自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

およそ4年前、サイバーセキュリティは地政学的チェスゲームの駒の一つとなった。さまざまな国のさまざまな政治家が、敵対的サイバー諜報活動についてお互いに指を突きつけ合い、非難の応酬をしている。一方で同時に—見たところ皮肉でも何でもなく—自国の攻撃的サイバー兵器ツールを拡大しつつある。地政学的な偽り激しい砲火を浴びるのは、この非常に危険で愚かなふるまいを明らかにする能力と、そして度胸を持ち合わせる、独立した個々のサイバーセキュリティ企業だ。

しかし、なぜだろうか?単純な話だ。

第1に、「サイバー」という言葉は、世に出たそのときからクール/ロマンティック/SF/ハリウッド/魅力的な言葉であり、今もそれは変わらない。それに、売れる—製品の観点だけでなく報道の意味合いでも。これは人口に(政治家の口も含め)膾炙した言葉だ。そしてその格好良さと人気故に、人の注意をそらす必要がある際に(よくあることだ)、重宝する。

第2に、「サイバー」は実に専門的だ。多くの人は理解していない。その結果、サイバーと何かしら関連するものを扱うとき、より多くのクリックを常に求めるメディアは、真実だとは言えないこと(または完全に誤ったこと)を提示することができるのだが、それに気付く読者はほとんどいない。そうしたわけで、これこれの国のハッカーグループがこれこれの厄介な、または犠牲の大きい、あるいは損害をもたらす、もしくはとんでもないサイバー攻撃に関わっている、と述べ立てるニュースが大量に生み出されている。しかし、これらを信じてよいものだろうか?

我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。

一般的に、何を信じるべきか見分けるのは難しい。だとすると、サイバー攻撃を正確に行為者と関連付けることは実際のところ可能なのだろうか。

この問いへの回答は2つの部分からなる。

技術的な観点から言うと、サイバー攻撃は独自の特徴を多数有するが、公平なシステム解析では「この攻撃はどの程度、この(あの)ハッカーグループの活動のように見えるか」を判断するところまでしか行くことができない。

しかし、そのハッカーグループがMilitary Intelligence Sub-Unit 233に属する可能性があるだとか、またはNational Advanced Defense Research Projects GroupあるいはJoint Strategic Capabilities and Threat Reduction Taskforceに属するものかもしれない(Google検索の手間を省くため追記すると、すべて架空の組織だ)、というのは政治的な問題であって、事実の操作が行われる可能性は100%に近づく。アトリビューション(攻撃を攻撃主体と関連付けること)は、技術的で証拠に基づいた正確なものから…何というか、占いレベルになってしまう。したがって、その部分は報道にお任せする。我々はそこへは踏み込まない。

攻撃者の身元を知れば、対抗しやすくなる。業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

このように、当社は政治的なアトリビューションを避けている。我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。その面にかけては誰にも引けを取らない、と私から申し添えたい。我々は大規模なハッカーグループとその動向を詳しく注視しており(その数は600を超える)、彼らの関係性にはまったく注意を払っていない。泥棒は泥棒であって牢獄へ入るべきだ。そして、私がこのゲームを始めてから30年以上にわたり、デジタルの不正行為に関する多大なるデータを休みなく収拾し続けてきて、ついに今、我々が得てきたものを、良き形で外部へシェアするときがやってきたと感じている。

先日、我々はサイバーセキュリティのエキスパート向けに新たなサービスを提供開始した。その名を「Kaspersky Threat Attribution Engine」と言う。疑わしいファイルを解析し、このサイバー攻撃がどのハッカーグループによるものかを判断するサービスだ。攻撃者の身元を知れば、対抗しやすくなる。確かな情報に基づいた対策が可能となるのだ。判断を下し、アクションプランを描き、優先度を設定し、業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

Kaspersky Threat Attribution EngineのインターフェイスKaspersky Threat Attribution Engineのインターフェイス

続きを読む:自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

ATMも検疫を!

私は例年なら100回以上は飛行機に乗る。大体は誰かと一緒に、世界中を飛び回っている。海外ではカードかスマートフォンで支払いをするが、Apple PayやGoogle Payなどの非接触型決済手段を使うことが多い。中国では、WeChatを使って市場の高齢のご婦人方から果物や野菜を買うこともできる。そして、昨今の新型コロナウイルスのパンデミックにより、電子決済の利用は拡大するばかりだ。

その一方で、妙なところで驚かされることもある。香港ではどこへ行っても、タクシーは現金しか受け付けてくれない。つい昨年、フランクフルトで行ったレストラン2軒も現金払いだった。なぜ?!おかげで、食後にブランデーを楽しむつもりが、ユーロを引き出すためにATMを探し回る羽目になった。ともかく、こういった話から見えてくるのは、先進的な決済システムが世界中に展開されているものの、古き良きATMはすぐにはなくならない、ということだ。

何の話だと思うかもしれないが、もちろんサイバーセキュリティの話だ!

ATMとは、すなわちお金だ。ATMはこれまでもハッキングされてきた。現在もハッキングされている。これからもハッキングされるだろう。実際にハッキングは悪化の一途をたどっている。当社の調査では、マルウェアの攻撃を受けたATMの数は2017年から2019年の間で2倍以上になっている。

では、ATMの内外を四六時中、厳重に監視できるだろうか?もちろんできるはず、とあなたは答えるかもしれない。だが、実際はそうもいかない。

接続速度が非常に遅いATMは今なお多く、街角、店舗、地下鉄の駅や、人通りの多い場所、人目につかない場所に散在している。一部の端末は取引も満足に処理できないほど低速で、状況を常に監視するなど、とても無理だ。

このような状況を受け、我々は格差をなくしATMのセキュリティを強化することに乗り出した。具体的には、最適化のベストプラクティス(25年の経験から胸を張って「精通している」と言えるものだ)を適用するとともに、ATMの保護に長けたソリューション「Kaspersky Embedded Systems Security(KESS)」に必要なトラフィック量を大幅に削減した。

KESSのインターネット接続速度の最小要件は…56kbps。なんと。私が56Kダイヤルアップモデムを使っていたのは1998年のことだ!

先進国における現在の4Gインターネットの平均速度は30,000~120,000kbpsで、5Gでは100,000,000kbps以上になると見込まれている(もっとも、その前に人々が基地局をすべて破壊してしまわなければの話だが)。しかし、56kbpsという前時代的な接続速度に惑わされないでほしい。保護の性能は間違いない。実際、有能なマネージャー諸氏は、質を落とさない最適化というものについて、当社から多少のものは得てくださっているのではないだろうか。

続きを読む:ATMも検疫を!

Flickr

Instagram

サイバーの あの日あの時 パート1:1989年~1991年

先日、第三者機関によるテストの結果を示すTOP3メトリックで今回も首位となったことについて記事を書いたところ、少々昔が懐かしくなった。その後、偶然にも、ILOVEYOUウイルスワームの発見から20年を迎えた。さらに懐かしく、また記事を書いた。ここでやめる理由はないな、と私は考えた。ほかにやることがそんなにあるわけでもない。ならば続けよう!そこで、これより、Kasperskyにまつわる思い出話を、ほぼ思いつくままに順不同で書いていこうと思う…

まずは、巻き戻しボタンを押して(80年代のラジカセに付いている、あれだ)、1980年代末の終わりごろ、まだ「Kaspersky(カスペルスキー)」が私の名字にすぎなかった頃に戻ろう。

パート1―有史以前:1989年~1991年

私は以前から、1989年10月を、後に私の職業となるものへ本格的に最初の一歩を踏み入れたときだと考えている。コンピューターウイルスのCascade(Cascade.1704)がOlivetti M24(CGA、20M HDD)上の実行可能ファイルに入り込んでいるのを見つけ、それを駆除したのだ。

続きを読む:サイバーの あの日あの時 パート1:1989年~1991年

SOC 2監査を無事完了

昨年発表したとおり、Global Transparency Initiativeの取り組みの一環として、当社では第三者機関によるSOC 2監査を実施する計画を進めていた。そして、ついにこのたび、監査が成功裏に完了したことを発表できる運びとなった。簡単なことではなかった。多くの社員による多くの労力が求められた。しかし、いまやすべてが過去のものだ。皆がやり遂げたことを誇らしく思う。

続きを読む:SOC 2監査を無事完了

暗黒面のサイバー関連ニュース – サイバースペースの偽善、Miraiに気をつけろ、GCHQが見ている、BlueKeepを押さえ込め

やあ皆さん!

まずは嬉しいニュースから始めよう。

「最も多くテストされ、最も多く賞を獲得」– 今もなお。

先日、定評ある第三者評価機関AV-Comparativesが毎年恒例の調査結果を発表した。2018年末に実施されたこの調査は、世界各地の3,000人を対象に行われた。19ある質問項目のうち1つが、「主に使用しているPC向けマルウェア対策セキュリティ製品は?」というものだった。欧州、アジア、中南米で1位になったのは、どのブランドだろうか?そう、Kだ!北米では2位だった(一時的な現象に違いない)。欧州ではさらに、スマートフォンで最もよく使用されているセキュリティ製品に選ばれた。また個人向けでも法人向けセキュリティ製品としても、利用者からの製品テストの要望が多い企業のランキングで、当社がトップになった。素晴らしい!我々はテストを好んで受けるが、その理由がこれでお分かりだろう。なお、当社製品が受けた第三者評価機関によるテストやレビューについては、こちらに詳細を掲載している。

続きを読む:暗黒面のサイバー関連ニュース – サイバースペースの偽善、Miraiに気をつけろ、GCHQが見ている、BlueKeepを押さえ込め

あの豚が帰ってきた!

昔々、そのまた昔、我々にはペットの豚がいた。本物の豚ではない。名前もない。ただ、その叫び声が有名になった。Kaspersky Labの製品を初期の頃から使っている人は、何の話かピンときたことだろう。比較的最近使い始めた皆さんのために、事情をご説明しよう…

サイバー古代たる1990年代のこと、我々は自社のアンチウイルス製品に、ある機能を追加した。ウイルスを検知したとき、豚の悲鳴が上がるようにしたのだ!これは、賛否両論だった。

出典

やがて、どういうわけか、この豚の悲鳴は姿を消してしまった。奇しくも同時期に、タスクトレイに表示される「K」アイコンが、もっとモダンで分かりやすいシンボルに置き換わった。

さて、いくつかの企業には熱心なファンがいるが(当社の場合は公式ファンクラブがある)、当社も例外ではない。そのファンの多くが、「あの豚を返して!」「タスクバーの”K”はどこへ行ってしまったのか?」と何年にもわたり我々に訴えてきていた。

続きを読む:あの豚が帰ってきた!

自分の頭で考えるということ

企業に必要なのは、製品やサービスを販売する市場だけではない。リソースも必要だ。財務リソース、つまり資金。人的リソース、つまり社員。知的リソース、つまりビジネスのアイデアと、それを実現させる能力。そして一部の企業では(業界全体の場合もある)、また別のリソースが求められる。信用だ。

あなたが掃除機を買いたいと思っているとしよう。掃除機メーカーを信用している必要はあるだろうか。そうでもない。機能、見た目、品質、価格などを検討して、あなたが良いと思う掃除機を買えばいいだけの話だ。そこに信用はそれほど必要ない。

しかし、一部の業界、たとえば金融や医薬の業界では、信用が極めて重要な役割を果たしている。金融アドバイザーを信用していないのにそこのクライアントになったり、製薬会社を信用していないのにその会社の製品を買ったりするというのは考えにくい。あり得ないと言ってもいいかもしれない。そこで、金融アドバイザーや製薬会社は、顧客を獲得するために、自分たちが信用に値するということを証明していく必要があるのだ。

我々のビジネスであるサイバーセキュリティにおいても、信用は必須だ。必須というだけではなく、信用が成功を左右する。信用のないところに、サイバーセキュリティはない。そして一部の人々―今のところは「中傷者」とだけ言っておこうか―は、これをよく知っており、あらゆる手を使って、あらゆる理由を付けて、サイバーセキュリティの信用を破壊しようとする。

カスペルスキー製品の信頼性に傷をつけてやろうと企む輩がいれば、あなたも当社製品には何か問題があるのではないかと思うようになるかもしれない。しかし、製品の品質について言えば、私は何の心配もしていない。その理由は第三者機関によるテスト結果を見てもらえれば分かる。近年の変化は別のところにある。地政学的な問題が生じているのだ。我々はその真っただ中にいることを余儀なくされている。

プロパガンダ組織が立ち上がり、闇の策謀を我々に差し向けてきた。多くの人が、当社に関する根拠なき主張について読んだり聞いたりしたはずだ。こうした言説の起源の一端は、(検証不能な)「匿名の情報源」からの情報を引用するメディアの記事だった。そのような記事が出たのが、政治的な理由によるものなのか、何かの売上げを伸ばすための商売上の理由によるものなのかは分からないが、誤った非難を受け入れるわけにはいかない(他のいかなる不公正も許されないのと同じように)。だから我々は、向けられた主張の1つ1つに挑み、誤りを立証していく。私はここで意図的に、誤りを「立証する」という動詞を選んでいる(再確認しておきたい。我々を非難した人々の方は何も「立証」してはいないし、立証する必要もない。初めからやましいことは何もないのだから、立証できる事柄など存在しないのだ)。

ともかく、このような申し立ての最後の波が押し寄せてから約1年が経過したところで、私はこの件を自分自身で精査してみることにした。世界が我々をどう見ているのかを知り、そうした主張を目にした人々がそこからどのような影響を受けたのかを知るためだ。また、当社が事実を提示したことで、この問題について人々がどの程度まで自分の判断を下すことができたのかを見るためだ。

結果はというと…、人々が事実のみに基づいて判断すれば、喜ばしいことに、これら申し立てが通用することはなかった、と判明したのだ!OK、あなたの心の声に応えよう。「その証拠は?」

実にシンプルながら非常に価値のあるもの、それはGartner Peer Insightsだ。企業ユーザーたちの意見が収集され、そのプロセスをGartnerが詳しく調査して偏見、下心、釣りに相当する行為が存在しないこと確認している。要するに、重要な顧客から直接、透明性と信頼性の高い情報を入手できる。

昨年、お客様からのありがたいフィードバックのおかげで、Kaspersky Labは2017 Gartner Peer Insights Customer Choice for Endpoint Protection Platformsを獲得した。今年の結果はまだ発表されていないが、多くのお客様が当社製品の感想、全体的な評価、ポジティブなレビューを投稿しているのを見ることができる。このレビューを見ると、「レビュー生産工場」のようなところで報酬を得て書かれているものではないことが分かる。レビュアーは、さまざまな規模、業種、地域、力量の企業であることが確認されている。

そして地理的な問題についてだが、地域が違えば信用に対する考え方も異なることが分かった。

ドイツを例に取ろう。ドイツでは、企業の信用の問題が非常に真剣に受け止められている。それ故に、WirtschaftsWocheという雑誌が定期的に30万人を対象にして企業への信用度を調査し、結果を公表している。「ソフトウェア」カテゴリで(「アンチウイルス」や「サイバーセキュリティ」ではないことに注目してほしい)Kaspersky Labは第4位に付けている。当社への全体的な信用度は高く、地域を問わずほとんどの競合企業をしのぐ位置にいる。

我々は次に、政府が事実に基づいて企業を信用するか否かを判断するとどうなるかに目を向けた。例を挙げよう。11月の初めにベルギーのCentre for Cyber SecurityがKaspersky Labに関する事実を調査したが、当社に対する申し立ての根拠となるものは見つからなかった。その後ベルギーの首相が、当社製品が脅威であることを示す客観的な技術データ、まして第三者機関による調査などは存在しないとの発表を行った。個人的に付け加えさせていただく。理論的には当社製品が脅威となる場合がないとは言えないが、他のどんな国のどんな企業のどんなサイバーセキュリティ製品でも、事情は変わらない。なぜなら、理論上はどんな製品にも脆弱性はあるからだ。技術的な透明性を確保するための当社の取り組みを考えれば、他の製品と比べて当社製品が脅威となる可能性は少ない、というのが私の意見だ。

続きを読む:自分の頭で考えるということ

サイバー古生物学:複雑なサイバー脅威へのアプローチ

やあ、皆さん!

今回は、著名な思想家の哲学的な言葉をもじって、こんなフレーズから始めたいと思う。「人間の職業がその社会的存在を規定するのか、それとも人間の社会的存在がその職業を規定するのか?」この(というか元になった方の)疑問は、かれこれ150年以上もの間、熱い議論の的となっているようだ。そしてインターネットの発明と普及を経た現在、この論争はどう考えても、少なくともこれから150年後まで続きそうに見える。私個人としては、どちらかの側に賛意を表明するつもりはない。むしろ、(私個人の経験から)職業と存在は二元構造になっているという考えを支持したい。人間の職業と存在は、さまざまな形で、継続的に、相互に影響し合う関係にあるものだからだ。

1980年代が終わりへと向かいつつある頃、悪意あるプログラムが急増する状況に対応すべく、コンピューターウイルス学が生まれた。それから30年後、ウイルス学は進化(というよりむしろ、隣接領域と融合)してサイバーセキュリティ産業となり、それが現在、しばしば「ITの発展を決定づけている」。競争が避けられない条件の下では、最高の保護機能を備えた技術のみが生存競争を勝ち抜くのだ。

1980年代の終盤から30年の間、我々(アンチウイルス企業各社)は、さまざまな名前で呼ばれてきた。華やかな名前もあれば、愉快でない名前もあった。しかし近年、最も言い得ていると思うのは、私見ではあるが、一部で流行している「サイバー古生物学者」という呼び名だ。

確かに我が業界は、大規模感染に対抗する方法を身につけてきた。事前対策的に(近年、最大級の大規模感染であるWannacryExPetrから人々を保護したように)か、事後対応的(クラウドベースの脅威データ解析と迅速なアップデートを利用して)か、という違いはここでは重要ではない。しかし、標的型サイバー攻撃については、業界全体としてはまだなすべき課題が多く残っている。そうした攻撃に対抗できるだけの技術的な成熟度とリソースを持っている企業はごく少数だ。さらに、本拠地や活動の動機を問わず、すべてのサイバー犯罪者を摘発するという揺るがない意志を持つ企業という条件を加えると、残るのは1社だけだ。そう、我が社だ!(それで思い出すのはナポレオン・ヒルがかつて言った「成功のはしごのてっぺんはいつも人が少ない」という言葉だ。)いずれにしても、当社が他社を引き離して単独で(はしごのてっぺんに)いるのは不思議なことではない。文字どおりあらゆるサイバー犯罪者を摘発しようという揺るがない意志を持ち続けるには、持ち続けない場合よりもはるかに多額のコストがかかるからだ。さらに、昨今の地政学的な混乱に鑑みても、そうした意志を持ち続けることははるかに厄介なことだ。だが、それが正しい行いであることは当社の経験が示している。ここからも、そうであることを確認いただける。

サイバースパイ活動というものは、実に多くの時間とコストを要し、ハイテクを駆使する複雑なプロジェクトだ。当然ながら、そうした活動の首謀者は摘発されれば大いに気分を害するだろうし、そうした首謀者の多くはメディアの操作によりさまざまな手段を用いて「望ましくない」開発元を排除しようと考える。また同様に、このように考える人もいる。

https://twitter.com/malwrhunterteam/status/1029276290900262913

話が脱線したようだ…

さて、そうしたサイバースパイ活動は、何年にもわたって検知されないままであることもある。首謀者は投資したものツールセットに十分な注意を払うからだ。たとえば、少数の厳選した標的のみを攻撃する(不特定多数に向けた攻撃は検知されやすいので行わない)、広く使用されている市販のサイバーセキュリティ製品全部でテストする、必要とあればすぐに戦術を変える、というように。多く標的型攻撃が検知されているが、それも氷山の一角に過ぎないことは想像に難くない。そして、そうした攻撃をあばく上で本当の意味で効果的な手段はただ一つ、サイバー古生物学の手法だ。具体的には、長期にわたり丹念にデータを収集して「全体像」を把握すること、他社のエキスパートと協力すること、異常を検知して分析すること、その上で保護技術を開発することだ。

続きを読む:サイバー古生物学:複雑なサイバー脅威へのアプローチ

対特許トロール戦、始まりの終わり

めったにないことだが、今年の8月と9月の大半は「在宅勤務」を強いられた。世界各地への移動、通勤、仕事、取材、講演、その他諸々の仕事の雑事とは無縁の生活に、かなり時間を持て余してしまった。そこで、読んだ。相当読んだ。いつものように悪いニュースは盛りだくさんだったが、時には大変良いニュースもあった。特に、特許トロールとの戦いの最前線からは良い素晴らしいニュースが飛び込んできた。US5490216の特許侵害にあたるとしてUnilocが当社を相手取って起こした訴訟を、テキサス州連邦地方裁判所が退けたのだ。これは悪名高き特許で、2000年台初頭からIT企業を震撼させ、何年にもわたって数々の特許弁護士を立たせ、160社(!)以上の企業に情け容赦なく散財させてきた。かのMicrosoftやGoogleもしかりだ。

だが、素晴らしきニュースはこれで終わりではないのだ、諸君!…

IT業界一丸の取り組みにより、地獄のIT特許の無効化は確定した。だが、祝杯がふさわしいのは今回の無効化にとどまらない。この無効化が米国特許制度の本格的な(遅ればせながらではあるが)変化の兆しである事実もまた、シャンパンをあおるに値する。確かに、当面は「ゆっくり着実に」といったところだが、ゆっくりでも何も変わらないよりはましだ。その変化が世界的に重要な意味を持つなら、なおさらだ。IT業界は、ついに、テクノロジーの発展を搾取する妨げるだけの特許寄生虫どもを駆除できるようになった。

ボールはただ転がりはじめたのではない。斜面を猛スピードで下っている。実用化されることがなく、類似するテクノロジーの開発者から「搾り取る」ための手段でしかないこともある、抽象的なことや時にはあからさまに分かりきったことを書き連ねたいんちき特許(下品な言葉をお許しあれ)の所有者による迫害から守られ、開発者は自由になりつつある。

要するに、特許’216をめぐる話はスリラー小説のようなものだ。そこで、スリルを求める皆さんのために今一度語ろうと考えた次第だ。さあ、コーヒーでも淹れて(ポップコーンがあればなお良し)リラックスしていただきたい。特許に寄生する者にとっては平常心で読めないストーリーだ…

続きを読む:対特許トロール戦、始まりの終わり

普通なら耳にすることもない機能(2018年版):KFPで銀行口座を守れ!

着るものを選ぶときに私が唯一重視するのは、機能性だ。きれいな包装だとか、デザイナーズブランドだとか、見た目のステータスなど、私にはまったくどうでもよい。車も同じだ。A地点からB地点へ、時間に間に合うように、安全に、まあまあの快適さで(エアコンがついている、など)、連れて行ってくれればいい。大事なのはそれだけだ。

「重要でないものは無視する」という原則は、サイバーセキュリティ製品を選ぶときにも適用されるべきだ。保護機能そのものには関係のない「その他もろもろ」(販促品や宣伝文句)に惑わされてはならないはずなのだが、多くの人はそこにつられている。第三者機関による徹底した検証では、新しく魅力的な「次世代アンチウイルス」製品の中身がフェイクの人工知能流用されたウイルス検知機能、そして抜け穴だらけの「保護機能」であることが明らかになった。別の言い方をすると、気休め程度のものにすぎない。信頼できないセキュリティ対策を担ぎ上げる派手なマーケティングの犠牲にならないためには、自分でその中身を確かめて、何がどのように機能しているのかを見る必要がある。

とはいえ、サイバーセキュリティ製品の技術文書を熟読して理解するだけの十分な時間、忍耐力、技術的知識を誰もが持っているわけではない。たとえそれができたとしても、製品の開発者側が、専門用語だらけの文書の中に作り話をちりばめている可能性がないわけではない。

我々に関しては、その逆だ。我々は自らの技術に誇りを持っており、技術的な詳細情報を(何も盛らずに)一般に公開しているし、適切に説明されていれば誰でも内容を理解できると考えている。言ってみれば、当社は世界で最も透明性の高いサイバーセキュリティ企業なのだ。検証用にソースコードを公開する用意もある。

それだけではない。当社技術の一端を探しやすい場所で分かりやすく示すために、このブログ『Nota Bene』では、当社の複雑なテクノロジーの重要ポイント(普通なら耳にすることもない、よくあるマニア向け技術文書でもあまりお目に掛からないような、複雑な技術的詳細)を、できるだけかみ砕いて説明する記事を折に触れ投稿してきた。そうした機能の大部分は、表には見えないが当社のサイバー保護製品の根幹を成している。こういった記事には「テクノロジー」というタグを付けてある。

前置きはこのくらいにしよう。今日のテーマは、顧客の口座がハッキングされていることを銀行がどのように知るか、だ。

ある日銀行から、こんな文言で始まるメッセージを受け取ったと想像してみてほしい。「お客様の口座で不審なアクティビティが検出されました…」。あなたはまず、過去数日間の行動を思い返してみるだろう。どこにいたのか、どこで現金を引き出したか、それはいくらだったか、お店やカフェ、もしくはオンラインで何か支払いをしたか。

私ならこんな感じだ。(1)ノルウェーのスヴァールバル、ロングイェールビーンのATMでノルウェークローネを引き出した、(2)ノルウェーのオスロ空港ステーキとビールサラダとミネラルウォーターを購入した、(3)オランダ、アムステルダムのスキポール空港で連れ合いにプレゼントを買い、自分用にまたサラダとミネラルウォーターを購入した、(4)アゾレス諸島近辺のどこかで、飛行機内でのインターネット使用料金を支払った、(5)パナマのトクメン空港バルボアをいくらか引き出した、(6)パナマ市からそう遠くない村で大人数分の夕食代を支払った。これは全部、わずか1日でのことだ。

この一連のクレジットカード取引は、銀行側からすれば、確かに疑わしく見えるかもしれない(このカードの登録先は先ほど挙げたどの国でもない)。地球の最北にある街から1日が始まり、しばらくしたらヨーロッパの都市で高額な免税品を買い、夕方にはパナマに着いて夕食代を支払う、こんなルートで移動した人がかつていただろうか。

疑念はもっともだが、現実問題として銀行は、数百万人もいる顧客の行動を追跡するわけにはいかない。そんなことをしたらどれほどの行員が必要になることか。そんなことをする代わりに、銀行はスマートな自動システム(たとえばKaspersky Fraud Preventionのような)を備えていて、詐欺を高い精度で自動認識している(リンク先は英語記事)。では、Kaspersky Fraud PreventionことKFPの中身をのぞいて、どのようにあなたの預金が守られているか見てみよう。

銀行の顧客は、それぞれに個別の行動モデルを有している。具体的には、利用するデバイス(コンピューター、スマートフォン、タブレット)とアカウント、使用する銀行サービス(インターネットバンキングなど)、そしてそれら要素が相互に関わる際のルールが含まれる数学的なグラフだ。このモデルは、インターネットとモバイルバンキングを使う顧客の特定の行動に関する、匿名化された収集データに基づいて構築されている。重要なことだが、このシステムは具体的な取引そのもの、扱われた金額の合計、請求書の詳細情報、名前などの情報は対象としていない。取引の秘密は秘密のまま保たれている。脅威の算出は、技術的なメタデータと、匿名化された行動の分析のみに基づいて実施される。

このような取り組みにより、さまざまな種類のサイバー詐欺を自動検知可能となっているのだ。

事例1:X氏は自宅のコンピューターでインターネットバンキングのアプリケーションを使用している。本人確認には銀行からもらったUSBトークンが必要だ。しかしある日のこと、悪意あるトロイの木馬が潜り込み(USBポートにトークンを差し込んだままにしていたのだ)、X氏の口座からこっそり送金を始めた。しかし銀行の詐欺対策システムにとっては「こっそり」ではなかった。このシステムは異常な動作をすぐに検知してブロックし、銀行のセキュリティ部門に通知した。

KFPの制御パネル

続きを読む:普通なら耳にすることもない機能(2018年版):KFPで銀行口座を守れ!