月ごとのアーカイブ:6月 2020

自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

およそ4年前、サイバーセキュリティは地政学的チェスゲームの駒の一つとなった。さまざまな国のさまざまな政治家が、敵対的サイバー諜報活動についてお互いに指を突きつけ合い、非難の応酬をしている。一方で同時に—見たところ皮肉でも何でもなく—自国の攻撃的サイバー兵器ツールを拡大しつつある。地政学的な偽り激しい砲火を浴びるのは、この非常に危険で愚かなふるまいを明らかにする能力と、そして度胸を持ち合わせる、独立した個々のサイバーセキュリティ企業だ。

しかし、なぜだろうか?単純な話だ。

第1に、「サイバー」という言葉は、世に出たそのときからクール/ロマンティック/SF/ハリウッド/魅力的な言葉であり、今もそれは変わらない。それに、売れる—製品の観点だけでなく報道の意味合いでも。これは人口に(政治家の口も含め)膾炙した言葉だ。そしてその格好良さと人気故に、人の注意をそらす必要がある際に(よくあることだ)、重宝する。

第2に、「サイバー」は実に専門的だ。多くの人は理解していない。その結果、サイバーと何かしら関連するものを扱うとき、より多くのクリックを常に求めるメディアは、真実だとは言えないこと(または完全に誤ったこと)を提示することができるのだが、それに気付く読者はほとんどいない。そうしたわけで、これこれの国のハッカーグループがこれこれの厄介な、または犠牲の大きい、あるいは損害をもたらす、もしくはとんでもないサイバー攻撃に関わっている、と述べ立てるニュースが大量に生み出されている。しかし、これらを信じてよいものだろうか?

我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。

一般的に、何を信じるべきか見分けるのは難しい。だとすると、サイバー攻撃を正確に行為者と関連付けることは実際のところ可能なのだろうか。

この問いへの回答は2つの部分からなる。

技術的な観点から言うと、サイバー攻撃は独自の特徴を多数有するが、公平なシステム解析では「この攻撃はどの程度、この(あの)ハッカーグループの活動のように見えるか」を判断するところまでしか行くことができない。

しかし、そのハッカーグループがMilitary Intelligence Sub-Unit 233に属する可能性があるだとか、またはNational Advanced Defense Research Projects GroupあるいはJoint Strategic Capabilities and Threat Reduction Taskforceに属するものかもしれない(Google検索の手間を省くため追記すると、すべて架空の組織だ)、というのは政治的な問題であって、事実の操作が行われる可能性は100%に近づく。アトリビューション(攻撃を攻撃主体と関連付けること)は、技術的で証拠に基づいた正確なものから…何というか、占いレベルになってしまう。したがって、その部分は報道にお任せする。我々はそこへは踏み込まない。

攻撃者の身元を知れば、対抗しやすくなる。業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

このように、当社は政治的なアトリビューションを避けている。我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。その面にかけては誰にも引けを取らない、と私から申し添えたい。我々は大規模なハッカーグループとその動向を詳しく注視しており(その数は600を超える)、彼らの関係性にはまったく注意を払っていない。泥棒は泥棒であって牢獄へ入るべきだ。そして、私がこのゲームを始めてから30年以上にわたり、デジタルの不正行為に関する多大なるデータを休みなく収拾し続けてきて、ついに今、我々が得てきたものを、良き形で外部へシェアするときがやってきたと感じている。

先日、我々はサイバーセキュリティのエキスパート向けに新たなサービスを提供開始した。その名を「Kaspersky Threat Attribution Engine」と言う。疑わしいファイルを解析し、このサイバー攻撃がどのハッカーグループによるものかを判断するサービスだ。攻撃者の身元を知れば、対抗しやすくなる。確かな情報に基づいた対策が可能となるのだ。判断を下し、アクションプランを描き、優先度を設定し、業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

Kaspersky Threat Attribution EngineのインターフェイスKaspersky Threat Attribution Engineのインターフェイス

続きを読む:自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

サイバーの あの日あの時 パート3:1992年~199x年

パート1パート2を読んでいない方のために説明すると、この記事は、私の『サイバーの あの日あの時』年代記シリーズの第3回にあたる。ほとんどの人と同じように私もロックダウン措置の影響下にあり、いつもより時間があるので、サイバーセキュリティの記憶の小道を散策することができる。いつもならば飛行機に乗ってあちらへ、こちらへ、いたるところへ仕事に観光に飛び回っているので、そうした活動にほとんどの時間を取られてしまう。だが今はそうしたことが一切、少なくともオフラインや対面ではできない。そこで、その未消化の時間を一部活用してキーボードに向かい、個人的なこと、Kaspersky Labのこと、サイバーセキュリティの来し方を巡って思い出されるあれこれを綴っている次第だ。今回は90年代初頭から中盤までの話をしよう。

タイプミスがブランド名に

ごく初期のころ、我々のアンチウイルスツールはどれも「-*.EXE」というパターンで名付けられていた。たとえば「-V.EXE」(アンチウイルススキャナー)、「-D.EXE」(常駐モニター)、「-U.EXE」(ユーティリティ)という具合だ。最初に「-」を付けたのは、ファイルマネージャーでプログラムをリスト表示したときに我々のプログラムが一番上に来るようにするためだった(最初から技術おたく気質と冴えたPRのセンスを兼ね備えていたと言えないだろうか?)

後に最初の本格的な製品をリリースしたとき、その製品は「Antiviral Toolkit Pro」と名付けられた。普通に考えれば、略語は「ATP」となるべきだったが、そうはならなかった…

1993年の終わりか1994年の初め頃、過去の集まり(『サイバーの あの日あの時 パート1』を参照)で何度か顔を合わせたことがあり私のことを覚えていたヴェセリン・ボンチェフ(Vesselin Bontchev)氏から、彼が当時勤めていたハンブルク大学のウイルステストセンターでテストに使うので製品を1つ送って欲しいと頼まれた。快諾した私は、ファイルをzipにアーカイブするときにアーカイブの名前をうっかり「AVP.ZIP」としてしまい(本来なら「ATP.ZIP」だ)、気付かないままボンチェフ氏に送ってしまった。しばらくしてボンチェフ氏から、アーカイブを(一般の人も利用できるように)FTPサーバーに置いてもいいかと尋ねられ、そのときも応じた。1~2週間ほど経ってから、彼はこう言ってきた。「君のAVPはFTPでだいぶ人気になってきているよ!」

「AVPって何のこと?」私は尋ねた。
「”何のこと?”だって?君がアーカイブファイルで送ってくれたやつに決まってるじゃないか!」
「何だって?!すぐに名前を変更してくれないか…名前が間違ってるんだ!」
「もう遅いよ。もう公開されているし、皆AVPだと思ってるよ!」

こうして「AVP」が定着してしまったのだ!幸い、「Anti-Viral toolkit Pro」の略だ、ということで何とか切り抜けた(ある程度は)。それでも、やりかけたことはやりとおすべし。我々のツールの名前は、最初の「-」を取って代わりに「AVP」を付けた名前にすべて変更された。今でも、一部のモジュール名に使われている。

最初の出張—CeBITのためにドイツへ

1992年、アレクセイ・レミゾフ(Alexey Remizov)氏(私が最初に勤めたKAMIという会社での上司)が、私の初となる外国渡航用パスポートの取得を手助けしてくれ、ドイツのハノーバーで開催された展示会CeBITに連れて行ってくれた。KAMIは他のロシア企業数社と共同で、ささやかなブースに出展していた。我々のテーブルは半分がKAMIのトランスピューター技術に占められ、残り半分が我々のアンチウイルス製品の展示スペースだった。我々が得たのはわずかばかりの新規取引で、大したものはなかった。それでもなお、大いに有益な出張だった…

当時我々がCeBITで受けた印象は「なんと壮大な!」という感じだった。とにかく巨大だった!しかもドイツが再統一されてからまだそれほど経っていなかったから、我々にとっては西ドイツぽく感じられた—コンピューター資本主義の狂騒!まさに、カルチャーショックだった(その後、モスクワへ戻ったとき2回目のカルチャーショックを経験することになる。詳しくは後日)。

巨大なCeBIT会場の中で、我々の小さな共同ブースはほとんど注目されなかった。それでも、「足掛かりを得る」とか「最初の一歩が一番難しい」とかそんなような言い回しがある。その4年後、再びCeBITに足を運ぶことになった。今度は、欧州の(後に世界規模の)パートナーネットワークの構築を始めるために。が、それについてはまた稿を改めて取り上げることにする(特にこれから自分の事業という長旅を始めようとしている人たちにとって興味深い内容になると思う)。

ところで、その当時からすでに、我々のプロジェクトには少なくとも何らかのPRやマーケティングのサポートが切実に必要だと私は理解していた。しかし我々はそのとき、ろくに持ち合わせもない状態だったし、ジャーナリストからすれば聞いたこともない会社だったから、そうしたサポートを受けるのは難しかった。それでも、CeBITへの最初の出張の直接的成果として、自分たちについて自分たちで書いた記事をロシアの技術雑誌『ComputerPress』1992年5月号に掲載してもらうことができた。自家製のPRだ!

フィー、ファイ、フォー、ファム、英国人のお金の匂いがするぞ!

2回目の出張は、同年6月~7月の英国行きだった。この出張の成果も記事になり、今回は『Virus Bulletin』という雑誌に『The Russians Are Coming!』(ロシア人がやってくる)というタイトルで掲載された。外国の媒体に掲載されたのはこれが初めてだった。ちなみに、記事の中に「18人のプログラマー」というくだりがある。KAMI全体で働いていた人はおそらく18人いたのだろうが、我々のアンチウイルス部には我々3人しかいなかった。

1992年6月、ロンドン1992年6月、ロンドン

続きを読む:サイバーの あの日あの時 パート3:1992年~199x年

ATMも検疫を!

私は例年なら100回以上は飛行機に乗る。大体は誰かと一緒に、世界中を飛び回っている。海外ではカードかスマートフォンで支払いをするが、Apple PayやGoogle Payなどの非接触型決済手段を使うことが多い。中国では、WeChatを使って市場の高齢のご婦人方から果物や野菜を買うこともできる。そして、昨今の新型コロナウイルスのパンデミックにより、電子決済の利用は拡大するばかりだ。

その一方で、妙なところで驚かされることもある。香港ではどこへ行っても、タクシーは現金しか受け付けてくれない。つい昨年、フランクフルトで行ったレストラン2軒も現金払いだった。なぜ?!おかげで、食後にブランデーを楽しむつもりが、ユーロを引き出すためにATMを探し回る羽目になった。ともかく、こういった話から見えてくるのは、先進的な決済システムが世界中に展開されているものの、古き良きATMはすぐにはなくならない、ということだ。

何の話だと思うかもしれないが、もちろんサイバーセキュリティの話だ!

ATMとは、すなわちお金だ。ATMはこれまでもハッキングされてきた。現在もハッキングされている。これからもハッキングされるだろう。実際にハッキングは悪化の一途をたどっている。当社の調査では、マルウェアの攻撃を受けたATMの数は2017年から2019年の間で2倍以上になっている。

では、ATMの内外を四六時中、厳重に監視できるだろうか?もちろんできるはず、とあなたは答えるかもしれない。だが、実際はそうもいかない。

接続速度が非常に遅いATMは今なお多く、街角、店舗、地下鉄の駅や、人通りの多い場所、人目につかない場所に散在している。一部の端末は取引も満足に処理できないほど低速で、状況を常に監視するなど、とても無理だ。

このような状況を受け、我々は格差をなくしATMのセキュリティを強化することに乗り出した。具体的には、最適化のベストプラクティス(25年の経験から胸を張って「精通している」と言えるものだ)を適用するとともに、ATMの保護に長けたソリューション「Kaspersky Embedded Systems Security(KESS)」に必要なトラフィック量を大幅に削減した。

KESSのインターネット接続速度の最小要件は…56kbps。なんと。私が56Kダイヤルアップモデムを使っていたのは1998年のことだ!

先進国における現在の4Gインターネットの平均速度は30,000~120,000kbpsで、5Gでは100,000,000kbps以上になると見込まれている(もっとも、その前に人々が基地局をすべて破壊してしまわなければの話だが)。しかし、56kbpsという前時代的な接続速度に惑わされないでほしい。保護の性能は間違いない。実際、有能なマネージャー諸氏は、質を落とさない最適化というものについて、当社から多少のものは得てくださっているのではないだろうか。

続きを読む:ATMも検疫を!