気軽に利用できる。ファイルをVirusTotalにアップロードすれば、さまざまなアンチウイルスがどう判断したのか瞬時に情報を得ることができる。

最初にはっきりさせておこう。VirusTotalに参加している企業もVirusTotalの所有者Googleも間違いなく「いい人」側だ。寄生虫たちとはまったくの無関係だ。VirusTotalは優秀な専門家チームによって運営され、長年与えられた仕事を極めて効果的にこなしてきた。（VirusTotalは昨年のSecurity Analyst Summit（SAS）でMVPを受賞したと言えば納得いただけるだろう。）いまやVirusTotalは新たなマルウェアのサンプルや悪意のあるURLを知る最も重要な情報源の1つとなっている。非常にスマートな、標的型攻撃を調査できる考古学的ツールでもある。

Recognizing VirusTotal for enduring contribution to security research #SaveTheWorldMVP #TheSAS2015 pic.twitter.com/lZTjN30Xwg

— J. A. Guerrero-Saade (@juanandres_gs) February 16, 2015

問題は、このマルチスキャナーを利用する一握りの怪しいユーザーだ。悲しいかな、その振る舞いは大胆にも日に日に厚かましさを増している。

VirusTotalには、オープンな無料公開サービスの他に、無制限数のファイルをリアルタイムに自動チェック可能な高性能のプライベートAPIの有料サービスもある。ここで、悪い意味で面白いことが起こっている。ITセキュリティの寄生虫たちがここに入り浸っているようなのだ。

寄生虫たちは、VirusTotalの判定を一目見て、それをあたかも自分で下した判定であるかのように流用する。要するにコピーだ。固有の判定名まで平気で使っている！つまり、実際の作業をすべて行っている企業の傍らで、その労働の成果を手に入れ、印象的で科学的に響くマーケティング用語で飾り立て、自社ブランドとして売っている企業がいるのだ。

「検出結果のネコババ流用」は今に始まったことではない。さかのぼること2009年、当社が実施した公開実験からその規模が問題のある危機的状況に達していることが判明した。それ以降も状況は悪化の一途をたどっている。VirusTotalを利用した常時タダ乗りをビジネスモデルとする企業が現れている。技術やインフラの開発に投資することもなければ、（一流の）専門家たちに（それに見合った分け前分の）給料を支払うこともない。他の専門家の成果を再利用してブランドを付け替え、再販して、感謝しておしまいだ。まさにやっていることは、合法であっても密売と同じだ。

時に寄生虫たちの厚かましさはさらにエスカレートする。「自社」の検出基盤としてVirusTotalマルチスキャンを使用していると公言しているところもある。その実例として、開いた口が塞がらないほど恥知らずなたわ言が並んだマーケティング文句を紹介しよう（こちらがドキュメントのコピー）。

この文章のどこを取ってもイタい。時にはイタさ2倍、下線部分の「当社の検出にはVirus Total（そのまんま）を使用している」という内容に至っては3倍だ。

もう1つ例を示そう（念のため、こちらがそのコピー）。

いま手元に、最初にあげた例と似たような製品がある。この製品は、振る舞い分析というもっともらしい言葉で包まれた不透明な分析を始めるが、その裏でVirusTotal API（「相互作用」の場）に丸投げし、その判定をユーザーに返す。結局のところ、インテリジェントな分析結果がどんなに優秀でも、その判定は他のスキャナーの意見で決まっているのだ。その製品が謳っているインテリジェントな分析とは一体何なのか？いい質問だ。

同じような例はたくさんある。そのすべてが、ITセキュリティ業界で検出結果を盗み取ることが当たり前になっているという証拠だ。そして、この事実に基づけば、寄生虫のエコシステム全体が一般市民をまんまと騙しおおせているということだ（つまり、やりたい放題！）。断じて作り話ではない。

どの寄生虫にも共通しているのは、「伝統的な手法」（実はVirusTotalから盗み取っているスキャン方法そのもの）を毛嫌いし、「次世代」のもの（彼らはわざわざ指摘しないが、はっきり言えば検出結果のコピーアンドペーストに関して新しいこと、そしてAIも）に目がないことだ。

結論：「次世代」、「振る舞い分析」、「人工知能」といった言葉を、その裏付けとなる独立系機関のテスト結果のないまま軽々しく口にする無名の企業が近づいてきたら、要注意だ。このような企業のマーケティング資料からわかるのは、彼らが使っている唯一の人工知能が、クラウドを通して他のITセキュリティ企業を覗き込むためのものだということだ。

VirusTotalはこの問題を認識し、その解決に向けて最善を尽くしている。5月4日には、このシステムを使用するための新たなポリシーが公開された。その要点は次のとおりだ。プライベートAPIを利用する者は皆「各自の検出スキャナーをパブリックなVTインターフェイスに統合し」、「新たにコミュニティに参加するスキャナーはAMTSO（Anti-Malware Testing Standards Organization）のベストプラクティスに従って証明書またはセキュリティテスト機関の独立的なレビューにより証明する必要がある」。専門家らは、これらのルールによってVirusTotalの置かれている悪しき状況が解決され、寄生虫たちが一掃されると考えている（コメントも忘れずに読んでほしい）。

"Cylance, Palo Alto Networks, Crowdstrike, Carbon Black and Sentinel One are the ones I might be concerned about" https://t.co/6SXTbXIrzQ

— codelancer (@codelancer) May 6, 2016

この新たなルールは、遅すぎた感はあるが正しい措置だ。だが、これで満足してはならない。これを機にVirusTotalで同様の改革を続けていくべきだ。なぜか？寄生虫たちはまだ、新たな要件の裏をかいて引き続きマルチスキャナーから専門知識を吸い取るための切り札を、いくつか隠し持っているからだ。

僭越ながら、VirusTotalがまずやるべきことは以下のとおりだ。

• 公開版マルチスキャナーは、匿名化技術を使用した自動クエリをできる限り困難にするよう改善する必要がある。
• 参加企業自身が、自社スキャナーの結果にアクセスできる対象を決定すべきである。

That's one small step for @virustotal, one giant leap for security industry https://t.co/rMKH0LgS7T by @alexeck

— Eugene Kaspersky (@e_kaspersky) May 6, 2016

VirusTotalの不正使用を疎ましく思っているのは当社だけではない。また、このサービスのさらなる改良は、当社の多くのライバル、特にVirusTotalコミュニティの貢献者でもある企業も支持するだろう。苦労の末の成果を寄生虫に使われても構わない人などどこにもいない。だが、まともな同業者、CERT、法執行機関、およびその他の犯罪対策組織、別の言い方をすればコピーするのではなく協力する組織なら、誰もが喜んで専門知識を共有するだろう。検出結果の流用は、ITセキュリティ業界に大打撃を与えるだけでなく、間接的にサイバー犯罪を助長しているのだ。

PS：VirusTotalは最も有名で、多くの人が利用する高度なマルチスキャナーだが、他にもJotti、VirSCAN、Metadefenderなどが同様のサービスを提供している。ただ、欠点もあり、それぞれ継続的な弊害を排除するために何らかのハウスキーピングが必要だ。VirusTotalがこういったサービスの手本となるとよいのだが。

@E_KASPERSKY が、他社の検出結果をコピーしてVirusTotalを不正使用する寄生虫について論じる #AI_OILTweet