サイバー古生物学:複雑なサイバー脅威へのアプローチ

やあ、皆さん!

今回は、著名な思想家の哲学的な言葉をもじって、こんなフレーズから始めたいと思う。「人間の職業がその社会的存在を規定するのか、それとも人間の社会的存在がその職業を規定するのか?」この(というか元になった方の)疑問は、かれこれ150年以上もの間、熱い議論の的となっているようだ。そしてインターネットの発明と普及を経た現在、この論争はどう考えても、少なくともこれから150年後まで続きそうに見える。私個人としては、どちらかの側に賛意を表明するつもりはない。むしろ、(私個人の経験から)職業と存在は二元構造になっているという考えを支持したい。人間の職業と存在は、さまざまな形で、継続的に、相互に影響し合う関係にあるものだからだ。

1980年代が終わりへと向かいつつある頃、悪意あるプログラムが急増する状況に対応すべく、コンピューターウイルス学が生まれた。それから30年後、ウイルス学は進化(というよりむしろ、隣接領域と融合)してサイバーセキュリティ産業となり、それが現在、しばしば「ITの発展を決定づけている」。競争が避けられない条件の下では、最高の保護機能を備えた技術のみが生存競争を勝ち抜くのだ。

1980年代の終盤から30年の間、我々(アンチウイルス企業各社)は、さまざまな名前で呼ばれてきた。華やかな名前もあれば、愉快でない名前もあった。しかし近年、最も言い得ていると思うのは、私見ではあるが、一部で流行している「サイバー古生物学者」という呼び名だ。

確かに我が業界は、大規模感染に対抗する方法を身につけてきた。事前対策的に(近年、最大級の大規模感染であるWannacryExPetrから人々を保護したように)か、事後対応的(クラウドベースの脅威データ解析と迅速なアップデートを利用して)か、という違いはここでは重要ではない。しかし、標的型サイバー攻撃については、業界全体としてはまだなすべき課題が多く残っている。そうした攻撃に対抗できるだけの技術的な成熟度とリソースを持っている企業はごく少数だ。さらに、本拠地や活動の動機を問わず、すべてのサイバー犯罪者を摘発するという揺るがない意志を持つ企業という条件を加えると、残るのは1社だけだ。そう、我が社だ!(それで思い出すのはナポレオン・ヒルがかつて言った「成功のはしごのてっぺんはいつも人が少ない」という言葉だ。)いずれにしても、当社が他社を引き離して単独で(はしごのてっぺんに)いるのは不思議なことではない。文字どおりあらゆるサイバー犯罪者を摘発しようという揺るがない意志を持ち続けるには、持ち続けない場合よりもはるかに多額のコストがかかるからだ。さらに、昨今の地政学的な混乱に鑑みても、そうした意志を持ち続けることははるかに厄介なことだ。だが、それが正しい行いであることは当社の経験が示している。ここからも、そうであることを確認いただける。

サイバースパイ活動というものは、実に多くの時間とコストを要し、ハイテクを駆使する複雑なプロジェクトだ。当然ながら、そうした活動の首謀者は摘発されれば大いに気分を害するだろうし、そうした首謀者の多くはメディアの操作によりさまざまな手段を用いて「望ましくない」開発元を排除しようと考える。また同様に、このように考える人もいる。

https://twitter.com/malwrhunterteam/status/1029276290900262913

話が脱線したようだ…

さて、そうしたサイバースパイ活動は、何年にもわたって検知されないままであることもある。首謀者は投資したものツールセットに十分な注意を払うからだ。たとえば、少数の厳選した標的のみを攻撃する(不特定多数に向けた攻撃は検知されやすいので行わない)、広く使用されている市販のサイバーセキュリティ製品全部でテストする、必要とあればすぐに戦術を変える、というように。多く標的型攻撃が検知されているが、それも氷山の一角に過ぎないことは想像に難くない。そして、そうした攻撃をあばく上で本当の意味で効果的な手段はただ一つ、サイバー古生物学の手法だ。具体的には、長期にわたり丹念にデータを収集して「全体像」を把握すること、他社のエキスパートと協力すること、異常を検知して分析すること、その上で保護技術を開発することだ。

続きを読む:サイバー古生物学:複雑なサイバー脅威へのアプローチ

対特許トロール戦、始まりの終わり

めったにないことだが、今年の8月と9月の大半は「在宅勤務」を強いられた。世界各地への移動、通勤、仕事、取材、講演、その他諸々の仕事の雑事とは無縁の生活に、かなり時間を持て余してしまった。そこで、読んだ。相当読んだ。いつものように悪いニュースは盛りだくさんだったが、時には大変良いニュースもあった。特に、特許トロールとの戦いの最前線からは良い素晴らしいニュースが飛び込んできた。US5490216の特許侵害にあたるとしてUnilocが当社を相手取って起こした訴訟を、テキサス州連邦地方裁判所が退けたのだ。これは悪名高き特許で、2000年台初頭からIT企業を震撼させ、何年にもわたって数々の特許弁護士を立たせ、160社(!)以上の企業に情け容赦なく散財させてきた。かのMicrosoftやGoogleもしかりだ。

だが、素晴らしきニュースはこれで終わりではないのだ、諸君!…

IT業界一丸の取り組みにより、地獄のIT特許の無効化は確定した。だが、祝杯がふさわしいのは今回の無効化にとどまらない。この無効化が米国特許制度の本格的な(遅ればせながらではあるが)変化の兆しである事実もまた、シャンパンをあおるに値する。確かに、当面は「ゆっくり着実に」といったところだが、ゆっくりでも何も変わらないよりはましだ。その変化が世界的に重要な意味を持つなら、なおさらだ。IT業界は、ついに、テクノロジーの発展を搾取する妨げるだけの特許寄生虫どもを駆除できるようになった。

ボールはただ転がりはじめたのではない。斜面を猛スピードで下っている。実用化されることがなく、類似するテクノロジーの開発者から「搾り取る」ための手段でしかないこともある、抽象的なことや時にはあからさまに分かりきったことを書き連ねたいんちき特許(下品な言葉をお許しあれ)の所有者による迫害から守られ、開発者は自由になりつつある。

要するに、特許’216をめぐる話はスリラー小説のようなものだ。そこで、スリルを求める皆さんのために今一度語ろうと考えた次第だ。さあ、コーヒーでも淹れて(ポップコーンがあればなお良し)リラックスしていただきたい。特許に寄生する者にとっては平常心で読めないストーリーだ…

続きを読む:対特許トロール戦、始まりの終わり

Flickr

  • K Christmas Party 2020
  • K Christmas Party 2020
  • K Christmas Party 2020
  • K Christmas Party 2020

Instagram Photostream

普通なら耳にすることもない機能(2018年版):KFPで銀行口座を守れ!

着るものを選ぶときに私が唯一重視するのは、機能性だ。きれいな包装だとか、デザイナーズブランドだとか、見た目のステータスなど、私にはまったくどうでもよい。車も同じだ。A地点からB地点へ、時間に間に合うように、安全に、まあまあの快適さで(エアコンがついている、など)、連れて行ってくれればいい。大事なのはそれだけだ。

「重要でないものは無視する」という原則は、サイバーセキュリティ製品を選ぶときにも適用されるべきだ。保護機能そのものには関係のない「その他もろもろ」(販促品や宣伝文句)に惑わされてはならないはずなのだが、多くの人はそこにつられている。第三者機関による徹底した検証では、新しく魅力的な「次世代アンチウイルス」製品の中身がフェイクの人工知能流用されたウイルス検知機能、そして抜け穴だらけの「保護機能」であることが明らかになった。別の言い方をすると、気休め程度のものにすぎない。信頼できないセキュリティ対策を担ぎ上げる派手なマーケティングの犠牲にならないためには、自分でその中身を確かめて、何がどのように機能しているのかを見る必要がある。

とはいえ、サイバーセキュリティ製品の技術文書を熟読して理解するだけの十分な時間、忍耐力、技術的知識を誰もが持っているわけではない。たとえそれができたとしても、製品の開発者側が、専門用語だらけの文書の中に作り話をちりばめている可能性がないわけではない。

我々に関しては、その逆だ。我々は自らの技術に誇りを持っており、技術的な詳細情報を(何も盛らずに)一般に公開しているし、適切に説明されていれば誰でも内容を理解できると考えている。言ってみれば、当社は世界で最も透明性の高いサイバーセキュリティ企業なのだ。検証用にソースコードを公開する用意もある。

それだけではない。当社技術の一端を探しやすい場所で分かりやすく示すために、このブログ『Nota Bene』では、当社の複雑なテクノロジーの重要ポイント(普通なら耳にすることもない、よくあるマニア向け技術文書でもあまりお目に掛からないような、複雑な技術的詳細)を、できるだけかみ砕いて説明する記事を折に触れ投稿してきた。そうした機能の大部分は、表には見えないが当社のサイバー保護製品の根幹を成している。こういった記事には「テクノロジー」というタグを付けてある。

前置きはこのくらいにしよう。今日のテーマは、顧客の口座がハッキングされていることを銀行がどのように知るか、だ。

ある日銀行から、こんな文言で始まるメッセージを受け取ったと想像してみてほしい。「お客様の口座で不審なアクティビティが検出されました…」。あなたはまず、過去数日間の行動を思い返してみるだろう。どこにいたのか、どこで現金を引き出したか、それはいくらだったか、お店やカフェ、もしくはオンラインで何か支払いをしたか。

私ならこんな感じだ。(1)ノルウェーのスヴァールバル、ロングイェールビーンのATMでノルウェークローネを引き出した、(2)ノルウェーのオスロ空港ステーキとビールサラダとミネラルウォーターを購入した、(3)オランダ、アムステルダムのスキポール空港で連れ合いにプレゼントを買い、自分用にまたサラダとミネラルウォーターを購入した、(4)アゾレス諸島近辺のどこかで、飛行機内でのインターネット使用料金を支払った、(5)パナマのトクメン空港バルボアをいくらか引き出した、(6)パナマ市からそう遠くない村で大人数分の夕食代を支払った。これは全部、わずか1日でのことだ。

この一連のクレジットカード取引は、銀行側からすれば、確かに疑わしく見えるかもしれない(このカードの登録先は先ほど挙げたどの国でもない)。地球の最北にある街から1日が始まり、しばらくしたらヨーロッパの都市で高額な免税品を買い、夕方にはパナマに着いて夕食代を支払う、こんなルートで移動した人がかつていただろうか。

疑念はもっともだが、現実問題として銀行は、数百万人もいる顧客の行動を追跡するわけにはいかない。そんなことをしたらどれほどの行員が必要になることか。そんなことをする代わりに、銀行はスマートな自動システム(たとえばKaspersky Fraud Preventionのような)を備えていて、詐欺を高い精度で自動認識している(リンク先は英語記事)。では、Kaspersky Fraud PreventionことKFPの中身をのぞいて、どのようにあなたの預金が守られているか見てみよう。

銀行の顧客は、それぞれに個別の行動モデルを有している。具体的には、利用するデバイス(コンピューター、スマートフォン、タブレット)とアカウント、使用する銀行サービス(インターネットバンキングなど)、そしてそれら要素が相互に関わる際のルールが含まれる数学的なグラフだ。このモデルは、インターネットとモバイルバンキングを使う顧客の特定の行動に関する、匿名化された収集データに基づいて構築されている。重要なことだが、このシステムは具体的な取引そのもの、扱われた金額の合計、請求書の詳細情報、名前などの情報は対象としていない。取引の秘密は秘密のまま保たれている。脅威の算出は、技術的なメタデータと、匿名化された行動の分析のみに基づいて実施される。

このような取り組みにより、さまざまな種類のサイバー詐欺を自動検知可能となっているのだ。

事例1:X氏は自宅のコンピューターでインターネットバンキングのアプリケーションを使用している。本人確認には銀行からもらったUSBトークンが必要だ。しかしある日のこと、悪意あるトロイの木馬が潜り込み(USBポートにトークンを差し込んだままにしていたのだ)、X氏の口座からこっそり送金を始めた。しかし銀行の詐欺対策システムにとっては「こっそり」ではなかった。このシステムは異常な動作をすぐに検知してブロックし、銀行のセキュリティ部門に通知した。

KFPの制御パネル

続きを読む:普通なら耳にすることもない機能(2018年版):KFPで銀行口座を守れ!

そこにあるのは暗号通貨の地雷原

21世紀のバズワード。次々に現れ、あるものは消え、あるものは定着する。消えたものといえば「シナジー」だ。ご記憶だろうか。15年ほど前、ビジネスプレゼンテーションでやたらと使われていた(ただし、私のプレゼンは除く!)。「2000年問題」という言葉もあった。なんと、あれからもう18年も経ったのか(笑)。これも来たりて去りし言葉だ(から騒ぎだったことがわかった後で)。定着した言葉の例というと…ふむ…「レバレッジ」、「ウェルネス」、「プロアクティブ」、「パラダイム」…挙げればきりがないが、話が脱線しつつあるようだ。

閑話休題。今回取り上げようとしていた本来のテーマに戻ろう…技術に関するバズワードについてだ。皆さんの頭にはどの言葉が浮かぶだろうか?人工知能ビッグデータモノのインターネット量子コンピューティング?それとも、今一番アツい暗号通貨とビットコインだろうか?ちなみに、Googleによるとこれらの言葉は上位の人気キーワードでもあるらしい。

何もバズワードのすべてが、くだらない、ナンセンス、マーケティングの誇大宣伝、投資家や消費者を欺くもの…あるいは詭弁(英語で「ソフィストリー」。これもバズワードか?確かにそれっぽくはある、…笑)というわけではない。ブロックチェーンという言葉がいい例だ。たとえば当社のビジネスインキュベーターは、それぞれのニッチ分野で世界を改善するブロックチェーンのいくつかのアイデアに投資している。

ビットコインは買うだけでなく売るものでもある

しかし今回言いたいのはそのことではない。暗号通貨が世界のサイバーセキュリティに与える影響と、お客様が新しい脅威から身を守るために当社がどのようにお手伝いするのかについて、私の考えをお伝えしたい。また、未来の無料インターネットサービスやソフトウェアの収益化方法についても、少しばかり想像を巡らせてみたい。

続きを読む:そこにあるのは暗号通貨の地雷原

誇りを持ってお客様をお守りする:米国メディア報道の誤解について

皆さんは最近のKaspersky Labに対する容赦のないネガティブな報道をご存じだろうか。直近のものは、ロシアのハッカーとされる人々とクレムリンの見えざる手が何らかの方法で当社製品を利用し、米国のユーザーをスパイし、彼らの秘密を盗み出したとして非難している。

続きを読む:誇りを持ってお客様をお守りする:米国メディア報道の誤解について

悪意を積極的に検知するということ

ここ数年、我々に関するさまざまな記事が米国メディアによって書かれてきた。先週木曜日のWall Street Journalの記事は、当初、一連の陰謀めいた中傷の延長線上にあるものと見えた。匿名の情報筋によると、ロシア政府の支援を受けたハッカーが数年前、弊社製品へのハッキングによる支援を得てNSA職員の自宅コンピューターから機密文書を盗み出した、という内容だ。なお、本件に対する公式回答はこちらにある

しかし、クレムリンの後押しを受けたとされるハッカーについて述べた当該記事を一皮めくれば、まったく異なる、真実味のある、考え得るシナリオが浮かび上がる。当記事が指摘するように、我々は「マルウェアとの戦いにおいて積極的」なのだ。

では、当該記事をじっくり見ていきたい。

続きを読む:悪意を積極的に検知するということ

誇りを持って積極的にお客様をお守りする

またしてもセンセーショナルな報道が世に出た。特定の諜報機関が、とある契約社員の自宅コンピューターを通じて別の諜報機関の機密情報に手をかけるのを、Kaspersky Labが支援したとしている。同記事においては、このほかにも、我々が新種マルウェアを追求する手段が非常に「積極的」だとの糾弾もなされている。

一つめの主張はC級映画の脚本さながらで、またしても匿名の情報筋によって明らかになっている(驚いた)。これについては、公式声明以外にコメントしようがない。

しかし、当社によるマルウェアの追求が積極的だという二つめの主張に関しては大いに賛同する。我々は、マルウェアの出所がどこであれ、確実そして積極的に、マルウェアの検知と駆除を行う。20年間、誇りを持ってそうしてきた。これこそが、独立した第三者評価機関によるマルウェア検知テストの数々でトップクラスの評価を受け続けてきた所以だ。マルウェアとサイバー犯罪に積極的に取り組むのは当然のこと、それ以外にない。以上。

お客様を保護する際には、当社以外のサイバーセキュリティベンダーと同様に、コンピューターの健康状態をチェックする。X線検査のようなものだ。セキュリティ製品は、問題を特定するためにほとんどのものを見ることができるが、見たものを特定のユーザーと紐付けることはできない。お客様をサイバー脅威から保護するにあたり、我々が何をして、何をしないのか、もう少し詳しく述べさせていただきたく思う。

続きを読む:誇りを持って積極的にお客様をお守りする

変動する地政学的な地雷原を行く5年

※本記事は、2017914日付けのForbes寄稿記事の転載です

「暗い部屋で黒い猫を見つけるのはとても難しい。猫がいない場合は特にそうだ」
– 古代の金言(一般に孔子の言葉だと言われている)

5年ほど前から、Kaspersky Labは少数メディアによる集中砲火を浴びてきた。これらの不当な報道では、当社が政府機関との間に倫理に反するひそかなつながりを持っている、当社が米国の国家安全保障にとって脅威となりうる、当社の米国事業はうまく行っていない、などとされている。5年にわたる調査報道、臆測、伝聞、噂、公開データの操作匿名情報提供者からの情報、陰謀論、そして作り事だ。5年経った今、どれほどの証拠と具体的な事実が見つかっただろうか?ただの1つもなし、ゼロ、無だ!

政治がニュースを利用して事実を作っても誰も得をしない

そして残念なことに先日、米国政府機関から連邦機関の民生部門に対し、当社製品の使用を停止せよとの指令が発せられた。幸いなのは、当社の北米事業において米国政府機関に対する売上が大きな割合を占めていないことだろう。よって、残念であるものの、我々としては今後も主たる顧客基盤である法人および個人の顧客を保護することに注力していく所存だ。

なぜこのような事態になっているのか、という疑問をお持ちだろうか。

これまで繰り返し述べてきたように、前述のような偽りの報道を裏付ける証拠はない。Kaspersky Labはいかなる政府とも不適切なつながりを持っていないからだ。

https://twitter.com/x0rz/status/904810308539166725

ある意味では、それほどの長期にわたる綿密な調査が行われてもなお、何ら不都合な事実が見つかっておらず、かえって透明性に向けての当社の真摯な取り組みが裏付けられていることを感謝している。当社の顧客やパートナーは直接に承知していることだが、透明性と信頼は20年の実績を持つ当社の事業の要であり、この基本原則は今後も、どのような地政学的な緊張や不正確な報道があろうとも、変わることはない。

地政学的な議論に真実は必要ない。何の証拠もなくとも最初から非難すべき標的は決まっているのだ

続きを読む:変動する地政学的な地雷原を行く5年

Kaspersky Free:世界を守る

やあ、皆さん!

お知らせしたいことがある。我々は、Kaspersky Freeという製品をリリースする。名称からお察しのとおり、無償のアンチウイルス製品だ。

この製品のリリースには、1年半かけて取り組んできた。いくつかの地域でパイロット版を展開し、調査、分析、マイナーチェンジ諸々を実施する中から、我々は以下の推論を導き出した。

  • この無償版アンチウイルス製品は、当社の既存の有償版製品とは競合しない。有償版には、ペアレンタルコントロールネット決済保護、セキュアコネクション(VPN)といった、無償版にはない、価格に見合ったプレミアム機能が搭載されている。
  • 高機能の製品にお金をかけられない人は多く存在する。そういう人たちは、昔ながらのフリーソフトウェア(マルウェアがすり抜け可能な穴を多く抱えているものだ)を使っているか、Windows Defender(!)に頼っている。
  • Kaspersky Freeのインストール数が増えれば、全ユーザーの保護のクオリティにポジティブな影響が見込める。ビッグデータの力による機械学習に磨きがかかるためだ。

これら3点から、Kaspersky Labの無償版製品を早急に全世界へ展開するべきとの結論に至った。

続きを読む:Kaspersky Free:世界を守る

独占禁止法をめぐる最新情報

※元の英語記事は2017年5月2日に公開されました。
※2017年6月2日更新:アンチウイルス製品の通知表示期間に関する表現を編集しました。

昨年の秋、Kaspersky Labは独占禁止法に抵触するとして、ロシアの公正取引委員会に相当する連邦独占禁止庁にMicrosoftに対する訴状を提出した。

長らく報道されず沈黙が続いているが、事態はゆっくりではあるものの着実に進展している。なお、欧州委員会への申し立てに関する不正確な記事が流れているが、無視してほしい。これはドイツで取材を受けたものだが、いくつかの事実が正しく伝わらなかったようだ。通訳の過程で伝わるべきものが伝わらなかったのかもしれない。欧州委員会への苦情申し立てを「一時的に」取り下げる予定は一切ない。

いずれにせよ、よく言うように、記事を読むよりも当の本人から直接聞いた方が間違いない。今回の件について、倫理および法的規範に反しない範囲で現在共有できる真実と確定事項、今後の予定をお伝えしたい。

では、早速始めよう…。

Microsoftは独占禁止法対策として、2方向からのアプローチをとった。1つは公式に否定すること、もう1つは具体的かつ現実的な措置を講じることだ

まず、予想通り、Microsoftは当社の申し立てに異議を唱えてきた。「そのような状況を作り出してはいない」「違反していない」に加えて「独占していない」と述べている。しかし、事実は変えようがなく、Microsoftは公式に否定しつつも事態の収拾に向けていくつか重要な対策を講じた。どうやら当社の行動が何らかの形でMicrosoftを動かしたように見える。もちろん、やるべきことは多々残っているが、消費者が最適なサイバーセキュリティ製品を選択する機会が保証されたという意味で、少なからず好調なスタートを切ったといえる。

Microsoftは、2方向からのアプローチをとったようだ。1つは公式に否定すること(当然だ)、もう1つはユーザーと独立系ソフトウェア開発者の双方に歩み寄るための具体的かつ現実的な措置(ささやかではあるが)を講じることだ。

公式否定はさておき、この記事ではMicrosoftが実施した「現実的な措置」について少し紹介したい。注目すべき例を3つ取り上げよう。

1Windows Defenderの[PCの状態]ページにおける警告メッセージ

Microsoftに対する申し立ての1つは、Windows Defenderの[PCの状態]ページに誤解を招く表現(下図、英語版のスクリーンショット。以降、スクリーンショットはすべて英語版のもの)があることだ。

ありがたいことに、Microsoftはこれまで表示していたページを最近のアップデートで変更し、わかりにくくて誤解を招く表現を改めている。

続きを読む:独占禁止法をめぐる最新情報