自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

およそ4年前、サイバーセキュリティは地政学的チェスゲームの駒の一つとなった。さまざまな国のさまざまな政治家が、敵対的サイバー諜報活動についてお互いに指を突きつけ合い、非難の応酬をしている。一方で同時に—見たところ皮肉でも何でもなく—自国の攻撃的サイバー兵器ツールを拡大しつつある。地政学的な偽り激しい砲火を浴びるのは、この非常に危険で愚かなふるまいを明らかにする能力と、そして度胸を持ち合わせる、独立した個々のサイバーセキュリティ企業だ。

しかし、なぜだろうか?単純な話だ。

第1に、「サイバー」という言葉は、世に出たそのときからクール/ロマンティック/SF/ハリウッド/魅力的な言葉であり、今もそれは変わらない。それに、売れる—製品の観点だけでなく報道の意味合いでも。これは人口に(政治家の口も含め)膾炙した言葉だ。そしてその格好良さと人気故に、人の注意をそらす必要がある際に(よくあることだ)、重宝する。

第2に、「サイバー」は実に専門的だ。多くの人は理解していない。その結果、サイバーと何かしら関連するものを扱うとき、より多くのクリックを常に求めるメディアは、真実だとは言えないこと(または完全に誤ったこと)を提示することができるのだが、それに気付く読者はほとんどいない。そうしたわけで、これこれの国のハッカーグループがこれこれの厄介な、または犠牲の大きい、あるいは損害をもたらす、もしくはとんでもないサイバー攻撃に関わっている、と述べ立てるニュースが大量に生み出されている。しかし、これらを信じてよいものだろうか?

我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。

一般的に、何を信じるべきか見分けるのは難しい。だとすると、サイバー攻撃を正確に行為者と関連付けることは実際のところ可能なのだろうか。

この問いへの回答は2つの部分からなる。

技術的な観点から言うと、サイバー攻撃は独自の特徴を多数有するが、公平なシステム解析では「この攻撃はどの程度、この(あの)ハッカーグループの活動のように見えるか」を判断するところまでしか行くことができない。

しかし、そのハッカーグループがMilitary Intelligence Sub-Unit 233に属する可能性があるだとか、またはNational Advanced Defense Research Projects GroupあるいはJoint Strategic Capabilities and Threat Reduction Taskforceに属するものかもしれない(Google検索の手間を省くため追記すると、すべて架空の組織だ)、というのは政治的な問題であって、事実の操作が行われる可能性は100%に近づく。アトリビューション(攻撃を攻撃主体と関連付けること)は、技術的で証拠に基づいた正確なものから…何というか、占いレベルになってしまう。したがって、その部分は報道にお任せする。我々はそこへは踏み込まない。

攻撃者の身元を知れば、対抗しやすくなる。業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

このように、当社は政治的なアトリビューションを避けている。我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。その面にかけては誰にも引けを取らない、と私から申し添えたい。我々は大規模なハッカーグループとその動向を詳しく注視しており(その数は600を超える)、彼らの関係性にはまったく注意を払っていない。泥棒は泥棒であって牢獄へ入るべきだ。そして、私がこのゲームを始めてから30年以上にわたり、デジタルの不正行為に関する多大なるデータを休みなく収拾し続けてきて、ついに今、我々が得てきたものを、良き形で外部へシェアするときがやってきたと感じている。

先日、我々はサイバーセキュリティのエキスパート向けに新たなサービスを提供開始した。その名を「Kaspersky Threat Attribution Engine」と言う。疑わしいファイルを解析し、このサイバー攻撃がどのハッカーグループによるものかを判断するサービスだ。攻撃者の身元を知れば、対抗しやすくなる。確かな情報に基づいた対策が可能となるのだ。判断を下し、アクションプランを描き、優先度を設定し、業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

Kaspersky Threat Attribution EngineのインターフェイスKaspersky Threat Attribution Engineのインターフェイス

続きを読む:自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

サイバーの あの日あの時 パート3:1992年~199x年

パート1パート2を読んでいない方のために説明すると、この記事は、私の『サイバーの あの日あの時』年代記シリーズの第3回にあたる。ほとんどの人と同じように私もロックダウン措置の影響下にあり、いつもより時間があるので、サイバーセキュリティの記憶の小道を散策することができる。いつもならば飛行機に乗ってあちらへ、こちらへ、いたるところへ仕事に観光に飛び回っているので、そうした活動にほとんどの時間を取られてしまう。だが今はそうしたことが一切、少なくともオフラインや対面ではできない。そこで、その未消化の時間を一部活用してキーボードに向かい、個人的なこと、Kaspersky Labのこと、サイバーセキュリティの来し方を巡って思い出されるあれこれを綴っている次第だ。今回は90年代初頭から中盤までの話をしよう。

タイプミスがブランド名に

ごく初期のころ、我々のアンチウイルスツールはどれも「-*.EXE」というパターンで名付けられていた。たとえば「-V.EXE」(アンチウイルススキャナー)、「-D.EXE」(常駐モニター)、「-U.EXE」(ユーティリティ)という具合だ。最初に「-」を付けたのは、ファイルマネージャーでプログラムをリスト表示したときに我々のプログラムが一番上に来るようにするためだった(最初から技術おたく気質と冴えたPRのセンスを兼ね備えていたと言えないだろうか?)

後に最初の本格的な製品をリリースしたとき、その製品は「Antiviral Toolkit Pro」と名付けられた。普通に考えれば、略語は「ATP」となるべきだったが、そうはならなかった…

1993年の終わりか1994年の初め頃、過去の集まり(『サイバーの あの日あの時 パート1』を参照)で何度か顔を合わせたことがあり私のことを覚えていたヴェセリン・ボンチェフ(Vesselin Bontchev)氏から、彼が当時勤めていたハンブルク大学のウイルステストセンターでテストに使うので製品を1つ送って欲しいと頼まれた。快諾した私は、ファイルをzipにアーカイブするときにアーカイブの名前をうっかり「AVP.ZIP」としてしまい(本来なら「ATP.ZIP」だ)、気付かないままボンチェフ氏に送ってしまった。しばらくしてボンチェフ氏から、アーカイブを(一般の人も利用できるように)FTPサーバーに置いてもいいかと尋ねられ、そのときも応じた。1~2週間ほど経ってから、彼はこう言ってきた。「君のAVPはFTPでだいぶ人気になってきているよ!」

「AVPって何のこと?」私は尋ねた。
「”何のこと?”だって?君がアーカイブファイルで送ってくれたやつに決まってるじゃないか!」
「何だって?!すぐに名前を変更してくれないか…名前が間違ってるんだ!」
「もう遅いよ。もう公開されているし、皆AVPだと思ってるよ!」

こうして「AVP」が定着してしまったのだ!幸い、「Anti-Viral toolkit Pro」の略だ、ということで何とか切り抜けた(ある程度は)。それでも、やりかけたことはやりとおすべし。我々のツールの名前は、最初の「-」を取って代わりに「AVP」を付けた名前にすべて変更された。今でも、一部のモジュール名に使われている。

最初の出張—CeBITのためにドイツへ

1992年、アレクセイ・レミゾフ(Alexey Remizov)氏(私が最初に勤めたKAMIという会社での上司)が、私の初となる外国渡航用パスポートの取得を手助けしてくれ、ドイツのハノーバーで開催された展示会CeBITに連れて行ってくれた。KAMIは他のロシア企業数社と共同で、ささやかなブースに出展していた。我々のテーブルは半分がKAMIのトランスピューター技術に占められ、残り半分が我々のアンチウイルス製品の展示スペースだった。我々が得たのはわずかばかりの新規取引で、大したものはなかった。それでもなお、大いに有益な出張だった…

当時我々がCeBITで受けた印象は「なんと壮大な!」という感じだった。とにかく巨大だった!しかもドイツが再統一されてからまだそれほど経っていなかったから、我々にとっては西ドイツぽく感じられた—コンピューター資本主義の狂騒!まさに、カルチャーショックだった(その後、モスクワへ戻ったとき2回目のカルチャーショックを経験することになる。詳しくは後日)。

巨大なCeBIT会場の中で、我々の小さな共同ブースはほとんど注目されなかった。それでも、「足掛かりを得る」とか「最初の一歩が一番難しい」とかそんなような言い回しがある。その4年後、再びCeBITに足を運ぶことになった。今度は、欧州の(後に世界規模の)パートナーネットワークの構築を始めるために。が、それについてはまた稿を改めて取り上げることにする(特にこれから自分の事業という長旅を始めようとしている人たちにとって興味深い内容になると思う)。

ところで、その当時からすでに、我々のプロジェクトには少なくとも何らかのPRやマーケティングのサポートが切実に必要だと私は理解していた。しかし我々はそのとき、ろくに持ち合わせもない状態だったし、ジャーナリストからすれば聞いたこともない会社だったから、そうしたサポートを受けるのは難しかった。それでも、CeBITへの最初の出張の直接的成果として、自分たちについて自分たちで書いた記事をロシアの技術雑誌『ComputerPress』1992年5月号に掲載してもらうことができた。自家製のPRだ!

フィー、ファイ、フォー、ファム、英国人のお金の匂いがするぞ!

2回目の出張は、同年6月~7月の英国行きだった。この出張の成果も記事になり、今回は『Virus Bulletin』という雑誌に『The Russians Are Coming!』(ロシア人がやってくる)というタイトルで掲載された。外国の媒体に掲載されたのはこれが初めてだった。ちなみに、記事の中に「18人のプログラマー」というくだりがある。KAMI全体で働いていた人はおそらく18人いたのだろうが、我々のアンチウイルス部には我々3人しかいなかった。

1992年6月、ロンドン1992年6月、ロンドン

続きを読む:サイバーの あの日あの時 パート3:1992年~199x年

ATMも検疫を!

私は例年なら100回以上は飛行機に乗る。大体は誰かと一緒に、世界中を飛び回っている。海外ではカードかスマートフォンで支払いをするが、Apple PayやGoogle Payなどの非接触型決済手段を使うことが多い。中国では、WeChatを使って市場の高齢のご婦人方から果物や野菜を買うこともできる。そして、昨今の新型コロナウイルスのパンデミックにより、電子決済の利用は拡大するばかりだ。

その一方で、妙なところで驚かされることもある。香港ではどこへ行っても、タクシーは現金しか受け付けてくれない。つい昨年、フランクフルトで行ったレストラン2軒も現金払いだった。なぜ?!おかげで、食後にブランデーを楽しむつもりが、ユーロを引き出すためにATMを探し回る羽目になった。ともかく、こういった話から見えてくるのは、先進的な決済システムが世界中に展開されているものの、古き良きATMはすぐにはなくならない、ということだ。

何の話だと思うかもしれないが、もちろんサイバーセキュリティの話だ!

ATMとは、すなわちお金だ。ATMはこれまでもハッキングされてきた。現在もハッキングされている。これからもハッキングされるだろう。実際にハッキングは悪化の一途をたどっている。当社の調査では、マルウェアの攻撃を受けたATMの数は2017年から2019年の間で2倍以上になっている。

では、ATMの内外を四六時中、厳重に監視できるだろうか?もちろんできるはず、とあなたは答えるかもしれない。だが、実際はそうもいかない。

接続速度が非常に遅いATMは今なお多く、街角、店舗、地下鉄の駅や、人通りの多い場所、人目につかない場所に散在している。一部の端末は取引も満足に処理できないほど低速で、状況を常に監視するなど、とても無理だ。

このような状況を受け、我々は格差をなくしATMのセキュリティを強化することに乗り出した。具体的には、最適化のベストプラクティス(25年の経験から胸を張って「精通している」と言えるものだ)を適用するとともに、ATMの保護に長けたソリューション「Kaspersky Embedded Systems Security(KESS)」に必要なトラフィック量を大幅に削減した。

KESSのインターネット接続速度の最小要件は…56kbps。なんと。私が56Kダイヤルアップモデムを使っていたのは1998年のことだ!

先進国における現在の4Gインターネットの平均速度は30,000~120,000kbpsで、5Gでは100,000,000kbps以上になると見込まれている(もっとも、その前に人々が基地局をすべて破壊してしまわなければの話だが)。しかし、56kbpsという前時代的な接続速度に惑わされないでほしい。保護の性能は間違いない。実際、有能なマネージャー諸氏は、質を落とさない最適化というものについて、当社から多少のものは得てくださっているのではないだろうか。

続きを読む:ATMも検疫を!

サイバーの あの日あの時 パート2:1991年~1992年

これより、サイバー業界黎明期に遡る昔話の続きをしよう。先日投稿した第1回の記事では、私が生まれてはじめてウイルスをつかまえたときのこと、我々の最初のアンチウイルスツールのこと、私が独立して当時は現実に存在すると言えなかった職業、つまりフリーランスのアンチウイルスアナリストになると決めたときのことをお話しした。

さて、フリーランスになって数週間経った。基本的にほとんど何もしない数週間だった。顧客を1人も見つけられなかったからだ。またどこかの会社で正規の仕事に就かなければと思った。そこで何をしたかと言うと、仕事をオファーしてくれた民間企業3社の間での「入札」を企画した。

そのうちの1社(KAMI)については、それだけで1つの記事にできるくらい語れることがあるのだが、ここでは概要を紹介するにとどめる。KAMIは、かなり大規模な、非常に多角的に輸出入・その他諸々を手掛ける会社で、コンピューター部門も持っていた(この部門は最終的にKAMIから分離して独立した会社となった)。そこのボスがアレクセイ・レミゾフ(Alexey Remizov)氏だった。長年にわたり私を信頼し何かと力になってくれた素晴らしい人だ。

さて、入札の話に戻ろう。その3社のうち2社が「もちろんだとも。来週立ち寄ってくれ、きみのオファーを話し合おう」というような反応だったとすれば、レミゾフ氏は翌朝オフィスに来ないかと言い、その次の日には私のデスクとコンピューターのある場所に案内してくれ、初回分の前払い報酬を私の手に握らせ、私の「部署」の名前を「アンチウイルス部」(か何かそんなような名前)に決め、さらに2人の社員をあてがってくれた。

私が最初に取り組むべきタスクは、その2人の社員をクビにすることだった!単純に、仕事に合っていなかったのだ。そして私はこの初めてのタスクを何とかやり遂げた。感情的な言い合いにならず、円満に話がついた。2人とも、その仕事に「合わない」という私の考えに同感だったのだと思う。

さて、KAMIについてもう少し話そう(舞台は1991年だ)…

KAMIのコンピューター部には25人ほどのスタッフがいた。しかしながらコンピューターにかけられるお金は文字通りまったくなかった!したがって、立ち上げの資金は、インドから輸入した靴、チョコレートビスケット、車のアラームシステムの製造、TV信号をエンコードするシステム(有料TV向け)の売上から回されたものだった。実際にコンピューターITプロジェクトといえるのは、私のアンチウイルス部と、トランスピューター部だけだった。トランスピューター部は、当時KAMIの中で最も景気のいい部門だった。

ほかにこの時期のことで思い出せることは何だろう?

実際のところ、あまり多くはない。1日12~14時間働いていて忙しすぎたのだ。仕事以外のことに意識を向ける時間はなかった。政治のことについても。それでも、何かないだろうか…

最初のオフィスは…幼稚園(!)に間借りした。場所はモスクワ郊外の北西部にあたるストロギノだ。それから移転して科学技術博物館の一部を借りることになり、それからモスクワ大学構内へ移り、それからある研究機関へ、そこからまた別の場所へ移った。私たちはよく冗談を言ったものだ。「我々は昔、全部の学校に行ったよな。高校以外」。

ストロギノの最初のオフィスストロギノの最初のオフィス

続きを読む:サイバーの あの日あの時 パート2:1991年~1992年

サイバーの あの日あの時 パート1:1989年~1991年

先日、第三者機関によるテストの結果を示すTOP3メトリックで今回も首位となったことについて記事を書いたところ、少々昔が懐かしくなった。その後、偶然にも、ILOVEYOUウイルスワームの発見から20年を迎えた。さらに懐かしく、また記事を書いた。ここでやめる理由はないな、と私は考えた。ほかにやることがそんなにあるわけでもない。ならば続けよう!そこで、これより、Kasperskyにまつわる思い出話を、ほぼ思いつくままに順不同で書いていこうと思う…

まずは、巻き戻しボタンを押して(80年代のラジカセに付いている、あれだ)、1980年代末の終わりごろ、まだ「Kaspersky(カスペルスキー)」が私の名字にすぎなかった頃に戻ろう。

パート1―有史以前:1989年~1991年

私は以前から、1989年10月を、後に私の職業となるものへ本格的に最初の一歩を踏み入れたときだと考えている。コンピューターウイルスのCascade(Cascade.1704)がOlivetti M24(CGA、20M HDD)上の実行可能ファイルに入り込んでいるのを見つけ、それを駆除したのだ。

続きを読む:サイバーの あの日あの時 パート1:1989年~1991年

Threat Intelligence Portal:より深い解析のために

この記事が万人向けでないことは重々承知している。95%の人々にとっては何の役にも立たないことだろう。ただ、残る5%の人々に関しては、1週間の(そして週末の)労働を大幅に簡素化できる可能性を秘めている。何が言いたいかと言うと、サイバーセキュリティのプロ—SOCチーム、組織に属さないリサーチャー、探求心のある技術者—である皆さんに、我々からちょっとしたお知らせがある。当社のキツツキたち(マルウェアアナリストの愛称)やGReATのメンバーが、サイバー脅威に関する調査研究レポートを世に送り出すため日常的に利用しているツールのライトバージョン「Threat Intelligence Portal」が、無料で誰でも利用できるようになった。すぐにでもブックマークすることをお勧めしたいと思う。

Threat Intelligence Portal(脅威インテリジェンスポータル)は、過剰に広範な業務に携わる現代のサイバーセキュリティエキスパートが抱える2つの主な問題を解決する。第1に「疑わしいファイルが数百もあるが、どれから手を付けるべきだ?」 問題。第2に「よし、このファイルは感染していないとウイルス対策製品が言っている。で、次のファイルはどうだろう?」問題だ。

続きを読む:Threat Intelligence Portal:より深い解析のために

グローバルイノベーター TOP 100

私のブログをよくご覧になっている方は、私が時にあまり目立たない(だからといって重要でないわけではない)ビジネス上の成功について書いているのをご存じだろう。それは当社の特許に関連する内容であり、サイバー世界の悪だけでなく、技術の進歩を妨げるばかりである特許トロールに対する戦いにおいてこれらが我々をいかに助けてくれたかについての内容である。

私は「成功」と書いたが、ここに最新の情報がある。当社はロシア企業として初めてDerwent Top 100 Global Innovatorsに選ばれた。

続きを読む:グローバルイノベーター TOP 100

SOC 2監査を無事完了

昨年発表したとおり、Global Transparency Initiativeの取り組みの一環として、当社では第三者機関によるSOC 2監査を実施する計画を進めていた。そして、ついにこのたび、監査が成功裏に完了したことを発表できる運びとなった。簡単なことではなかった。多くの社員による多くの労力が求められた。しかし、いまやすべてが過去のものだ。皆がやり遂げたことを誇らしく思う。

続きを読む:SOC 2監査を無事完了

シンガポール、インターポール

単なる旅行者としてシンガポールを訪れることができたら、どんなに素晴らしいだろうか。1週間滞在し、この街を歩き回れたら…。しかし、今回はそうはいかなかった。工作-仕事-arbeiten、会議-プレゼン-また会議、また別のwork-trabajo-労働、さまざまな言語で展開される駆け足の滞在だ。それはこんな感じだった…。

Starmus Festivalの翌朝に目覚め、つかの間の平穏は夢見ることしかできないのだと実感する。うだるように暑いスイスから(意識を取り戻すことがないままに)向かう先は、同じように暑いシンガポール。「Interpol World 2019」が開催されるのだ。国際刑事警察機構(インターポール)の加盟国の政府機関、非政府機関、民間企業が一堂に会するイベントだ。

私は、法執行機関と民間のサイバーセキュリティ企業が国際的に協調していくことの重要性について多くを語った。サイバー犯罪には地理的境界は関係ない。だからこそ、行動を共にして戦う必要がある。このところ「共に」の部分で世界的な問題が少々あるというだけのことだ。したがって、国際協力を目指して現実に進行中の取り組みは、黄金にも匹敵する重みがある。そして、我々は長年インターポールと連携してきたことを誇りに思う。我々は2014年以来の戦略的パートナーであり、初めての協定を結び、サイバー犯罪対策部門であるIGCI(Interpol Global Complex for Innovation)のDigital Crime Centerの開設を支援した。このセンターは、インターポールが行う捜査の技術面を担当する。

そして7月3日、シンガポールでKasperskyとインターポールは、この協定を5年間延長することに合意した。

続きを読む:シンガポール、インターポール