2018年10月24日
サイバー古生物学:複雑なサイバー脅威へのアプローチ
やあ、皆さん!
今回は、著名な思想家の哲学的な言葉をもじって、こんなフレーズから始めたいと思う。「人間の職業がその社会的存在を規定するのか、それとも人間の社会的存在がその職業を規定するのか?」この(というか元になった方の)疑問は、かれこれ150年以上もの間、熱い議論の的となっているようだ。そしてインターネットの発明と普及を経た現在、この論争はどう考えても、少なくともこれから150年後まで続きそうに見える。私個人としては、どちらかの側に賛意を表明するつもりはない。むしろ、(私個人の経験から)職業と存在は二元構造になっているという考えを支持したい。人間の職業と存在は、さまざまな形で、継続的に、相互に影響し合う関係にあるものだからだ。
1980年代が終わりへと向かいつつある頃、悪意あるプログラムが急増する状況に対応すべく、コンピューターウイルス学が生まれた。それから30年後、ウイルス学は進化(というよりむしろ、隣接領域と融合)してサイバーセキュリティ産業となり、それが現在、しばしば「IT化の発展を決定づけている」。競争が避けられない条件の下では、最高の保護機能を備えた技術のみが生存競争を勝ち抜くのだ。
1980年代の終盤から30年の間、我々(アンチウイルス企業各社)は、さまざまな名前で呼ばれてきた。華やかな名前もあれば、愉快でない名前もあった。しかし近年、最も言い得ていると思うのは、私見ではあるが、一部で流行している「サイバー古生物学者」という呼び名だ。
確かに我が業界は、大規模感染に対抗する方法を身につけてきた。事前対策的に(近年、最大級の大規模感染であるWannacryやExPetrから人々を保護したように)か、事後対応的(クラウドベースの脅威データ解析と迅速なアップデートを利用して)か、という違いはここでは重要ではない。しかし、標的型サイバー攻撃については、業界全体としてはまだなすべき課題が多く残っている。そうした攻撃に対抗できるだけの技術的な成熟度とリソースを持っている企業はごく少数だ。さらに、本拠地や活動の動機を問わず、すべてのサイバー犯罪者を摘発するという揺るがない意志を持つ企業という条件を加えると、残るのは1社だけだ。そう、我が社だ!(それで思い出すのはナポレオン・ヒルがかつて言った「成功のはしごのてっぺんはいつも人が少ない」という言葉だ。)いずれにしても、当社が他社を引き離して単独で(はしごのてっぺんに)いるのは不思議なことではない。文字どおりあらゆるサイバー犯罪者を摘発しようという揺るがない意志を持ち続けるには、持ち続けない場合よりもはるかに多額のコストがかかるからだ。さらに、昨今の地政学的な混乱に鑑みても、そうした意志を持ち続けることははるかに厄介なことだ。だが、それが正しい行いであることは当社の経験が示している。ここからも、そうであることを確認いただける。
サイバースパイ活動というものは、実に多くの時間とコストを要し、ハイテクを駆使する複雑なプロジェクトだ。当然ながら、そうした活動の首謀者は摘発されれば大いに気分を害するだろうし、そうした首謀者の多くはメディアの操作によりさまざまな手段を用いて「望ましくない」開発元を排除しようと考える。また同様に、このように考える人もいる。
https://twitter.com/malwrhunterteam/status/1029276290900262913
話が脱線したようだ…
さて、そうしたサイバースパイ活動は、何年にもわたって検知されないままであることもある。首謀者は投資したものツールセットに十分な注意を払うからだ。たとえば、少数の厳選した標的のみを攻撃する(不特定多数に向けた攻撃は検知されやすいので行わない)、広く使用されている市販のサイバーセキュリティ製品全部でテストする、必要とあればすぐに戦術を変える、というように。多く標的型攻撃が検知されているが、それも氷山の一角に過ぎないことは想像に難くない。そして、そうした攻撃をあばく上で本当の意味で効果的な手段はただ一つ、サイバー古生物学の手法だ。具体的には、長期にわたり丹念にデータを収集して「全体像」を把握すること、他社のエキスパートと協力すること、異常を検知して分析すること、その上で保護技術を開発することだ。
