ユージン・カスペルスキーは語る - 公式ブログ
2014年8月4日
※元の英語記事は2014年7月26日に公開されました。
リモコンカー – 運転中の自分の車を制御できなくなる日・・・
どうも最近、ハッキング、標的型攻撃、マルウェア感染といったニュースが一般から飽きられているようだ。絶えず話題になっていれば仕方ないのかもしれない。一般の関心を引くには、もう少し奇抜さが必要だ。ハッキングされるとは夢にも思わなかったものがハッキングされる、とか。
中国の報道によれば、同国開催のハッカーカンファレンスのコンテストでTeslaの車載システムがハッキングされたそうだ。なぜTeslaなのか?Teslaに一体どんな魅力があるのだろう?思い付くのは、まず電気自動車であることと、「スマート」な電子機器を詰め込んだ、自動車というよりもむしろ移動式スパコンであることだろうか。そもそも、Teslaは予想できたはずだ。どんな新機能も、特にITセキュリティの専門家が関与せずに開発された場合、ぜい弱性を介した新たな脅威を必ずもたらすことを。コンテストのハッカーたちが証明したのは、まさにその点だった。
2014年7月25日
どんなシステムもベースには独自のアルゴリズムがある。アルゴリズムがなければシステムもない。採用するアルゴリズムの種類はあまり重要ではなく、線形、階層型、決定的、確率型・・・いろいろあるが、どれでもいい。大事なのは、最高の結果を出すために、何らかのルールに従うことだ。
当社製品のアルゴリズムについてよく聞かれるが、特に多いのは、未来の脅威を競合他社よりもうまく検知するうえで、どんなアルゴリズムを使っているのか、という質問だ。
明らかな理由から、当社の魔法の方程式について詳細までお話することはできないが、技術がテーマの今回の記事(これまでの記事で一番専門的な内容のはずだ)では、当社の技術開発室のドアを少しだけ開けて、中の様子を簡単に紹介する。もっと詳しく知りたいという人は、下のコメント欄にどんどん質問を寄せていただきたい。
2014年7月9日
Microsoftは先日、ダイナミックDNSサービスNo-IPに対し大規模な措置を講じたと発表した。その結果、同サービスの22のドメインが差し止めとなった。Microsoftによれば、この措置には正当な理由があるという。同社が挙げた理由は次のようなものだ:No-IPはあらゆる種類の不快なマルウェアをホストしている、No-IPはサイバー犯罪者の温床である、No-IPは標的型攻撃の発生源である、No-IPはサイバー犯罪の根絶に向けて誰とも協力しようとしない。
多くの争いがそうであるように、双方が相反する発表を浴びせ合っている。「悪いのは向こうだ」「いや、先にやったのはそっちだ」という昔から繰り返されてきたやりとりだ。
No-IPが言うには、自分たちは真の善良サービスであり、サイバー攻撃の根絶にいつでも協力する用意があるそうだ。No-IPはその一方で、今回のドメイン差し止めに顧客が強い不快感を抱いていると述べ、Microsoftの措置は合法的なビジネスに対する違法な攻撃であるとの考えを示した。マルウェアは実質的にあらゆる場所で発見され得るものであり、それを理由に裁判所を通じてサービスを停止させることは到底容認できないという。
2014年7月8日
※元の英語記事は2014年6月24日に公開されました。
証券取引所へのハッキングでマイクロ秒単位の遅延
サイバー詐欺はどんな場所でも起きる。証券取引所でもだ。まずは少し歴史を見てみよう・・・
かつて株式仲買人という専門職は、尊敬に値する立派な職業というだけでなく、並外れて大変な仕事だった。取引所のすし詰めのフロアで必死に株や証券を売買していた仲買人たちは、週の労働時間があり得ないような長さで、朝から晩まで強いプレッシャーを感じる決断を迫られ、限界までストレスを募らせていた。彼らは有価証券、株、債券、金融派生商品などを売買していたが、為替レートや価格の波に乗りつつ、常に正しいタイミングで売買することを求められ、重い心臓の病や、疲労が原因の病気に少しずつ蝕まれていった。また、あっさりと窓から飛び降りて、こうした生活に一瞬で別れを告げることもあった。要するに、とても世界最高とは言えない職業だったのだ。
ともあれ、これはすべて遠い昔の話だ。こうした過酷な肉体労働はすべて自動化された。今では知恵を振り絞って真剣に考える必要もないし、ストレスを感じることも、汗をかくこともない。仕事の大部分はロボットが実行する。これ以上ないという最高の売買のタイミングを自動的に判断する特別なプログラムだ。別の言い方をするなら、株式仲買人の仕事は大部分がロボットのトレーニングということになる。こうしたボットが、あれやこれやの相場変動を利用する上で、応答時間は(マイクロ秒単位でも)死活問題だ。応答の速度は文字どおり、電子証券取引所へのインターネット接続の品質に左右される。すなわち、ロボットが物理的に取引所の近くにいるほど、最初に値を付けられる可能性が高くなるということだ。逆も同じで、離れた場所のロボットは、最先端のアルゴリズムを使っていないロボットと同じく、常に勝ち目はないだろう。
先ごろ、この極めて重要な応答時間が、正体不明のサイバー攻撃者によって不正に操作された。あるヘッジファンドのシステムがマルウェアに感染し、取引の機能に数百マイクロ秒単位の遅れが生じたのだ。そのわずかな遅延によって、成立していたはずの取引を逃してしまうこともある(おそらくそうなったはずだ)。
2014年6月25日
2004年6月15日、正確にはモスクワ時間同日19時17分、コンピューターセキュリティの新時代の幕開けとなるできごとがあった。スマートフォン用に作成された初のマルウェアを当社が発見したのだ。
これはCabirというマルウェアで、NokiaのSymbian搭載デバイスに感染し、保護されていないBluetooth接続を介して拡散していた。コンピューターがマルウェアに狙われていることは、当時から誰もが(世捨て人や修道僧以外は)十分に知るところだったが、この発見によって、スマートフォンもマルウェアの標的となったことが世界に知れわたった。確かに、最初は多くの人が、「ウイルスが電話に感染するだなんて、そんなわけないだろう」と疑っていたものだ。だが、この件の単純な事実は、遅かれ(数年後10年後)早かれ(数か月後)、ほぼすべての人が理解することになる(いまだに気づいていない人も一部にはいるが)。その間に、当社のアナリストは歴史書に載るまでになった!
なぜ我々はこのマルウェアをCabirと名付けたのか?当社のモスクワ本社に、電波を遮断する特殊な実験室を作ったのはなぜか?CabirはどうやってF-Secure社員のポケットに入り込んだのか?こうした疑問を、当社のチーフセキュリティエキスパート、アレックス・ゴスチェフ(Aleks Gostev)に、イントラネットで実施したインタビューで聞いた。今回はその内容を皆さんに紹介しようと思う。このヒーロー饒舌な男の言葉を直接お伝えするのがいいだろう…
ちなみに、この話が本格的に始まるのは、Cabirの分析にこの2つのデバイスを使うところからだ。
2014年6月12日
※元の英語記事は、2014年6月4日に公開されました。
約束したとおり、私の週1回(くらい)の新連載『サイバー空間からの暗いニュース』(ちょっと違ったか?)の第2回をここにお届けする・・・
今回の主なテーマは重要インフラのセキュリティだ。特に、重要インフラに関して注視すべき問題や危険を取り上げる。製造設備や原子力施設、交通機関、送電網、その他の産業用制御システム(ICS)への攻撃だ。
実をいうと、この記事にあまり「ニュース」はない。先々週のニュースのようなものをお伝えする記事だ。幸い、重要インフラのセキュリティの問題は毎週起きるわけではない。少なくとも、記事にするほど興味深い事件はそうそう起きるものではないのだ。しかし、おそらくその理由は、ほとんどの事件が隠ぺいされるためだろう(無理もない話だが、それでも心配だ)。あるいは、誰も気づいていないからかもしれない(攻撃はひそかに実行されている可能性がある。こちらの方がずっと心配だ)。
というわけで、重要インフラのセキュリティ問題に関する現在の状況とトレンドを示す興味深い事実と、それに伴う脅威を目の前にしてなすべきことについてのヒントを紹介する。
重要インフラの問題には驚くような理由がいくつもあることが判明した・・・
ICSの建造と設置を手がけるエンジニアは、「中断のない安定した運用ができれば、後のことなど知らない!」をモットーにしている。そのため、ハッカーにシステムを乗っ取られてしまうぜい弱性が制御システムに見つかったとしても、システムがインターネットに接続されたとしても、本当にひどいパスワードが・・・たとえば「12345678」というパスワードが使われたとしても、知ったことではないのだ!エンジニアは、システムが絶えず、円滑に、同じ温度で動作することしか頭にない。
やはり、パッチ適用などを実施する場合は、システムの稼働がしばらく停止する可能性があり、実際に停止する。ICSエンジニアにとっては受け入れがたいことだ。とはいえ、これが重要インフラの現状である。黒と白の中間の灰色は見ていない。それとも、必死になって現実から目をそらしているのだろうか?
我々は昨年9月、稼働中の産業システムに見せかけたハニーポットをしかけて、インターネットに接続した。するとどうなったか?1か月のうちに442回の侵入を受け、内部のプログラマブルロジックコントローラー(PLC)にまでアクセスされることも何度かあった。PLCを再プロミングした頭のいいサイバー犯罪者も1人いた(Stuxnetのようだ)。我々のハニーポットの実験でわかったのは、ICSがインターネットに接続されたとしたら、ほぼ100%間違いなく、初日にハッキングされるということだ。ハッキングされてしまったICSに対して何ができるかというと・・・そう、天を仰ぐしかない。まるでハリウッドのアクション映画のような筋書きだ。それに、一口にICSといっても、さまざまな形状やサイズがある。たとえばこれだ。
原子力施設のマルウェア
2014年6月5日
※元の英語記事は、2014年5月26日に公開されました。
皆さん、こんにちは!
このブログで最後にサイバー犯罪の話題を取り上げてから、ずいぶん時間がたったように思う。新たな犯罪や昔からある犯罪、流行している手口や廃れた手口、といったものをしばらく書いていない。我々の存在意義とも言えるトピックにずっと触れていないので、のんびり遊んでいるのではないかと思った人もいるだろう・・・
安心してほしい。我々はサイバー空間で起きていることすべてを把握している。IT専門ニュースサイトで得た詳細な情報をもれなく発信しているということだが。
唯一の問題は、実際にこういうニュースを読む人がとても少ないことだ!わからなくもないが・・・。専門的なニュースはおもしろくない場合もある。特に、ITに詳しくない人は興味が沸かないだろう。だからといって、こうした情報を発信しないわけにはいかない。絶対にだ。とはいえ、このブログでは、専門的な技術の話題ばかりを取り上げて読者を混乱させるつもりはない。とても珍しくて興味深く、楽しくおもしろいサイバー関連ニュースを、世界中から集めてお伝えするだけだ。
というわけで、興味深くて珍しく、おもしろくて奇妙な最近の話題を紹介しよう。
「あいつに殴られた!」「先にやったのはそっちだ!」
サイバースパイ行為を巡る米国と中国のせめぎ合いが新たな局面を迎えた。
今回は米国側が「容疑者」の写真と名前を公開して攻撃した形だ。米国企業のネットワークに侵入して秘密情報を盗んだとして、中国軍の専門家5人がFBIの西部劇風の「指名手配」ポスターに掲載された。
2014年2月12日
コンピューターという眠れるジャングルに潜む悪意を、1つ残らず見つけ出して撲滅するにはどうすればいいだろうか?
特に、これまで一度たりとも姿を現したことがなく、凶悪なまでにIQが高い(そして国家が支援していることも多い)極めて悪質な脅威はどうすればいいのか?
答えは至って簡単だ。できることはない。
まあ、善戦くらいはできるかもしれないが、真っ暗な部屋にいる黒猫のようなマルウェアを見つけるためには、一流のプロ自らが数人がかりで対処する必要がある。つまりお金がかかるのだ。しかし、市販のアンチウイルス製品で自動的にやるとなると、話がまったく変わってくる。大体の製品は、超高度な感染の気配を感じ取る程度なら可能だが、それが限界だ。少なくともこれは、従来型のアンチウイルスシグネチャとファイルスキャナーという昔ながらのアンチウイルスのアプローチを使う場合の話である。
では、何が解決策となるのか?
これも答えは簡単だ。いくつかの強大なる脳を大いに活用することで、高度な感染を検知して破壊するアンチウイルス製品の機能を自動化する。
2013年12月4日
サイバー犯罪者がMicrosoft Office環境にしかけた攻撃がまた1つ、当社の精巧で頑強なセキュリティ技術によって阻止された。
先ごろ、新しいものではあるが、よくある攻撃が発見された。Word文書を開くと、悪意のあるコードがこっそりとコンピューターに侵入するという攻撃だ。これがゼロデイ攻撃でなければ、大きなニュースにはならなかっただろう。つまり、これまで知られておらず、修正パッチが存在しないMS Officeのぜい弱性が利用された攻撃だったのだ。この種の攻撃は、ほとんどのアンチウイルス製品の網をすり抜けてしまう。もうおわかりだろう。Kaspersky Labのアンチウイルスが、きめ細かく編みこまれた網によって、この攻撃を一網打尽にしたのだ。
具体的に説明すると、当社のぜい弱性攻撃ブロック技術が異常なふるまいを検知し、それに伴う攻撃を事前にブロックした。更新をインストールすることなく、待つ必要もなく、面倒な作業もない。あっという間に片づけた。
ゼロデイ攻撃は近年、極めて深刻な脅威となっている。
全力をもって真正面から取り組まなければならない。だが、多くのアンチウイルス製品は、ゼロデイがもたらす未来のリスクの前にはまったくの無力だ。なぜなら、ほぼシグネチャだけに頼っており、「未来の脅威からの保護」は宣伝文句でうたわれているだけだからだ(ずいぶんと立派な宣伝文ではあるが)。しかし、当然ながら、未来の脅威からの真の(効果のある)保護というものには、並外れた知力と膨大な量の開発リソースの両方が必要になる。すべてのベンダーが知力を備えているわけではなく、開発リソースだけ豊富にあったとしても、うまくいくとは限らない。これは決してコピーできるような技術ではないのだ。
ブッダやニューエイジの信奉者は「今を生きる」べきだと説く。人生においてはすばらしい格言だが、ITセキュリティが今この瞬間を生きることは許されないと我々はずっと信じてきた。ITセキュリティは常に未来に目を向け、サイバー犯罪者の頭の中で何が起きているかを、事件が起きる前に予見する必要がある。映画「マイノリティ・リポート」のようなものだ。そのため我々は、90年代前半から長きにわたって「事前予防」に取り組んできた。我々は当時、特にヒューリスティックと独自のエミュレータを開発したことでITセキュリティ業界から注目を集めていた。先見性はKaspersky LabのDNAに組み込まれている!
それ以来、この技術には大規模な改修や微調整が行われて強化されてきたが、約2年半前、既知のぜい弱性と未知のぜい弱性の悪用を防ぐすべての機能が、ぜい弱性攻撃ブロックに集約された。そして、何とか間に合った。この技術によって、Red October、MiniDuke、Icefogなどのさまざまな標的型攻撃を事前に発見することができたのだ。
その後、突如としてOracleのJavaがサイバー犯罪者から大きな注目を集めるようになったが、そのときもぜい弱性攻撃ブロックは迎撃態勢が整っており、さまざまな脅威との戦いでその効果を発揮した。ぜい弱性攻撃ブロックの戦いを可能にしたのは、Javaによる攻撃の検知に特化したJava2SWモジュールだ。
この記事ではJava2SWモジュールについて詳しく説明していく。
一般的なコンピューターの中でソフトウェアがどんな様子かというと、昔ながらのパッチワークに少し似ていて、たくさんの「パッチ」と「穴」がある。ソフトウェアには絶えず新しいぜい弱性が見つかっている(製品の人気が高ければ高いほど、多くのぜい弱性が頻繁に発見される)ため、ソフトウェアメーカーはパッチをリリースして修正しなければならない。
しかし、第1の問題として、ソフトウェアメーカーはすぐにパッチをリリースしない。何か月も放置する企業もある。
第2に、ほとんどのユーザーはパッチのインストールを忘れるか、気にもかけず、セキュリティホールだらけのソフトウェアを使い続ける。
とはいえ、明るい話題もある。世界のコンピューターの大半にアンチウイルスソフトウェアがインストールされているのだ!
ではどうするのか?答えは簡単、Java2SWを使う。Javaに関しては一石二鳥の技術だからだ。
全体的に見て、Javaのアーキテクチャはセキュリティ面ではかなり高度だ。各プログラムが隔離された環境(Java仮想マシン、JVM)で実行され、Security Managerに監視される。しかし、Javaはその人気の高さ故に標的にされた。システムをどれほど強固に保護しても、(人気の高さに比例して)あっという間にぜい弱性が見つかってしまう。ぜい弱性とは遅かれ早かれ発見されるものだが、すべてのソフトウェアベンダーはその準備をする必要がある。特に重要なのが、①保護技術をいち早く開発すること、②対応までの時間を短縮すること、③パッチによる更新がいかに重要かをユーザーに伝えること、だ。
実は、OracleはJavaに関して、こうした準備をうまくできなかった。むしろOracleの対応が非常にまずかったために、ユーザーはこぞってブラウザーからJavaを削除するようになった。Javaがないと、一部のWebサイトを開くのがとても大変になるのだが、それでも多くのユーザーが削除した。
次に挙げる数字は、読者のみなさんがご自分で判断してほしい。Javaで発見されたぜい弱性の数は、2010年が52件、2011年が59件、2012年が60件、2013年は(まだ終わっていないが)180件だ。一方、Javaのぜい弱性を悪用した攻撃の数も増加しており、憂慮すべき事態となっている。
2013年11月21日
これはドン・ドレイパー(Don Draper)のセリフではない。1930年代のロシア文学の登場人物、オスタップ・ベンダー(Ostap Bender)の言葉の引用だ。もちろん、あの有名なベンダーとは関係ない。
興味深いことに、どうやらベンダー氏は、共産主義国の出身なのに資本主義について少しは知っていたようだ。ふむ…
とにかく、彼が知っていたのは、必死で稼いだお金を捨てるように仕向けることもできるということだ。人をうまく操作できればの話だが。
さて、いきなり現代の話になるが、こうした「操作」は今でも電子的な形で行われている。現代の人々は、デスクトップロッカー(ランサムウェア)を操る犯罪者に喜んで100ドル札を差し出す。デスクトップロッカーは秘密裏に動作するコンピューターマルウェアだが、カスペルスキー製品のユーザーは心配いらない。カスペルスキー インターネット セキュリティ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)の新バージョンに用意した素晴らしいサプライズが、愚かなサイバー犯罪者と彼らのデスクトップロッカーを待ち受けているからだ。
デスクトップロッカー、ランサムウェアの原理や技術は、どちらかというと単純だ。
さまざまな手段のどれか1つ(ソフトウェアのぜい弱性など)を利用して、悪意のあるプログラムをコンピューターに忍び込ませ、愉快な(そうでもないか)写真と恐ろしい(カスペルスキー インターネット セキュリティがあればこの限りではない)文章を表示して、デスクトップと他のすべてのプログラムのウィンドウをロックする。
ロックを解除できる(できたと言うべきか。詳しくは後述)のは、たった1つのコードだけだ。もちろん、そのコードはコンピューターを感染させたサイバー犯罪者から入手するしかなく、当然ながら、プレミアムSMSやオンライン決済システムで料金の支払いを求められる。身代金を払うまで、誘拐されたコンピューターは戻ってこない。何をしようと(Ctrl + Alt + Delを押しても)、どんなプログラムを実行しようとしても(アンチウイルスでも)動作せず、以下のような画面が表示されるだけだ。
