サイバー古生物学：複雑なサイバー脅威へのアプローチ

やあ、皆さん！

今回は、著名な思想家の哲学的な言葉をもじって、こんなフレーズから始めたいと思う。「人間の職業がその社会的存在を規定するのか、それとも人間の社会的存在がその職業を規定するのか？」この（というか元になった方の）疑問は、かれこれ150年以上もの間、熱い議論の的となっているようだ。そしてインターネットの発明と普及を経た現在、この論争はどう考えても、少なくともこれから150年後まで続きそうに見える。私個人としては、どちらかの側に賛意を表明するつもりはない。むしろ、（私個人の経験から）職業と存在は二元構造になっているという考えを支持したい。人間の職業と存在は、さまざまな形で、継続的に、相互に影響し合う関係にあるものだからだ。

1980年代が終わりへと向かいつつある頃、悪意あるプログラムが急増する状況に対応すべく、コンピューターウイルス学が生まれた。それから30年後、ウイルス学は進化（というよりむしろ、隣接領域と融合）してサイバーセキュリティ産業となり、それが現在、しばしば「IT化の発展を決定づけている」。競争が避けられない条件の下では、最高の保護機能を備えた技術のみが生存競争を勝ち抜くのだ。

1980年代の終盤から30年の間、我々（アンチウイルス企業各社）は、さまざまな名前で呼ばれてきた。華やかな名前もあれば、愉快でない名前もあった。しかし近年、最も言い得ていると思うのは、私見ではあるが、一部で流行している「サイバー古生物学者」という呼び名だ。

確かに我が業界は、大規模感染に対抗する方法を身につけてきた。事前対策的に（近年、最大級の大規模感染であるWannacryやExPetrから人々を保護したように）か、事後対応的（クラウドベースの脅威データ解析と迅速なアップデートを利用して）か、という違いはここでは重要ではない。しかし、標的型サイバー攻撃については、業界全体としてはまだなすべき課題が多く残っている。そうした攻撃に対抗できるだけの技術的な成熟度とリソースを持っている企業はごく少数だ。さらに、本拠地や活動の動機を問わず、すべてのサイバー犯罪者を摘発するという揺るがない意志を持つ企業という条件を加えると、残るのは1社だけだ。そう、我が社だ！（それで思い出すのはナポレオン・ヒルがかつて言った「成功のはしごのてっぺんはいつも人が少ない」という言葉だ。）いずれにしても、当社が他社を引き離して単独で（はしごのてっぺんに）いるのは不思議なことではない。文字どおりあらゆるサイバー犯罪者を摘発しようという揺るがない意志を持ち続けるには、持ち続けない場合よりもはるかに多額のコストがかかるからだ。さらに、昨今の地政学的な混乱に鑑みても、そうした意志を持ち続けることははるかに厄介なことだ。だが、それが正しい行いであることは当社の経験が示している。ここからも、そうであることを確認いただける。

サイバースパイ活動というものは、実に多くの時間とコストを要し、ハイテクを駆使する複雑なプロジェクトだ。当然ながら、そうした活動の首謀者は摘発されれば大いに気分を害するだろうし、そうした首謀者の多くはメディアの操作によりさまざまな手段を用いて「望ましくない」開発元を排除しようと考える。また同様に、このように考える人もいる。

https://twitter.com/malwrhunterteam/status/1029276290900262913

話が脱線したようだ…

さて、そうしたサイバースパイ活動は、何年にもわたって検知されないままであることもある。首謀者は投資したものツールセットに十分な注意を払うからだ。たとえば、少数の厳選した標的のみを攻撃する（不特定多数に向けた攻撃は検知されやすいので行わない）、広く使用されている市販のサイバーセキュリティ製品全部でテストする、必要とあればすぐに戦術を変える、というように。多く標的型攻撃が検知されているが、それも氷山の一角に過ぎないことは想像に難くない。そして、そうした攻撃をあばく上で本当の意味で効果的な手段はただ一つ、サイバー古生物学の手法だ。具体的には、長期にわたり丹念にデータを収集して「全体像」を把握すること、他社のエキスパートと協力すること、異常を検知して分析すること、その上で保護技術を開発することだ。

サイバー古生物学の分野は、主に2つの下位分野に分けることができる。随時の調査（偶然検出されたものについてさらに詳しく調査すること）と、組織だった戦略的調査活動（企業IT環境を計画的に分析するプロセス）の2つだ。

サイバー古生物学的な戦略的調査活動に明らかな利点があることは、大規模組織（公的組織か民間組織かを問わず）に高く評価されている。標的型攻撃で主に標的にされるのは、そうした大規模組織だ。しかし、必ずしもすべての組織が自らサイバー古生物学的な戦略的活動を実施する機会または能力に恵まれているとは限らない。こうした特殊な職種の真のスペシャリストといえる人材は希少で、また雇用しようとすれば多額の報酬が必要になる。それを言うなら、当社はそうした人材を世界各地に多数抱えているではないか（経験豊富で世界的にも有名な人たちだ）。ということから先日、この領域に当社の強みがあることと、法人の顧客側にそうした大きなニーズがあることにかんがみ（需要と供給の市場原則にのっとり）、新サービスKaspersky Managed Protectionの提供を開始することにした。

Kaspersky Managed Protectionは、ひとことで言えば、サイバー古生物学を当社にアウトソーシングすることだ。

まず、当社のクラウドサービスがネットワークとシステムのアクティビティのメタデータを収集する。それからこのメタデータとKaspersky Security Network（KSN）からのデータを集約し、これをまとめてスマートシステムとサイバー古生物学者エキスパートの双方が解析する（そう、HuMachine（ヒューマシン）アプローチだ）。

メタデータの収集に話を戻すと…特に画期的なのは、Kaspersky Managed Protectionでは、メタデータ収集のために追加のセンサーをインストールする必要がないことだ。このサービスは、インストールされている既存の製品（Kaspersky Endpoint SecurityやKaspersky AntiTargeted Attackなど。また将来的には他の開発元の製品にも対応する可能性あり）と連携して動作し、そうした製品の計測データを根拠として、いわば「診察 → 診断 → 治療の処方」を行う。

それ以上に興味深いのは、KSNデータとの集約の背後にある仕組みだ。

Kaspersky Managed Protectionサービスにはすでに、さまざまなセンサーから収集されたギガバイト単位の生の計測データがある。具体的には、OSイベント、プロセスのふるまいとネットワークとのインタラクション、システムサービスおよびアプリケーションのアクティビティ、セキュリティ製品による判定データだ（異常なふるまいの検知、IDS、サンドボックス処理、オブジェクトのレピュテーションチェック、YARAルール…頭が混乱してきただろうか？！）。このような混沌とした状況でも、適切に処理すれば、最終的に標的型攻撃をあばくことに役立つ手法を考案することができる。

この段階で、標的型攻撃のクラウド検知、調査、および排除のための特許取得済みの技術を用いて、有用なものとそうでないものを分ける。まず、受信した計測データに、オブジェクトの出現頻度、グループへの帰属、既知の脅威との類似点、その他の多くのパラメータに基づき、KSNで自動的にタグをつける。言い換えれば、もみ殻を取り除き、残った有用なもの全部（小麦の粒ごとに）に特別なタグをつけるのだ。

その後、機械学習を使用した相関関係メカニズムによって、そのタグを自動処理し、潜在的なサイバー攻撃についての仮説を立てる。古生物学の言葉で言えば、掘り出した埋蔵物の破片を調べ、すでに見つかっている恐竜の化石との類似点を調査したり、また科学的に未知な恐竜の特徴かもしれない珍しい破片の組み合わせを探したりする。

相関関係メカニズムによって仮説を立てる上では、非常に多くの情報源からの情報が活用される。創立以来21年の間に、当社には仮説を立てるための…十分なデータ（控えめに言えば）が蓄積されている。たとえば、通常のアクティビティから逸脱した疑わしい統計データや、さまざまな標的型攻撃の戦術、技術、手順に関するデータ、当社が参加したコンピューター犯罪捜査から得られたデータなどだ。

仮説を立てたら、いよいよサイバー古生物学者の頭脳の出番だ。サイバー古生物学のエキスパートは、人工知能には到底できないことができる。提示された仮説の根拠をチェックし、疑わしいオブジェクトやアクションを分析し、誤検知を排除し、機械学習ロボットに学習させ、新しい脅威を検知するためのルールを策定するのだ。とはいえ、やがては古生物学者が行っていた手作業のほぼすべてが自動処理されるようになるだろう。調査の経験を変換するプロセス、そして調査が自動サービス化するプロセスは、永遠に終わることがない。

このように、少しずつ、最先端の技術の助けを借り、エキスパートによる監督のもと、膨大な土の中からこれまで未知だった怪獣標的型攻撃の痕跡を見つけることが可能になる。Kaspersky Managed Protectionに届けられる未発掘の土の量が多くなるほど、より遠い過去まで遡って発掘することができ、「発見不可能なものを発見」できる可能性、ひいては未知の攻撃をあばくことができる可能性も高くなる。重要なのは、この方法が最も有効な保護手段であることだ。恐竜の化石を含む未発掘の土がある場所は、大規模組織のネットワーク以外にないからだ。

最後に、Kaspersky Managed Protectionと情報セキュリティインシデントの管理センターである当社のセキュリティオペレーションセンター（SOC）がどのような補完関係にあるのかについて少々説明しよう。

もちろん、Kaspersky Managed ProtectionがSOCに取って代わるわけではない。Kaspersky Managed Protectionにより、（i）1つの（だが最も重要な）タスク、複雑さの程度を問わずあらゆる攻撃をあばくというタスクを簡潔に解決できることから、新規SOCの創設を後押しできる可能性がある。（ii）サイバー古生物学の手法を取り入れることで既存のSOCの能力を増強できる可能性がある。（iii）サイバー古生物学の拡張性に優れた機能を応用したサービスを拡充することで、MSSPプロバイダーにとってのビジネスチャンスを増やせる可能性がある。Kaspersky Managed Protectionの開発を牽引した主な方向性は、この3つ目の要素なのではないかと思う。