タグのアーカイブ: サイバー戦争

自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

およそ4年前、サイバーセキュリティは地政学的チェスゲームの駒の一つとなった。さまざまな国のさまざまな政治家が、敵対的サイバー諜報活動についてお互いに指を突きつけ合い、非難の応酬をしている。一方で同時に—見たところ皮肉でも何でもなく—自国の攻撃的サイバー兵器ツールを拡大しつつある。地政学的な偽り激しい砲火を浴びるのは、この非常に危険で愚かなふるまいを明らかにする能力と、そして度胸を持ち合わせる、独立した個々のサイバーセキュリティ企業だ。

しかし、なぜだろうか?単純な話だ。

第1に、「サイバー」という言葉は、世に出たそのときからクール/ロマンティック/SF/ハリウッド/魅力的な言葉であり、今もそれは変わらない。それに、売れる—製品の観点だけでなく報道の意味合いでも。これは人口に(政治家の口も含め)膾炙した言葉だ。そしてその格好良さと人気故に、人の注意をそらす必要がある際に(よくあることだ)、重宝する。

第2に、「サイバー」は実に専門的だ。多くの人は理解していない。その結果、サイバーと何かしら関連するものを扱うとき、より多くのクリックを常に求めるメディアは、真実だとは言えないこと(または完全に誤ったこと)を提示することができるのだが、それに気付く読者はほとんどいない。そうしたわけで、これこれの国のハッカーグループがこれこれの厄介な、または犠牲の大きい、あるいは損害をもたらす、もしくはとんでもないサイバー攻撃に関わっている、と述べ立てるニュースが大量に生み出されている。しかし、これらを信じてよいものだろうか?

我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。

一般的に、何を信じるべきか見分けるのは難しい。だとすると、サイバー攻撃を正確に行為者と関連付けることは実際のところ可能なのだろうか。

この問いへの回答は2つの部分からなる。

技術的な観点から言うと、サイバー攻撃は独自の特徴を多数有するが、公平なシステム解析では「この攻撃はどの程度、この(あの)ハッカーグループの活動のように見えるか」を判断するところまでしか行くことができない。

しかし、そのハッカーグループがMilitary Intelligence Sub-Unit 233に属する可能性があるだとか、またはNational Advanced Defense Research Projects GroupあるいはJoint Strategic Capabilities and Threat Reduction Taskforceに属するものかもしれない(Google検索の手間を省くため追記すると、すべて架空の組織だ)、というのは政治的な問題であって、事実の操作が行われる可能性は100%に近づく。アトリビューション(攻撃を攻撃主体と関連付けること)は、技術的で証拠に基づいた正確なものから…何というか、占いレベルになってしまう。したがって、その部分は報道にお任せする。我々はそこへは踏み込まない。

攻撃者の身元を知れば、対抗しやすくなる。業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

このように、当社は政治的なアトリビューションを避けている。我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。その面にかけては誰にも引けを取らない、と私から申し添えたい。我々は大規模なハッカーグループとその動向を詳しく注視しており(その数は600を超える)、彼らの関係性にはまったく注意を払っていない。泥棒は泥棒であって牢獄へ入るべきだ。そして、私がこのゲームを始めてから30年以上にわたり、デジタルの不正行為に関する多大なるデータを休みなく収拾し続けてきて、ついに今、我々が得てきたものを、良き形で外部へシェアするときがやってきたと感じている。

先日、我々はサイバーセキュリティのエキスパート向けに新たなサービスを提供開始した。その名を「Kaspersky Threat Attribution Engine」と言う。疑わしいファイルを解析し、このサイバー攻撃がどのハッカーグループによるものかを判断するサービスだ。攻撃者の身元を知れば、対抗しやすくなる。確かな情報に基づいた対策が可能となるのだ。判断を下し、アクションプランを描き、優先度を設定し、業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

Kaspersky Threat Attribution EngineのインターフェイスKaspersky Threat Attribution Engineのインターフェイス

続きを読む:自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

サイバー古生物学:複雑なサイバー脅威へのアプローチ

やあ、皆さん!

今回は、著名な思想家の哲学的な言葉をもじって、こんなフレーズから始めたいと思う。「人間の職業がその社会的存在を規定するのか、それとも人間の社会的存在がその職業を規定するのか?」この(というか元になった方の)疑問は、かれこれ150年以上もの間、熱い議論の的となっているようだ。そしてインターネットの発明と普及を経た現在、この論争はどう考えても、少なくともこれから150年後まで続きそうに見える。私個人としては、どちらかの側に賛意を表明するつもりはない。むしろ、(私個人の経験から)職業と存在は二元構造になっているという考えを支持したい。人間の職業と存在は、さまざまな形で、継続的に、相互に影響し合う関係にあるものだからだ。

1980年代が終わりへと向かいつつある頃、悪意あるプログラムが急増する状況に対応すべく、コンピューターウイルス学が生まれた。それから30年後、ウイルス学は進化(というよりむしろ、隣接領域と融合)してサイバーセキュリティ産業となり、それが現在、しばしば「ITの発展を決定づけている」。競争が避けられない条件の下では、最高の保護機能を備えた技術のみが生存競争を勝ち抜くのだ。

1980年代の終盤から30年の間、我々(アンチウイルス企業各社)は、さまざまな名前で呼ばれてきた。華やかな名前もあれば、愉快でない名前もあった。しかし近年、最も言い得ていると思うのは、私見ではあるが、一部で流行している「サイバー古生物学者」という呼び名だ。

確かに我が業界は、大規模感染に対抗する方法を身につけてきた。事前対策的に(近年、最大級の大規模感染であるWannacryExPetrから人々を保護したように)か、事後対応的(クラウドベースの脅威データ解析と迅速なアップデートを利用して)か、という違いはここでは重要ではない。しかし、標的型サイバー攻撃については、業界全体としてはまだなすべき課題が多く残っている。そうした攻撃に対抗できるだけの技術的な成熟度とリソースを持っている企業はごく少数だ。さらに、本拠地や活動の動機を問わず、すべてのサイバー犯罪者を摘発するという揺るがない意志を持つ企業という条件を加えると、残るのは1社だけだ。そう、我が社だ!(それで思い出すのはナポレオン・ヒルがかつて言った「成功のはしごのてっぺんはいつも人が少ない」という言葉だ。)いずれにしても、当社が他社を引き離して単独で(はしごのてっぺんに)いるのは不思議なことではない。文字どおりあらゆるサイバー犯罪者を摘発しようという揺るがない意志を持ち続けるには、持ち続けない場合よりもはるかに多額のコストがかかるからだ。さらに、昨今の地政学的な混乱に鑑みても、そうした意志を持ち続けることははるかに厄介なことだ。だが、それが正しい行いであることは当社の経験が示している。ここからも、そうであることを確認いただける。

サイバースパイ活動というものは、実に多くの時間とコストを要し、ハイテクを駆使する複雑なプロジェクトだ。当然ながら、そうした活動の首謀者は摘発されれば大いに気分を害するだろうし、そうした首謀者の多くはメディアの操作によりさまざまな手段を用いて「望ましくない」開発元を排除しようと考える。また同様に、このように考える人もいる。

https://twitter.com/malwrhunterteam/status/1029276290900262913

話が脱線したようだ…

さて、そうしたサイバースパイ活動は、何年にもわたって検知されないままであることもある。首謀者は投資したものツールセットに十分な注意を払うからだ。たとえば、少数の厳選した標的のみを攻撃する(不特定多数に向けた攻撃は検知されやすいので行わない)、広く使用されている市販のサイバーセキュリティ製品全部でテストする、必要とあればすぐに戦術を変える、というように。多く標的型攻撃が検知されているが、それも氷山の一角に過ぎないことは想像に難くない。そして、そうした攻撃をあばく上で本当の意味で効果的な手段はただ一つ、サイバー古生物学の手法だ。具体的には、長期にわたり丹念にデータを収集して「全体像」を把握すること、他社のエキスパートと協力すること、異常を検知して分析すること、その上で保護技術を開発することだ。

続きを読む:サイバー古生物学:複雑なサイバー脅威へのアプローチ

Flickr

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

悪意を積極的に検知するということ

ここ数年、我々に関するさまざまな記事が米国メディアによって書かれてきた。先週木曜日のWall Street Journalの記事は、当初、一連の陰謀めいた中傷の延長線上にあるものと見えた。匿名の情報筋によると、ロシア政府の支援を受けたハッカーが数年前、弊社製品へのハッキングによる支援を得てNSA職員の自宅コンピューターから機密文書を盗み出した、という内容だ。なお、本件に対する公式回答はこちらにある

しかし、クレムリンの後押しを受けたとされるハッカーについて述べた当該記事を一皮めくれば、まったく異なる、真実味のある、考え得るシナリオが浮かび上がる。当記事が指摘するように、我々は「マルウェアとの戦いにおいて積極的」なのだ。

では、当該記事をじっくり見ていきたい。

続きを読む:悪意を積極的に検知するということ

StoneDrill:Shamoonに似た強力なワイパー型マルウェア

私のブログの読者である皆さんなら、当社のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)をご存じだろう。世界中に散らばる一流のサイバーセキュリティエキスパート40名強から成るチームで、メンバーは皆、高度なサイバー脅威からお客様を守る専門家たちだ。GReATのエキスパートたちは、好んで自分たちの業務を古生物学に例える。古生物学者/サイバーセキュリティエキスパートは、深層ウェブの奥深くに潜む「サイバーモンスター」の「骨片」を調査しているのだ。古くさいやり方だと感じる人もいるかもしれない。今ここにいるモンスターからネットワークを守ろうというときに、はるか過去の「生物」の「骨」を分析することにどんな意味があるというのか?だが、古代生物の骨を調べなければ現在を生きる怪物が見つからないこともある。それを証明する新たな出来事があったので、紹介するとしよう…

ワイパー」と呼ばれるタイプのマルウェアをご存じの方もいるかもしれない。これはマルウェアの一種で、攻撃対象のPCにインストールされると、すべてのデータを消し去ってしまう。PCの持ち主に残されるのは、完全にクリーンアップされた、ほとんど動作しないハードウェアの残骸だ。一番有名(というか悪名高い)ワイパーはShamoonだ。2012年、世界最大の石油会社Saudi Aramcoの端末30,000台以上のデータを破壊し、さらに大手ガス会社のRasGasにも攻撃を仕掛け、中東を多いに賑わせたマルウェアだ。ちょっと想像してみてほしい。世界最大の石油会社に、動かないハードウェアが30,000台以上も転がっている様子を…

Shamoon、Shamoon 2.0、StoneDrill。ワイパーが世界中に拡散中

奇妙なことに、2012年のSaudi Aramcoに対する破壊的な活動以降、Shamoonについてはあまり耳にしなかった。それが2016年、Shamoon 2.0としてカムバックを果たし、中東で新たな攻撃を再開したのだ。

Shamoonによる新たな攻撃の波が始まってから、我々はできるかぎり多くのバージョンを収集するべく、センサーの網を張り巡らせた(Shamoonのようなマルウェアによって当社のお客様が害を被ることがないようにするためだ)。喜ばしいことに、複数のバージョンを発見することができた!それだけではない。予期せぬことに、まったく新しいタイプのワイパー型マルウェアも網に引っかかった。我々はこれを「StoneDrill」と名付けた。

続きを読む:StoneDrill:Shamoonに似た強力なワイパー型マルウェア

ヤバいサイバー関連ニュース:友だちに感染、ボーイング機を再起動、認証不要のセキュリティホールなど

皆さんこんにちは!

今回は、「ヤバいサイバー関連ニュース」シリーズの続報だ。このシリーズでは、デジタル世界における恐ろしいほど脆弱で、ぞっとする事例の最新情報をお届けしている。

前回の「ヤバいサイバー関連ニュース」以降、皆さんに報告しなければならない事例がかなりたまっている。それもそのはず、以前は山あいにちょろちょろと流れるせせらぎ程度だったのが、本格的にナイアガラの滝レベルにまでなってしまったのだ。そして流れはますます速さを増す一方だ…

長年サイバー防御に携わっている者として、こう断言できる。かつて、世界を揺るがす大事件が起きると、半年ほどは、その話題でもちきりだった。今では、次から次へと流れてくるニュースは、産卵期のサケの様相を呈している。多すぎるのだ!あまりにも多いので「デジタル世界でDDoSが多発」と言い終える前にニュースの鮮度が落ち、伝える価値がほぼなくなってしまう。「この前、巨大企業Xがハッキングされて、ごっそり盗まれたらしい。ボスのハムスターもドローンで持って行かれたんだって!」…

とにかく、意識サイバー事件の流れが急速に増えつつある以上、ここで紹介する事例の数も多くなる。前回までは1回の投稿で3件か4件紹介していたが、今回は7件だ!

さて、ポップコーン、またはコーヒー、またはビールの用意はいいだろうか?では始めよう…

続きを読む:ヤバいサイバー関連ニュース:友だちに感染、ボーイング機を再起動、認証不要のセキュリティホールなど

ヤバいサイバー関連ニュース:原子炉の感染、サイバー銀行強盗、サイバーダム破壊

最近のニュース記事に目を通すと、つい…ガイガーカウンターに手を伸ばしたくなるかもしれない。というのも、とにかく不安を抱かせるようなニュースが散見されるからだ。過剰反応だろうか?ニュースの内容を見てみよう…

怖いニュースその1:黙示録的事態には至らず(今のところは)

inews-1写真はWikipediaより借用

続きを読む:ヤバいサイバー関連ニュース:原子炉の感染、サイバー銀行強盗、サイバーダム破壊

KICSで産業用設備を保護しよう

バンザイ!

このたび当社は Kaspersky Industrial CyberSecurity(KICS)の提供を開始した。これはいわばサイバー感染症に対抗するための特別な予防接種だ。これで工場や発電所、病院、空港、ホテル、倉庫、皆さんのお気に入りのデリ、産業用制御システム(ICS)が使われている他のさまざまな業種の多くの企業を保護できる。あるいは別の言い方をすれば、今日、そうしたシステムなしで運営されている企業はあまりないのだから、世界各地で製造業やサービス業に携わる無数の大規模、中規模、小規模企業を対象としたサイバーソリューションと言ってもいい!

では、そのKICSとやらは具体的にはどのようなものなのか?その用途は?それを説明するにはまず、時を遡って…

2000年代に入る前は、産業用設備に対するサイバー攻撃などというものは、SF作家の発想の種になるだけだった。ところが2003年8月14日、米国東北部とカナダ南東部で、SFが現実のものになった。

なんと

電力グリッドに何らかの不具合が起きたせいで、当該地域の5,000万人が停電の被害に遭った。停電は、一部では数時間、一部では数日にも及んだ。この人災の背後にどのような原因があったのか、さまざまな説が唱えられた。木の剪定不足、落雷、悪意のあるリス、そして…コンピューターワームSlammer(Blaster)を使ったサイバー攻撃の副産物だという説も。

続きを読む:KICSで産業用設備を保護しよう

サイバー関連ニュース:脆弱な原子力発電所、サイバー軍事力の…抑止?

今回は、私が何年も前からしつこく言い続けてきた事柄に関する「ニュース」、というか近況について、ちょっと言わせてもらいたい。「だから言ったじゃないか」というのは嫌いだが、今回は「だから言ったじゃないか」と言わずにいられない。

その1

フランスのカットノン原子力発電所(写真は無作為に選んだもの)。サイバーセキュリティについてはトップレベルの設備であるはずだ。

続きを読む:サイバー関連ニュース:脆弱な原子力発電所、サイバー軍事力の…抑止?

ハッカーに車を遠隔操作される日がやって来た

サイバー世界では、時々(数年に1回くらい)、不快な出来事が起きて注目を集める。何やら予想外の新しい悪質行為が現れ、世界に衝撃が走るのだ。ほとんどの「一般市民」にしてみれば、避けようのない厄介なサイバー関連の出来事が途切れなく発生する中で、また新しいのが来た、くらいのものだろう。私や私の同僚はといえば、顔を見合わせ、頷き、ウインクし、しかめ面をし、ロジャー・ムーア風に眉をつり上げて、こんな風に言う。「ミスター・ボンド、来ると思っていたよ。やけに遅かったじゃないか?」

というのも、我々は常にダークウェブの主だった傾向を研究、分析し、怪しげな行為の背後にいる者やその動機を突き止めようとしている。だから、物事がどんな風に展開するのか予想できるのだ。

こういった新しい「予想外の」出来事が起きるたびに、私は「新時代へようこそ」といった調子の講演を(1回きりでなく数回)しなければならない羽目に陥るのが常だ。何とも微妙なのは、何年か前に話したことを繰り返しているだけなのを認めざるを得ないことだ。前に話した内容に、こんな感じのことをちょっとばかり付け加えるだけの簡単なお仕事だ。「以前もこの件について申し上げました。そのとき皆さんは、私が製品売りたさに不安を煽っているだけだとお考えでした。」

言わんとするところは、おわかりいただけたと思う(「だから言ったじゃないか」と言われたら誰でもいい気はしない。だから、先に進むことにしよう(笑))。

さて、今が旬の「予想もしなかった不快なサイバー事件」は何だろうか?実は今回の出来事は、私個人にとって大切なことに関係している。自動車だ!

先日、次の一文で始まる記事WIREDに公開された。「この実験でエクスプロイトが利きはじめたとき、私の車は、セントルイスのダウンタウンの外れを時速約120㎞で走行中でした」。ええ、まさか!

記事はその後、ハッカーセキュリティリサーチャーがリモートで車の「乗っ取り」に成功した話へと続く。まずジープのチェロキーに搭載されたUconnectというコンピューターシステムを(数か月かけて)分解し、脆弱性を発見、そしてインターネット経由で車の中枢機能を手中に収めることに成功する。それも、WIREDの記者がその車で高速道路を走行中に!これは冗談ではない。1台の車だけに影響する1回きりの「研究事例」でもない。今回リサーチャーが発見し、利用したセキュリティホールは、50万台近くの車に影響する。なんとまあ、そしてもう一度、ええ、まさか!

Jeep Cherokee smart car remotely hacked by Charlie Miller and Chris Valasek. The image originally appeared in Wired

続きを読む:ハッカーに車を遠隔操作される日がやって来た

カンクン・カンファレンス2015

十数年前、当時まだごく小さな企業だったKaspersky Labは、文字どおり「境界を越える」決意を固めた。国境を越えて事業を展開する多国籍企業になるということだ。ほどなくして、当社のエキスパートやアナリストが世界各地で活動するようになった。皆、メール、メッセンジャー、電話など、間接的な手段で連絡を取り合っている。これは特に問題ないが、やはり実際に顔を合わせてのコミュニケーションにはかなわない。そこで、大規模なパーティを年1回開催し、皆で集まって、直接会話する時間を持つことにした。当社のITセキュリティエキスパート向け年次カンファレンスSecurity Analyst Summit(SAS)は、このようにして生まれた。

cancun-mexico-sas2015-1cancun-mexico-sas2015-2

続きを読む:カンクン・カンファレンス2015