2017年10月12日
悪意を積極的に検知するということ
ここ数年、我々に関するさまざまな記事が米国メディアによって書かれてきた。先週木曜日のWall Street Journalの記事は、当初、一連の陰謀めいた中傷の延長線上にあるものと見えた。匿名の情報筋によると、ロシア政府の支援を受けたハッカーが数年前、弊社製品へのハッキングによる支援を得てNSA職員の自宅コンピューターから機密文書を盗み出した、という内容だ。なお、本件に対する公式回答はこちらにある。
しかし、クレムリンの後押しを受けたとされるハッカーについて述べた当該記事を一皮めくれば、まったく異なる、真実味のある、考え得るシナリオが浮かび上がる。当記事が指摘するように、我々は「マルウェアとの戦いにおいて積極的」なのだ。
では、当該記事をじっくり見ていきたい。
2015年、米国のサイバー諜報プログラムの開発に従事する、あるNSA職員が、自宅で少々仕事をしようと考え、機密文書を、おそらくはUSBメモリを介して、自宅の自分のコンピューターに移した。このコンピューターには、適切かつ当然ながら、世界でベストクラスのセキュリティ製品がインストールされており、これまた適切なことに、当社のクラウドベースのKaspersky Security Network(KSN)が有効になっていた。これで状況が整った。彼(または彼女)は、国家支援マルウェアに関わる日常作業を自宅で続行した。
このシーンをもう一度見直してみよう。
スパイ用ソフトウェアの開発者が、自宅で、そのスパイ用ソフトウェアを作業していた。作業に必要なツール類や文書も手元に揃え、この世のコンピューター関連の悪意から自分自身を守るために、クラウド機能搭載のセキュリティ製品で保護していた。
では、その後、どんなことが起きた可能性があるだろうか?こうだ。
マルウェアがセキュリティ製品によって不審なものとして検知され、解析のためにクラウドへ送られた可能性がある。これは、新しいマルウェアが発見された場合の標準プロセスだ。「標準」というのは、業界全体にとっての標準であるという意味だ。競合セキュリティベンダーも、これと似たようなロジックを採用している。経験上、サイバー脅威と戦うのに非常に効果的な手法なのだ(だからこそ皆が採用している)。
さて、クラウドに送られたデータはどうなるのか? 99.99%近くのケースでは、不審なオブジェクトの解析は当社の機械学習テクノロジーに任される。もしマルウェアであったならば、当社のマルウェア検知用データベースに(それから、我々のアーカイブに)追加され、それ以外はごみ箱行きとなる。残る0.1%程度のデータは、当社のウイルスアナリストによる手動解析へと送られ、アナリストはマルウェアか否かの判断を下す。
ここまではご理解いただけただろうか。
さて次だ。ロシア政府の支援を受けたハッカーが当社製品をハッキングして製品内に侵入する可能性は、どうだろうか?
理論的には、そうしたハッキングは可能だ(プログラムコードは人間によって書かれる、そして人間はミスを犯すものだ)。しかし、現実的にはハッキングの可能性はゼロだと申し上げたい。その理由として一つの例をご提示する。
WSJの報じた一件が起きたのと同年、我々は当社ネットワークに対する攻撃を発見していた。正体不明の、国家の支援を受けた何者かによる攻撃と見られる。Duqu2だ。この事態を受け、我々は当社のソースコード、アップデート、その他テクノロジーに対して詳細かつ慎重な調査を実施した。結果、第三者によるいかなるセキュリティ侵害も認められなかった。お分かりのとおり、我々は当社の製品に脆弱性が存在する可能性についての報告を、非常に深刻に受け止めている。脆弱性存在の可能性を報じるこの新たな報告も例外ではなく、当社では徹底した調査をすぐにでも開始する予定だ。
重要な点をいくつか。
当社製品がNSA職員の自宅コンピューターから政府級のマルウェアを発見したという話が本当ならば、誇るべきことだ。これまで知られていなかった、非常に高度なマルウェアの積極的な検知は、真の成果だ。これは、当社テクノロジーの優秀さに対する最高の裏付けであるだけではない。出所や目的にかかわらずいかなるサイバー脅威も阻止する、という我々の使命を立証するものでもある。
これが、マルウェアを積極的に検知するということだ。