エフセキュア日本法人設立10周年記念セミナー - ミッコ・ヒッポネン氏らが講演、次の脅威はどこにあるか!
エフセキュアは、日本法人を設立して10周年を迎えたことを記念しセミナーを開催した。このセミナーには、エフセキュアコーポレーション(本社:フィンランド)より、キモ・アラキオCEOとセキュリティ研究所主席研究員のミッコ・ヒッポネン氏の講演や、基調講演などの講演が行われた。本稿では、その基調講演とスペシャル講演の内容を紹介したい。
http://journal.mycom.co.jp/articles/2009/06/25/fsecure/?rt=na
基調講演:「クラウド時代の企業セキュリティ対策」
基調講演として、登壇したのは、日本経済新聞社産業部編集委員の関口和一氏である。関口氏は、まず、クラウド化の現状について、さまざまな視点から現実を紹介していく。Web2.0という言葉もすでに使われて久しいが、歴史の流れとして、そこから浮かび上がるインターネットの現状は、非常に納得させらるものがあった。関口氏が、力説していた項目のいくつかをあげると、ソーシャルネットワークやIPTVなどのこれまでの情報交換から、さらに一歩進んだ形態が見えてくる。特に情報の融合、共有化がこれまでとは違ったビジネスモデルを産んでいる
基調講演を行う関口和一氏
テクノロジに属するが、スペインの企業が進める「FON」などの事例も紹介していた。この根本技術自体が、現在のクラウドコンピューティングの根幹を成すものといえよう。あまったインフラストラクチャーをいかに効率良く利用するか?現状、モバイル環境では、既存の携帯電話のネットワークに依存するしかない状況で、いかに安価にネットワーク環境を実現していくかの1つモデルとして、非常に興味深い事例を紹介していた。
これ以外にも、コーヒーチェーンで有名なスターバックスなどの事例を、実際のWebサイトを例示しつつ紹介していた。これは、顧客からの要望などを公開されたブログで管理するものである。ある要望に対し、それに賛同するかの決定権が会員に与えらえる(会員には誰でもなれる)。会社は、ここで多くの同意を得た案件についてのみ対応を行うことで、効率的な対応が効能となる。クラウドを有効利用した事例として、わかりやすいものであった。
一方、日本でのクラウドの利用については、やや遅れ気味な印象が得られた。その最も、大きな理由は、日本の大手ITベンダーのほとんどが、現状でもメインフレームという呪縛を引きずっていることが大きな要因である。クラウドの基本は仮想化であり、そこでレガシーな環境を維持しようとする環境は、遅れ気味といわざるを得ない。
関口氏は、クラウドの問題点も指摘していた。具体例としてあげたのは、教員が生徒の家庭訪問でGoogleマップを利用した事例であった。昨今、個人情報の保護の高まりから、住所録などのデータを簡単に作成することができない。そこで、教師らは、自身でGoogleマップを利用し、生徒の住所を入力し、さらに訪問経路までを作成していた。しかし、ここで大きな問題があった。作成したデータは基本公開することとなる。もちろん非公開にすれば問題はないのであるが、それを怠ったことで情報流出という事態となったのである。
このように、クラウドは非常に多くの利便性とコスト削減をもたらす。しかし、その一方でセキュリティについてはより一層の注意が必要となる。関口氏は、さまざまな覚悟からその対策などを紹介していた。そこで、最も興味深かったのは、情報とは何か?再度確認することが重要と感じた。
守るべき情報は何か?
情報はデジタル化されているか?
その情報は共有化されているか?
その情報は誰でも、何処からもアクセス可能か?
この条件を満たした「情報」こそが守られるべきものとしている。そのためにリスクの管理、これが非常に難しいこともある。設備投資や研究投資に比べ、リスク管理への投資は非常に効果が見えにくい。それはそのまま、多大なリスクを負う危険性を含むことになる。もし、自社から情報流出した場合、なにが起きるのか?そのコストはどのくらいになるのか?こういったことをトータルに、事前に想定しておくことが重要である。
スペシャル講演「セキュリティ脅威の変遷-サイバーテロへの警鐘」
次いで登壇したのは、ミッコ・ヒッポネン氏である。まずは、ミッコ・ヒッポネン氏について、紹介をしよう。1991年よりエフセキュアのCRO(Chief Research Officer:研究所所長)を務め、2003年に世界に広がったソービッグワーム (Sobig.F)を皮切りに、2004年に勃発した、Sasserワームの脅威を最初に警告し、2007年に猛威をふるったマルウェアをStorm Wormと命名したことでも知られる。啓蒙的な活動にも積極的に参画をし、2007年「PC World magazine」上において"Webで最も重要な人物50"に選ばれている。エフセキュアにおいて、20年にわたり、最前線でウイルス対策に取り組んできた人物である。
スペシャル講演を行うミッコ・ヒッポネン氏
これまでの最大の変化は「敵が変わってきていること」と、ミッコ・ヒッポネン氏は指摘する。1986年から2003年までは、主に米国、欧州、日本などの先進国がウイルス発信源となっていた。またウイルスの作者もいってしまえば、オタクと呼ばれる人々による愉快犯や有名になりたいという功名心を目的としたものであった。それが、組織的犯罪をギャングなどになり、巨額な金額を儲け出している。ウイルスの発信源も、ロシア、中国、南米(特にブラジル)なが増えている。また、ウイルス自体もそれまではアニメのような目立つものが主流であったが、最近では感染を気づかれないように、非常にステルス性の高いものとなっている。ミッコ・ヒッポネン氏によれば、「クレジットカードの請求書が届いたことで、初めて感染に気がつく」ということも多い。
また、ダークマーケットの存在についても、詳細な事例を紹介していた。ダークマーケットは、インターネットで犯罪を行う者たちが、情報交換をしたり、盗み出したクレジットカード情報や個人情報、さらに不正なコードなどを取引する闇サイトである。実際に、犯罪者を逮捕する動画なども紹介された。そこには、クレジットカードを偽造する装置なども発見された。
では、このような犯罪に手を染め、ウイルスやマルウェアを作るのは、どのような人々なのだろうか。ミッコ・ヒッポネン氏は「技術的なスキルがあるが、環境的に恵まれない人たち」であるという。「東京では、そのスキルがあれば何らかの仕事に就くことができる。しかし、サンパウロのスラムやロシアの田舎では、職もなくやもうえずウイルスやマルウェアの作成に手を染めている」とのことだ。ミッコ・ヒッポネン氏はさらに悲惨な事例を紹介した。闇サイトの掲示板で、10代の子供らしき人物からの書き込みで、人生に絶望した、誰かクレジットカードのハッキング方法を教えてほしい、というものだ。
ミッコ・ヒッポネン氏は「非常に悲しいことだ。もしこれが現実世界ならば、誰かが止めるだろう。しかし、インターネットでは、親も気がつかず、警察も知らない、そして誰も彼の行為を止めることなく、彼は犯罪行為に加わっていくことになる」。このような悲劇的な現実が、実際に起きているのである。
ミッコ・ヒッポネン氏は、これまで発見したマルウェアで最悪のものとしてMebrootをあげている。このマルウェアは、ハリウッドの有名女優のWebサイトを閲覧することで、感染するとのことである。このWebサイトであるが、一見しただけでは、ごく普通のWebサイトにしか見えない。Mebrootは感染後、PCが再起動することで、Windowsよりも先に起動する。しかし、特定の操作を行わない限りMebrootは潜み続ける。特定に操作とは、ユーザーが銀行などのオンライン操作である。この操作を検知すると、取引データの改ざんを行うのである。
もっともよく行われるのが、振込先を犯罪者の口座に変更するというものである。ミッコ・ヒッポネン氏によれば、「Mebrootは警戒が厳重であるといわれる銀行をターゲットにしている。その数は50に上る。非常に巧みなテクニックを用いており、このマルウェアの開発には、少なくとも40から50人月がかかるだろう。それだけの費用をかけても、Mebrootによって得られる利益が大きく、犯罪者たちが儲けていることになる」とのことである。
そして、「犯罪者たちは新たなプラットフォームを狙っている。その1つは、スマートフォンである」とのことだ。ミッコ・ヒッポネン氏によれば、スマートフォンは攻撃しやすく、将来必ず攻撃目標となるとのことである。PCでは、ウイルスを感染させることで、クレジットカードの番号やパスワードを盗む、取引の改ざんといったことが行われるが、スマートフォンでは、電話を犯罪者の指定した電話番号にかけさせるだけで、儲けることが可能となる。エフセキュアでは、これらの対策も始めており、特殊なシールドで電波を遮断した部屋で感染したスマートフォンの解析を行うシーンなども紹介した。
エフセキュアでは、日に10万件以上の検体が寄せられることもある。これらに対応すべく、世界中に配置されたラボが、24時間体勢で対応しているとのことだ。そして、クラウドを利用した新たなアンチウイルスクラウドも今後提供されるとのことである。最後に、ミッコ・ヒッポネン氏は「この戦いはまったく終わりには近づいていない。どちらが勝利するかもわからない。現状どちらが優勢であるかもわからない。しかし、絶対にあきらめることはしない。顧客やユーザーのために最後まで戦い続ける」と、その決意を力強く表明した。
両講演とも、最新の現実に基づき、興味深いテーマから、実際のセキュリティへの脅威を取り上げていた。しかし、その対策はいずれの場合にも、多大なコストが必要となる。改めて、効果的なセキュリティ対策の必要性を感じた次第である。
