産業用分野のセキュリティにおけるパラダイムシフト:工場に免疫を

サイバーセキュリティの世界で10年といえば長い年月だ。もし10年前に未来が見通せてサイバーセキュリティ技術が2022年までにどこまで進むかを見ることができたなら、きっと誰も信じようとしなかったに違いない。私だって信じなかっただろう!パラダイムも、原理も、慣習も、製品も(「アンチウイルス?何それ?」という時代もあった)、何もかもが見違えるように変化し進歩している。

同時に、どれほど進歩しようとも、また、人工知能奇跡をうたう口ばかりの約束やサイバーセキュリティ風の大げさな宣伝文句が飛び交うのをよそに、今日の我々は依然として、10年前と変わらない問題に直面している。

いかにしてビジネスプロセスの継続性を保持しながらデータを悪意ある目や無許可の変更から守るか?

実際に、機密性、信頼性、アクセス可能性を保護することは、ほぼすべてのサイバーセキュリティ担当者にとって、今もなお日々取り組まねばならない厄介な仕事となっている。

どこへ行こうとも、「デジタル」には常に同じ問題がつきまとう。過去にもそうだったし、現在もそうだし、今後もそれが続くだろう。続くのも当然だ。デジタル化の利点はこれほど明らかなのだから。重機製造、石油精製、運輸、エネルギーといった保守的に見える分野でさえ、すでに何年も前からデジタル化が進んでいる。結構なことだが、さて、その全部が安全な状態なのだろうか?

デジタル化すれば、ビジネスの効率性は飛躍的に上がる。だが他方で、デジタルなものはすべてハッキングされる可能性がある(実際にされる)し、現に数多くがある。全面的にデジタル化を受け入れ、そのメリットを存分に享受するという考えは非常に魅力的だ。ただし、苦痛を伴わない形で(つまり、ビジネスプロセスが中断されないように)進める必要がある。そこで、我々の(いくらか)新しい鎮痛剤、もとい「KISG 100Kaspersky IoT Secure Gateway)」の出番だ。

続きを読む:産業用分野のセキュリティにおけるパラダイムシフト:工場に免疫を

Threat Intelligence Portal、シーズン2

1年前、私はサイバーセキュリティのエキスパート向けに、当社の開発した新しいツールについてお知らせした。この、誰でも利用可能なThreat Intelligence Portalでは、GReATのエキスパートたちが複雑な脅威(または単に不審なファイル)の解析に使用するのと同じ機能を利用できる。今やThreat Intelligence Portalでは、毎月膨大な数のファイルがチェックされている。

しかし、状況は昨年から大きく変化した。新型コロナウイルスのためにまさに世界全体がリモートワークを余儀なくされ、その只中で、サイバーセキュリティエキスパートの仕事はいっそう厳しいものとなった。企業ネットワークのセキュリティを維持することは、いまや以前の何百倍も大変な仕事だ。COVID-19の流行前から貴重なものであった「時間」は、現在、さらに重い価値を持つ。技術力や知識の高い利用者の皆々さまからは、シンプルかつ直接的な要望が寄せられるようになった。APIの提供と、上限の引き上げだ。

ご要望に、我々はお応えした。

Threat Intelligence Portalの新しいインターフェイス

続きを読む:Threat Intelligence Portal、シーズン2

サイバーセキュリティ:自動車品質の新側面

21世紀の自動車も機械的装置であると、かなりの人が考えているようだ。確かに、自動車にはさまざまな用途の電子機器が多少なりとも取り入れられているが、結局は機械工学が作り上げたものだ。シャーシ、エンジン、車輪、ハンドル、ペダル、…すべて機械だ。電子機器は(「コンピューター」を含め)、機械部分の機能を補助しているだけだ。実際、最近のダッシュボードはほとんどがデジタル表示になっている。

率直に言おう。そんなことはない。

現代の自動車は、基本的に特殊なコンピューターだ。我々が「自動車」という言葉から連想する昔ながらの機械装置や電気装置—エンジン、ブレーキ、方向指示器、ワイパー、エアコンなど—を制御する、「サイバー脳」なのだ。

たとえば、以前はハンドブレーキといえば例外なく機械式だった。手で握って引くと、きしむような音を立てる。それが今はボタンを押すだけになっている。機械要素はゼロ。100%コンピューター制御だ。ほとんどのものがそうなってきた。

さて、自動運転車といえば、コンピューターが車を操縦するものだと考える人が多い。では、最新型の自動車でハンドルを握っているのが人間なら、(コンピューターではなく)人間が運転していることになるのだろうか?

もう一度言おう。そんなことはない。

最新型の自動車になると、車が自律的に走ることと人間が運転することの違いは、後者では車載コンピューターを人間が操作し、前者では車載コンピューターを非常に高性能なメインコンピューターが制御する、というだけのことだ。そのメインコンピューターを開発するのはGoogleYandexBaiduCognitive Technologiesといった企業だ。このコンピューターは、目的地を与えられると、ナノ秒単位で更新される超スマートなアルゴリズムに基づいて、周囲の状況をくまなく確認し、目的地までどのように移動するか(時速、経路など)を判断する。

自動車のデジタル化に関する小史

では、機械からデジタルへの動きは、いつ始まったのだろうか?

一部の専門家は、自動車産業のコンピューター化は1955年に始まったと考えている。Chryslerが、ある車種にオプションとしてトランジスターラジオを搭載し始めた年だ。その一方で、ラジオは厳密にいうと自動車の機能ではないので、電子制御式点火装置(Pontiac、1963年)、アンチロックブレーキシステム(Chrysler、1971年)、電子エンジン制御システム(GM、1979年)をもって自動車のコンピューター化の嚆矢とする考え方もある

始まった時期にかかわらず、それ以降がおおむね同じように進んだことは間違いない。電子化が進み、続いてデジタル化が始まった。その境界線はあいまいだが、私が考えるに、自動車技術においてデジタル革命が始まったのは1986年2月、SAE Internationalの会議でRobert Bosch GmbHが自動車の電子部品間での通信に用いるデジタルネットワークプロトコル「CAN(Controller Area Network)」を発表したときのことだ。彼らには当然の尊敬が与えられるべきだ。こんにちもなおCANプロトコルは十分に機能しており、実質的に世界中のあらゆる車に使われている。

CAN以降の自動車とデジタルに関する、詳しすぎるまとめ

BoschからはさまざまなタイプのCAN(低速、高速、FD-CAN)がリリースされたが、現在ではそのほかにFlexRay(トランスミッション)、LIN(低速バス)、光ファイバーのMOST(マルチメディア)、そしてついに車載Ethernet(現在は100mbps、将来的には最大1gbps)といった技術も登場している。今どきは自動車を設計する際に、さまざまなプロトコルが採用される。ドライブバイワイヤー(機械的な接続に代わる電気システム)は、電子ガスペダル電子ブレーキペダル(1998年以降トヨタ、Ford、GMがハイブリッド車と電気自動車に採用)、電動パーキングブレーキ電子トランスミッション電動ステアリング(2014年のInfinity Q50初めて採用)をもたらした。

BMWのバスとインターフェイスBMWのバスとインターフェイス

続きを読む:サイバーセキュリティ:自動車品質の新側面

YARAルール:ブラックスワンを予測する

人類がこのような年を過ごすのは実に久しぶりだ。さまざまな姿形の「ブラックスワン」をこれほど集中して目撃した年は、今までになかったと思う。私が言うのは羽毛に覆われた生き物のことではない。ナシム・ニコラス・タレブ(Nassim Nicholas Taleb)氏が2007年に出版された自著『ブラック・スワン:不確実性とリスクの本質』の中で示した理論にある、広範囲にわたる影響を伴う予期できぬ出来事について話している。この理論の主な教義の一つは、こうだ。「すでに発生した驚くべき出来事は、後から考えれば、明白で予測可能なものに見える。しかし、実際に起きる前には誰も予測していなかった」

サイバーセキュリティのエキスパートたちは、この不明瞭さに対処しブラックスワンを予測する方法を持っている

例を挙げる。例の不気味なウイルスは、3月以来、世界を封鎖している。「コロナウイルス科」系統のウイルスは実に多数(何十種類も)あり、定期的に新種が見つかっていることが判明した。猫、犬、鳥、コウモリが感染する。ヒトが感染する。一部のものは、よくある風邪の原因となる。その他は…違う兆候を示す。そこで我々は、もっと致命的なウイルス(天然痘、ポリオなど)の場合と同じように、ワクチンを開発しなければならない。だが、ワクチン接種が大いに功を奏するとはかぎらない。インフルエンザを見よーー決定的な予防接種がないまま、何世紀が経過しただろうか?それに、ワクチン開発を開始するには、自分の求めるものを知らねばならないし、これは科学というよりも人文学に近いものに見える。

なぜこのような話をしているのか?一体何と関連が…まあ、いつものようにサイバーセキュリティか異国への旅の話に行き着くわけだが、今回は前者だ。

現存する最も危険なサイバー脅威の一つは、ゼロデイ脆弱性だ。レアで、(サイバーセキュリティ関係者その他に)知られていない、本気でヤバくて大規模な恐ろしい事態と損害をもたらしかねない、ソフトウェアに内在する脆弱性だ。それでいて、実際に悪用される瞬間(またはその少し後)までその存在は気付かれない傾向にある。

しかし、サイバーセキュリティのエキスパートたちは、この不明瞭さに対処しブラックスワンを予測する方法を持っている。この記事では、そういった手段の一つであるYARAについて触れたい。

簡単に言うと、YARAはマルウェアの調査および検知を助ける存在だ。一定の条件を満たすファイルを特定し、テキストやバイナリのパターンに基づいてマルウェアファミリーを絞り込む、ルールベースのアプローチだ。目指すところは、パターンを特定することで似たようなマルウェアを探し出し、「この悪意あるプログラムは、似たような目的を持つ同じ人々によって作られたものらしい」と言えるようにすることにある。

OK、では別のメタファーに移ろう。ブラックスワンと同様に水関連のメタファー、海だ。

あなたのネットワークが、何千種もの魚が泳ぐ大海であるとしよう。あなたは漁業界の人間で、海上の船から巨大な網を投じて魚を捕らえている。しかし、あなたが欲しいのは特定の種類の魚(すなわち、特定のハッカー集団によって作られたマルウェア)だけだ。さて、この網は特殊な作りになっている。網には特別な一角があり、特定の種類の魚(特定の性質を持つマルウェア)しかその部分に入らないようになっているのだ。

漁が終わるころには大量の魚が捕れている。比較的新しいものもあれば、これまで見たことのない、ほとんど知らない魚(新種マルウェアの検体)もある。しかし、これらが例の一角に入っていたなら、「X(ハッカーグループ名)らしい」「Y(ハッカーグループ名)に見える」と言うことができる。

この魚/漁業のメタファーを裏付ける事例がある。2015年、我らがYARAマスターでありGReATのリーダーであるコスティン・ライウが、サイバー空間のシャーロック・ホームズと化してMicrosoft Silverlightのエクスプロイトを見つけ出した。詳しくはぜひ記事を確認していただきたいが、かいつまんで説明すると、彼がやったことというのは、ハッカーがリークしたメールのやりとりを子細に調査し、ほとんど何もないところからYARAルールを構築することだった。これが例のエクスプロイトの発見につながり、メガ級のトラブルから世界を守った。(メールはHacking Teamというイタリア企業からリークしたものだったーーハッカーがハッカーをハッキングしたのだった)

では、YARAルールについてだ。

我々は何年にもわたり、YARAルール作成技法のトレーニングを行ってきた。YARAが解明を助けるサイバー脅威は、かなり複雑なものだ。そのため、講座は対面で(つまりオフラインで)、しかも限られた人数のトップレベルのサイバーセキュリティリサーチャーに限定されていた。当然ながら3月以降は、オフラインでのトレーニングが難しくなった。しかし、教育の必要性は変わらない。実際、当社開催の講座に対する興味が薄れる様子はなかった。

それも当然だ。サイバー空間の悪者たちは、これまで以上に高度な攻撃を考え出し続けている。ロックダウン期間中は、特にそうだった。したがって、YARAに関する我々の専門的ノウハウをロックダウン中に他に伝えないでいるのは、明らかに誤りだ。したがって、我々は(1)トレーニング形式をオフラインからオンラインに移し、(2)誰でも参加できるようにした。無料ではないが、このレベル(非常に高い)の講座にしてはマーケットレベルの競争力がある価格だ。

こちらがトレーニングの詳細だ

Hunt APTs with YARA like a GReAT ninja

 

続きを読む:YARAルール:ブラックスワンを予測する

自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

およそ4年前、サイバーセキュリティは地政学的チェスゲームの駒の一つとなった。さまざまな国のさまざまな政治家が、敵対的サイバー諜報活動についてお互いに指を突きつけ合い、非難の応酬をしている。一方で同時に—見たところ皮肉でも何でもなく—自国の攻撃的サイバー兵器ツールを拡大しつつある。地政学的な偽り激しい砲火を浴びるのは、この非常に危険で愚かなふるまいを明らかにする能力と、そして度胸を持ち合わせる、独立した個々のサイバーセキュリティ企業だ。

しかし、なぜだろうか?単純な話だ。

第1に、「サイバー」という言葉は、世に出たそのときからクール/ロマンティック/SF/ハリウッド/魅力的な言葉であり、今もそれは変わらない。それに、売れる—製品の観点だけでなく報道の意味合いでも。これは人口に(政治家の口も含め)膾炙した言葉だ。そしてその格好良さと人気故に、人の注意をそらす必要がある際に(よくあることだ)、重宝する。

第2に、「サイバー」は実に専門的だ。多くの人は理解していない。その結果、サイバーと何かしら関連するものを扱うとき、より多くのクリックを常に求めるメディアは、真実だとは言えないこと(または完全に誤ったこと)を提示することができるのだが、それに気付く読者はほとんどいない。そうしたわけで、これこれの国のハッカーグループがこれこれの厄介な、または犠牲の大きい、あるいは損害をもたらす、もしくはとんでもないサイバー攻撃に関わっている、と述べ立てるニュースが大量に生み出されている。しかし、これらを信じてよいものだろうか?

我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。

一般的に、何を信じるべきか見分けるのは難しい。だとすると、サイバー攻撃を正確に行為者と関連付けることは実際のところ可能なのだろうか。

この問いへの回答は2つの部分からなる。

技術的な観点から言うと、サイバー攻撃は独自の特徴を多数有するが、公平なシステム解析では「この攻撃はどの程度、この(あの)ハッカーグループの活動のように見えるか」を判断するところまでしか行くことができない。

しかし、そのハッカーグループがMilitary Intelligence Sub-Unit 233に属する可能性があるだとか、またはNational Advanced Defense Research Projects GroupあるいはJoint Strategic Capabilities and Threat Reduction Taskforceに属するものかもしれない(Google検索の手間を省くため追記すると、すべて架空の組織だ)、というのは政治的な問題であって、事実の操作が行われる可能性は100%に近づく。アトリビューション(攻撃を攻撃主体と関連付けること)は、技術的で証拠に基づいた正確なものから…何というか、占いレベルになってしまう。したがって、その部分は報道にお任せする。我々はそこへは踏み込まない。

攻撃者の身元を知れば、対抗しやすくなる。業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

このように、当社は政治的なアトリビューションを避けている。我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。その面にかけては誰にも引けを取らない、と私から申し添えたい。我々は大規模なハッカーグループとその動向を詳しく注視しており(その数は600を超える)、彼らの関係性にはまったく注意を払っていない。泥棒は泥棒であって牢獄へ入るべきだ。そして、私がこのゲームを始めてから30年以上にわたり、デジタルの不正行為に関する多大なるデータを休みなく収拾し続けてきて、ついに今、我々が得てきたものを、良き形で外部へシェアするときがやってきたと感じている。

先日、我々はサイバーセキュリティのエキスパート向けに新たなサービスを提供開始した。その名を「Kaspersky Threat Attribution Engine」と言う。疑わしいファイルを解析し、このサイバー攻撃がどのハッカーグループによるものかを判断するサービスだ。攻撃者の身元を知れば、対抗しやすくなる。確かな情報に基づいた対策が可能となるのだ。判断を下し、アクションプランを描き、優先度を設定し、業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

Kaspersky Threat Attribution EngineのインターフェイスKaspersky Threat Attribution Engineのインターフェイス

続きを読む:自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

ATMも検疫を!

私は例年なら100回以上は飛行機に乗る。大体は誰かと一緒に、世界中を飛び回っている。海外ではカードかスマートフォンで支払いをするが、Apple PayやGoogle Payなどの非接触型決済手段を使うことが多い。中国では、WeChatを使って市場の高齢のご婦人方から果物や野菜を買うこともできる。そして、昨今の新型コロナウイルスのパンデミックにより、電子決済の利用は拡大するばかりだ。

その一方で、妙なところで驚かされることもある。香港ではどこへ行っても、タクシーは現金しか受け付けてくれない。つい昨年、フランクフルトで行ったレストラン2軒も現金払いだった。なぜ?!おかげで、食後にブランデーを楽しむつもりが、ユーロを引き出すためにATMを探し回る羽目になった。ともかく、こういった話から見えてくるのは、先進的な決済システムが世界中に展開されているものの、古き良きATMはすぐにはなくならない、ということだ。

何の話だと思うかもしれないが、もちろんサイバーセキュリティの話だ!

ATMとは、すなわちお金だ。ATMはこれまでもハッキングされてきた。現在もハッキングされている。これからもハッキングされるだろう。実際にハッキングは悪化の一途をたどっている。当社の調査では、マルウェアの攻撃を受けたATMの数は2017年から2019年の間で2倍以上になっている。

では、ATMの内外を四六時中、厳重に監視できるだろうか?もちろんできるはず、とあなたは答えるかもしれない。だが、実際はそうもいかない。

接続速度が非常に遅いATMは今なお多く、街角、店舗、地下鉄の駅や、人通りの多い場所、人目につかない場所に散在している。一部の端末は取引も満足に処理できないほど低速で、状況を常に監視するなど、とても無理だ。

このような状況を受け、我々は格差をなくしATMのセキュリティを強化することに乗り出した。具体的には、最適化のベストプラクティス(25年の経験から胸を張って「精通している」と言えるものだ)を適用するとともに、ATMの保護に長けたソリューション「Kaspersky Embedded Systems Security(KESS)」に必要なトラフィック量を大幅に削減した。

KESSのインターネット接続速度の最小要件は…56kbps。なんと。私が56Kダイヤルアップモデムを使っていたのは1998年のことだ!

先進国における現在の4Gインターネットの平均速度は30,000~120,000kbpsで、5Gでは100,000,000kbps以上になると見込まれている(もっとも、その前に人々が基地局をすべて破壊してしまわなければの話だが)。しかし、56kbpsという前時代的な接続速度に惑わされないでほしい。保護の性能は間違いない。実際、有能なマネージャー諸氏は、質を落とさない最適化というものについて、当社から多少のものは得てくださっているのではないだろうか。

続きを読む:ATMも検疫を!

サイバーの あの日あの時 パート1:1989年~1991年

先日、第三者機関によるテストの結果を示すTOP3メトリックで今回も首位となったことについて記事を書いたところ、少々昔が懐かしくなった。その後、偶然にも、ILOVEYOUウイルスワームの発見から20年を迎えた。さらに懐かしく、また記事を書いた。ここでやめる理由はないな、と私は考えた。ほかにやることがそんなにあるわけでもない。ならば続けよう!そこで、これより、Kasperskyにまつわる思い出話を、ほぼ思いつくままに順不同で書いていこうと思う…

まずは、巻き戻しボタンを押して(80年代のラジカセに付いている、あれだ)、1980年代末の終わりごろ、まだ「Kaspersky(カスペルスキー)」が私の名字にすぎなかった頃に戻ろう。

パート1―有史以前:1989年~1991年

私は以前から、1989年10月を、後に私の職業となるものへ本格的に最初の一歩を踏み入れたときだと考えている。コンピューターウイルスのCascade(Cascade.1704)がOlivetti M24(CGA、20M HDD)上の実行可能ファイルに入り込んでいるのを見つけ、それを駆除したのだ。

続きを読む:サイバーの あの日あの時 パート1:1989年~1991年

SOC 2監査を無事完了

昨年発表したとおり、Global Transparency Initiativeの取り組みの一環として、当社では第三者機関によるSOC 2監査を実施する計画を進めていた。そして、ついにこのたび、監査が成功裏に完了したことを発表できる運びとなった。簡単なことではなかった。多くの社員による多くの労力が求められた。しかし、いまやすべてが過去のものだ。皆がやり遂げたことを誇らしく思う。

続きを読む:SOC 2監査を無事完了

暗黒面のサイバー関連ニュース – サイバースペースの偽善、Miraiに気をつけろ、GCHQが見ている、BlueKeepを押さえ込め

やあ皆さん!

まずは嬉しいニュースから始めよう。

「最も多くテストされ、最も多く賞を獲得」– 今もなお。

先日、定評ある第三者評価機関AV-Comparativesが毎年恒例の調査結果を発表した。2018年末に実施されたこの調査は、世界各地の3,000人を対象に行われた。19ある質問項目のうち1つが、「主に使用しているPC向けマルウェア対策セキュリティ製品は?」というものだった。欧州、アジア、中南米で1位になったのは、どのブランドだろうか?そう、Kだ!北米では2位だった(一時的な現象に違いない)。欧州ではさらに、スマートフォンで最もよく使用されているセキュリティ製品に選ばれた。また個人向けでも法人向けセキュリティ製品としても、利用者からの製品テストの要望が多い企業のランキングで、当社がトップになった。素晴らしい!我々はテストを好んで受けるが、その理由がこれでお分かりだろう。なお、当社製品が受けた第三者評価機関によるテストやレビューについては、こちらに詳細を掲載している。

続きを読む:暗黒面のサイバー関連ニュース – サイバースペースの偽善、Miraiに気をつけろ、GCHQが見ている、BlueKeepを押さえ込め

あの豚が帰ってきた!

昔々、そのまた昔、我々にはペットの豚がいた。本物の豚ではない。名前もない。ただ、その叫び声が有名になった。Kaspersky Labの製品を初期の頃から使っている人は、何の話かピンときたことだろう。比較的最近使い始めた皆さんのために、事情をご説明しよう…

サイバー古代たる1990年代のこと、我々は自社のアンチウイルス製品に、ある機能を追加した。ウイルスを検知したとき、豚の悲鳴が上がるようにしたのだ!これは、賛否両論だった。

出典

やがて、どういうわけか、この豚の悲鳴は姿を消してしまった。奇しくも同時期に、タスクトレイに表示される「K」アイコンが、もっとモダンで分かりやすいシンボルに置き換わった。

さて、いくつかの企業には熱心なファンがいるが(当社の場合は公式ファンクラブがある)、当社も例外ではない。そのファンの多くが、「あの豚を返して!」「タスクバーの”K”はどこへ行ってしまったのか?」と何年にもわたり我々に訴えてきていた。

続きを読む:あの豚が帰ってきた!