素晴らしきSAS:10年の歴史

毎年、世界のあちこちで、数々のサイバープロフェッショナルのイベントが開催される。中でも私の一番のお気に入りは、サイバーセキュリティのアナリストを対象とした当社主催のイベント「Security Analyst Summit」(略称「SAS」)だ。年々、内容が充実し規模も拡大している。今年は30か国以上から320名が参加した。ほとんどは欧米からの参加者だが、オーストラリアのエキスパート7名のほか、シンガポール、日本、台湾、マレーシア、サウジアラビアからもお越しいただいた。例年どおり大企業を代表する人々が目立ったが(Microsoft、Google、Apple、Cisco Systems、Sony、Honeywell、Cloudflare、Pfizer、SWIFT、Chevron、Citibankなど)、各国警察のサイバー捜査官ほか、英国、オランダ、カナダ、フランス、中国、韓国、スイス、オーストリア、ルーマニア、カザフスタンの政府機関職員諸氏にも参加いただいた。また、非営利組織および教育機関からの参加もあった(電子フロンティア財団やテキサス大学など)。そして、カンファレンスのパートナーおよびスポンサーとなっていただいたQintel、Avast、Telstra、Microsoft、ThreatBook、Talos、Security Week、Threatpostなどに深く御礼申し上げたい。手短に言うならば、世界各国、多種多様な分野の方々が当社への信頼と敬意を表してくれたということにほかならない。

私同様、SASは世界中を旅するのを好む。つまらない大都市にある大きな国際会議場を避け、温暖な気候の海辺にある魅力的で異国情緒あふれる場所で開催してきた。

これまでSASの会場となったのは、地中海に面したクロアチア、キプロス島、マラガ、メキシコのカンクンは2012年と2015年の2回、それからスペインのテネリフェ島、そしてカリブ海のドミニカ共和国、プエルトリコ、セント・マーチン(シント・マールテン)島だ。そして10周年を迎える今年、我々は再びカンクンに帰ってきた!

始まりは2009年。参加者は60名で、うち55名はKaspersky Labの社員だった! サイバーセキュリティの研究メモや経験をシェアする、そんな素朴な第1回だったが、大規模な業界イベントへと急成長し、300名を超える高レベルな代表者が参加するまでになった(うちKaspersky Labからの参加者は30%程度)。そして10周年を迎える今年は、さらに特別なイベントとなった。参加者も期待を裏切られなかったようだ…。

参加者の多くが一度もビーチに行けなかったのにがっかりしなかったことからも、それがよく分かる。抜け出せるような公式プログラムなどなかった。発表、調査報告、好奇心を刺激するあれこれ、人脈作り、気軽な雑談、経験の共有、トレーニングセッション…素晴らしきサイバーセキュリティ関連の物事が盛りだくさんだった。私は数多くのカンファレンスに参加してきたが、ステージ上で発言するだけでなく聴衆の一人となって多くの人の話を聴くこともできる唯一のカンファレンスが、このSASなのだ。

さて、2018年のSASで最も興味を惹いたトピックをいくつか簡単に紹介しよう。

警戒せよ:サイバー軍用犬、登場!

サイバー脅威の世界から大きな捕食者がやってきた。高度な標的型攻撃だ。一般に、国家の支援を受けている。問題は解決していない。むしろ増加している。多様な言語を操る新旧のサイバー攻撃が進化していくのを当社は目の当たりにしているが、主な言語は英語、ロシア語、中国語だ。サイバー兵器の制限に関する国際協定の必要性について、適切な提言はなされているものの、悲しいかな、あくまでも議論の範疇に留まっている。その間にも、新たに登場したツールや攻撃手法が最終的に悪の手に落ち、世界的な大感染を引き起こすのを、我々は目にしている。そして、デジタル証拠の偽造に惑わされて攻撃元を見誤る可能性が高いこと、加えてサイバー攻撃を戦争行為と同等に見なす動きは、間違った「敵」に対し、間違った理由から、本物の戦争を引き起こしかねない。

当社のアナリストは、3つの標的型攻撃に関する調査結果を発表した。

まずは、(米国の民主党全国委員会をハッキングしたと非難されている)ロシアのハッカーグループ「Sofacy」が保有する、サイバー兵器の新しいテクノロジーや戦術についてだ。なお、このハッカーグループを最初に取り上げたのは当社であり、同グループの手口など詳細な調査報告を2015年に公開している。Sofacyに関しては、興味深い点が2つある。1つは、Sofacyが興味の対象を東の方へ移していること。2つめは、他国のハッカーとよく「競い合っている」ことだ。たとえば、彼らがマルウェア感染させたサーバーの1つは、英語を操るハッカーグループ「Lamberts」が侵害したサーバーだった。詳細はこちらをご覧いただきたい。

2つめは、英語話者によるAPT「Slingshot」の発見。きわめて複雑なツールおよびテクニックを駆使する、非常に高度な標的型攻撃だ。特に目立つのは、Mikrotik社のルーターへの感染だ。Slingshotは中東やアフリカでのサイバースパイ活動で使われており、その活動は少なくとも2012年頃にまでさかのぼる。当社エキスパートが検知した最新検体には「version 6」のマークがあり、この脅威が長きにわたって検知されずに存在していたことを物語っている。

3つめは「Olympic Destroyer」というワームで、すでに多くの記事で取り上げられている。平昌冬季五輪への攻撃で使用されたOlympic Destroyerは、常に名の挙がる例の国が黒幕とされた。この混乱は攻撃者が意図したものと、我々は考える。当社アナリストは、Olympic Destroyerの背後にいるハッカーがほぼ完璧にLazarusグループを模倣しおおせたのだと明らかにしている。しかし、このサイバー攻撃をさらに深掘りして調べたところ、中国のハッカーの痕跡や、前述のSofacyの痕跡まで発見された。誰かが誰かを罠にはめようとしている可能性もあるのだ。「誰が」「誰を」は不明で、いつかそれが明らかになるかどうかも分からない。ようこそ、犯人特定地獄へ!

サプライチェーンの脆弱性

もう1つの大きな話題は、いわゆるサプライチェーン攻撃だ。きっかけは、CCleanerの不正なコードに関するAvastの調査報告だ(イベントに協賛いただき感謝!)。続いて、我らが仲間であるTalosのメンバーから昨年夏のNotPetya/ExPetr/Nyetya攻撃に関する調査報告がなされた。当社GReATのリサーチャーは、ShadowPadマルウェアの裏に隠された最新版ツールセットに関する分析結果を発表した。多くのFortune 500企業の企業ネットワーク内に存在するソフトウェアにShadowPadが仕込まれていることが判明した、という内容だ。

サイバー犯罪者予備軍への警告

残念ながら、サイバー犯罪は、楽に稼げて罰も逃れられる可能性があることから、多くの若い技術系人材を魅了し続けている。ただし、罰を逃れるというのは、あくまでもそう見えるだけだ。当社は、各国の警察機関とともにサイバー犯罪者の追跡にあたり、逮捕に協力している。今年のSASではオランダ警察が、メジャーなダークウェブ市場「Hansa」の閉鎖について驚くべき講演を行った(詳細はこちら)。また、CSIS Security Groupに所属するデンマーク人のエキスパートたちは、おかしくてばかげたサイバー犯罪者の失敗をいくつも紹介した。この手の話は我々もよく知っている。一部の人間にはサイバー犯罪が魅力的に映るかもしれないが、そう思えるのは失敗を犯して刑務所入りするまでの間だけだ。

有害なモノのインターネット

近頃、サイバーセキュリティのイベントでIoT批評が行われないことなどあるだろうか?当然、SASも例外ではない。講演では、自動車、ガソリンスタンド、病院や診療所、さらにはヨットの脆弱性について発表があった。

当社のICS CERTのメンバーも、スマートカメラに関する調査報告を行った。ベビー(ビデオ)モニター、それから家庭用およびオフィス用の監視デバイスは、100ドル程度で購入できる。調査の結果、スマートカメラはサイバー攻撃に対して脆弱であるだけでなく、自宅や企業のネットワークへのアクセスを犯罪者に許してしまう可能性があることが判明した。スマートデバイスをインターネットに接続させるためのルーターを最新の状態にアップデートし、これで安全だと思っているなら、考え直してほしい(そして、当社の調査結果も参照してほしい)。

自動車の安全と言えば、Cloudflareのマーク・ロジャーズ(Mark Rogers)氏が、自動車業界におけるサイバーセキュリティの現状と、そう遠くない未来の概観について、非常に説得力のある講演を行った。簡単にまとめると、最近の自動車に搭載されているものは、すべて何らかの課題を抱えている。製造業者が対策を進めているため、状況は近いうちにやや改善されるだろうが、運輸手段のサイバー産業という観点で見れば、セキュリティ対策の長い道のりが始まったばかりに過ぎない。例として、IXIAのリサーチャーの取り組みが挙げられる。このリサーチャーは、人気ブランドの自動車に搭載されたインフォテインメントシステムが所有者の個人情報を大量に収集し、保存していることを突き止めた。犯罪者がそのデータにアクセスできたなら…それも時間の問題だろう。

世界をより良くより安全な場所にするための新しい知見やアイディアを大量に手に入れ、さらには自信とエネルギーも新たに、我々はカンクンを後にした。拍手、からのスタンディングオベーションだ!

今回も素晴らしいカンファレンスとなった。参加者の多くからは「世界で一番!」の声をいただいた。私もまったく同感だ。これからもこのイベントに投資し続けることが幸せすぎるくらいだ。「ビジネスは楽しい、混ぜるのではなくシェイクで」がモットーだから(どうか訂正しないでほしい。ジェームズ・ボンド氏のウォッカマティーニの好みは私もよく知っている)。

最後の締めはもちろん、忘れてはならない、必須の、必要不可欠の、絶対外せない、パーティだ!

以上。2018年のSASは無事終了した。すでに2019年のSASが待ち遠しくなっている…

メキシコ、とくればテキーラしかない

閉幕した途端に天気が一気に悪化し、高い波が押し寄せていろんなごみをビーチに打ち上げた。まあいいだろう。空港に向かう時間だ…。

講演やスピーチの動画は近々公開予定だ。Twitterにて順次発表していくので、お待ちいただきたい。

P.S. 発着案内板にはいつも「On time(定刻)」や「Delayed(遅延)」などの表示しか見たことなかったが、人生で初めて、まったく想像すらしたことがなかった「Early(早着)」を見た!!!他の国の主要ハブ空港でもこれがあったら…

コメントを読む 0
コメントを書く