2020年11月6日

Threat Intelligence Portal、シーズン2

1年前、私はサイバーセキュリティのエキスパート向けに、当社の開発した新しいツールについてお知らせした。この、誰でも利用可能なThreat Intelligence Portalでは、GReATのエキスパートたちが複雑な脅威(または単に不審なファイル)の解析に使用するのと同じ機能を利用できる。今やThreat Intelligence Portalでは、毎月膨大な数のファイルがチェックされている。

しかし、状況は昨年から大きく変化した。新型コロナウイルスのためにまさに世界全体がリモートワークを余儀なくされ、その只中で、サイバーセキュリティエキスパートの仕事はいっそう厳しいものとなった。企業ネットワークのセキュリティを維持することは、いまや以前の何百倍も大変な仕事だ。COVID-19の流行前から貴重なものであった「時間」は、現在、さらに重い価値を持つ。技術力や知識の高い利用者の皆々さまからは、シンプルかつ直接的な要望が寄せられるようになった。APIの提供と、上限の引き上げだ。

ご要望に、我々はお応えした。

Threat Intelligence Portalの新しいインターフェイス

続きを読む:Threat Intelligence Portal、シーズン2

Facebook

2020年9月16日

サイバーセキュリティ:自動車品質の新側面

21世紀の自動車も機械的装置であると、かなりの人が考えているようだ。確かに、自動車にはさまざまな用途の電子機器が多少なりとも取り入れられているが、結局は機械工学が作り上げたものだ。シャーシ、エンジン、車輪、ハンドル、ペダル、…すべて機械だ。電子機器は(「コンピューター」を含め)、機械部分の機能を補助しているだけだ。実際、最近のダッシュボードはほとんどがデジタル表示になっている。

率直に言おう。そんなことはない。

現代の自動車は、基本的に特殊なコンピューターだ。我々が「自動車」という言葉から連想する昔ながらの機械装置や電気装置—エンジン、ブレーキ、方向指示器、ワイパー、エアコンなど—を制御する、「サイバー脳」なのだ。

たとえば、以前はハンドブレーキといえば例外なく機械式だった。手で握って引くと、きしむような音を立てる。それが今はボタンを押すだけになっている。機械要素はゼロ。100%コンピューター制御だ。ほとんどのものがそうなってきた。

さて、自動運転車といえば、コンピューターが車を操縦するものだと考える人が多い。では、最新型の自動車でハンドルを握っているのが人間なら、(コンピューターではなく)人間が運転していることになるのだろうか?

もう一度言おう。そんなことはない。

最新型の自動車になると、車が自律的に走ることと人間が運転することの違いは、後者では車載コンピューターを人間が操作し、前者では車載コンピューターを非常に高性能なメインコンピューターが制御する、というだけのことだ。そのメインコンピューターを開発するのはGoogleYandexBaiduCognitive Technologiesといった企業だ。このコンピューターは、目的地を与えられると、ナノ秒単位で更新される超スマートなアルゴリズムに基づいて、周囲の状況をくまなく確認し、目的地までどのように移動するか(時速、経路など)を判断する。

自動車のデジタル化に関する小史

では、機械からデジタルへの動きは、いつ始まったのだろうか?

一部の専門家は、自動車産業のコンピューター化は1955年に始まったと考えている。Chryslerが、ある車種にオプションとしてトランジスターラジオを搭載し始めた年だ。その一方で、ラジオは厳密にいうと自動車の機能ではないので、電子制御式点火装置(Pontiac、1963年)、アンチロックブレーキシステム(Chrysler、1971年)、電子エンジン制御システム(GM、1979年)をもって自動車のコンピューター化の嚆矢とする考え方もある

始まった時期にかかわらず、それ以降がおおむね同じように進んだことは間違いない。電子化が進み、続いてデジタル化が始まった。その境界線はあいまいだが、私が考えるに、自動車技術においてデジタル革命が始まったのは1986年2月、SAE Internationalの会議でRobert Bosch GmbHが自動車の電子部品間での通信に用いるデジタルネットワークプロトコル「CAN(Controller Area Network)」を発表したときのことだ。彼らには当然の尊敬が与えられるべきだ。こんにちもなおCANプロトコルは十分に機能しており、実質的に世界中のあらゆる車に使われている。

CAN以降の自動車とデジタルに関する、詳しすぎるまとめ

BoschからはさまざまなタイプのCAN(低速、高速、FD-CAN)がリリースされたが、現在ではそのほかにFlexRay(トランスミッション)、LIN(低速バス)、光ファイバーのMOST(マルチメディア)、そしてついに車載Ethernet(現在は100mbps、将来的には最大1gbps)といった技術も登場している。今どきは自動車を設計する際に、さまざまなプロトコルが採用される。ドライブバイワイヤー(機械的な接続に代わる電気システム)は、電子ガスペダル電子ブレーキペダル(1998年以降トヨタ、Ford、GMがハイブリッド車と電気自動車に採用)、電動パーキングブレーキ電子トランスミッション電動ステアリング(2014年のInfinity Q50初めて採用)をもたらした。

BMWのバスとインターフェイスBMWのバスとインターフェイス

続きを読む:サイバーセキュリティ:自動車品質の新側面

Flickr

  • K Christmas Party 2020
  • K Christmas Party 2020
  • K Christmas Party 2020
  • K Christmas Party 2020

Instagram Photostream

2020年9月8日

YARAルール:ブラックスワンを予測する

人類がこのような年を過ごすのは実に久しぶりだ。さまざまな姿形の「ブラックスワン」をこれほど集中して目撃した年は、今までになかったと思う。私が言うのは羽毛に覆われた生き物のことではない。ナシム・ニコラス・タレブ(Nassim Nicholas Taleb)氏が2007年に出版された自著『ブラック・スワン:不確実性とリスクの本質』の中で示した理論にある、広範囲にわたる影響を伴う予期できぬ出来事について話している。この理論の主な教義の一つは、こうだ。「すでに発生した驚くべき出来事は、後から考えれば、明白で予測可能なものに見える。しかし、実際に起きる前には誰も予測していなかった」

サイバーセキュリティのエキスパートたちは、この不明瞭さに対処しブラックスワンを予測する方法を持っている

例を挙げる。例の不気味なウイルスは、3月以来、世界を封鎖している。「コロナウイルス科」系統のウイルスは実に多数(何十種類も)あり、定期的に新種が見つかっていることが判明した。猫、犬、鳥、コウモリが感染する。ヒトが感染する。一部のものは、よくある風邪の原因となる。その他は…違う兆候を示す。そこで我々は、もっと致命的なウイルス(天然痘、ポリオなど)の場合と同じように、ワクチンを開発しなければならない。だが、ワクチン接種が大いに功を奏するとはかぎらない。インフルエンザを見よーー決定的な予防接種がないまま、何世紀が経過しただろうか?それに、ワクチン開発を開始するには、自分の求めるものを知らねばならないし、これは科学というよりも人文学に近いものに見える。

なぜこのような話をしているのか?一体何と関連が…まあ、いつものようにサイバーセキュリティか異国への旅の話に行き着くわけだが、今回は前者だ。

現存する最も危険なサイバー脅威の一つは、ゼロデイ脆弱性だ。レアで、(サイバーセキュリティ関係者その他に)知られていない、本気でヤバくて大規模な恐ろしい事態と損害をもたらしかねない、ソフトウェアに内在する脆弱性だ。それでいて、実際に悪用される瞬間(またはその少し後)までその存在は気付かれない傾向にある。

しかし、サイバーセキュリティのエキスパートたちは、この不明瞭さに対処しブラックスワンを予測する方法を持っている。この記事では、そういった手段の一つであるYARAについて触れたい。

簡単に言うと、YARAはマルウェアの調査および検知を助ける存在だ。一定の条件を満たすファイルを特定し、テキストやバイナリのパターンに基づいてマルウェアファミリーを絞り込む、ルールベースのアプローチだ。目指すところは、パターンを特定することで似たようなマルウェアを探し出し、「この悪意あるプログラムは、似たような目的を持つ同じ人々によって作られたものらしい」と言えるようにすることにある。

OK、では別のメタファーに移ろう。ブラックスワンと同様に水関連のメタファー、海だ。

あなたのネットワークが、何千種もの魚が泳ぐ大海であるとしよう。あなたは漁業界の人間で、海上の船から巨大な網を投じて魚を捕らえている。しかし、あなたが欲しいのは特定の種類の魚(すなわち、特定のハッカー集団によって作られたマルウェア)だけだ。さて、この網は特殊な作りになっている。網には特別な一角があり、特定の種類の魚(特定の性質を持つマルウェア)しかその部分に入らないようになっているのだ。

漁が終わるころには大量の魚が捕れている。比較的新しいものもあれば、これまで見たことのない、ほとんど知らない魚(新種マルウェアの検体)もある。しかし、これらが例の一角に入っていたなら、「X(ハッカーグループ名)らしい」「Y(ハッカーグループ名)に見える」と言うことができる。

この魚/漁業のメタファーを裏付ける事例がある。2015年、我らがYARAマスターでありGReATのリーダーであるコスティン・ライウが、サイバー空間のシャーロック・ホームズと化してMicrosoft Silverlightのエクスプロイトを見つけ出した。詳しくはぜひ記事を確認していただきたいが、かいつまんで説明すると、彼がやったことというのは、ハッカーがリークしたメールのやりとりを子細に調査し、ほとんど何もないところからYARAルールを構築することだった。これが例のエクスプロイトの発見につながり、メガ級のトラブルから世界を守った。(メールはHacking Teamというイタリア企業からリークしたものだったーーハッカーがハッカーをハッキングしたのだった)

では、YARAルールについてだ。

我々は何年にもわたり、YARAルール作成技法のトレーニングを行ってきた。YARAが解明を助けるサイバー脅威は、かなり複雑なものだ。そのため、講座は対面で(つまりオフラインで)、しかも限られた人数のトップレベルのサイバーセキュリティリサーチャーに限定されていた。当然ながら3月以降は、オフラインでのトレーニングが難しくなった。しかし、教育の必要性は変わらない。実際、当社開催の講座に対する興味が薄れる様子はなかった。

それも当然だ。サイバー空間の悪者たちは、これまで以上に高度な攻撃を考え出し続けている。ロックダウン期間中は、特にそうだった。したがって、YARAに関する我々の専門的ノウハウをロックダウン中に他に伝えないでいるのは、明らかに誤りだ。したがって、我々は(1)トレーニング形式をオフラインからオンラインに移し、(2)誰でも参加できるようにした。無料ではないが、このレベル(非常に高い)の講座にしてはマーケットレベルの競争力がある価格だ。

こちらがトレーニングの詳細だ

Hunt APTs with YARA like a GReAT ninja

 

続きを読む:YARAルール:ブラックスワンを予測する

2020年8月21日

サイバーの あの日あの時 パート8:1998年~2000年(3つの初めて:構造改革、海外オフィス、パートナー会議)

会社の創立から数年間は、とりわけ厳しかった。まさに身を粉にして働かなければならなかった。それはまさに、雄飛の時のための雌伏の時期だった。1997年にKL(訳注:Kaspersky Lab)が本登記された後、我々はほとんど何もない状態で多くを成し遂げた。資金もリソースもないに等しかったが、サイバーセキュリティのコンベヤーは待ったなしで流れていく。新しい技術が必要とされ、市場は新製品を待ち望んでいた。そんなわけで我々は骨身を削ってこつこつと、週末もほとんど休むことなく働き、休暇などめったに取れなかった。どんなことに取り組んでいたのか?例を紹介しよう…

1998年6月: Chernobyl(CIH)ウイルスの世界的流行。我々以外のアンチウイルス企業は、このウイルスに気付いていなかったか、特に気に留めていなかったか、休暇中だった。このウイルスを検知するだけでなく、感染したシステムを「治癒」する製品を持っていたのは、我々くらいのものだった。インターネット(ロシア語以外にも対応したネットワーク!)上には、我が社のサイトへのリンクがいくつも存在していた。新たな脅威にいち早く対応したこと、さらに、追加の対処手順を備えた「クイックアップデート」をただちにリリース可能であったことが、このような形で報われたのだった。このウイルスは巧妙に自分自身をWindowsメモリー内にインストールし、ファイルアクセス呼び出しをフックして、実行可能ファイルに感染するものだったが、こうした動作に対応するにはカスタム設計の解析プロセスが必要であり、柔軟なアップデート機能なくしてはこのようなプロセスを配信することはできなかった。

実に厳しい日々だった。だが、結果は出ていたし、成長もしていた。そして2か月後、まったく思いもよらない(運命的な?!)救いの手が差し伸べられた…

1998年8月:ロシア財政危機 featuringルーブル下落、さらにロシアの債務不履行。全体的にほとんどのロシア人にとって不幸な出来事だったが、我が社にとっては、とんでもない幸運だった。国外のパートナーが皆、外貨建てで前払いしてくれたのだ。我々は輸出する側だった。運用通貨は大幅に下落したルーブルで、収入はドル、ポンド、円など。おかげで、懐に余裕ができた!

だが、財政危機の真っただ中で「運よく」手にした栄光に、我々は満足しなかった。この時期を利用して、我が社は熟練の(高給の!)管理職を新たに採用した。ほどなくして商務、技術、財務担当のディレクターが揃った。その少しばかり後には、中間管理職の雇用も開始した。これは我が社初の「構造改革」だった。これを機に「チーム」は「会社」になり、和気あいあいとした関係は形式ばった組織らしい構造、上下関係、責任体制に取って代わられた。構造改革は痛みを伴うものになったかもしれないが、ありがたいことにそうはならなかった。家族のようだった時代をことさら懐かしがることもなく、我々は順調に進んでいった。

// この種の再編・構造改革・「再構築」については、マイケル・ハマー(Michael Hammer)氏とジェイムズ・チャンピー(James Champy)氏による書籍『Reengineering the Corporation』(日本語版:リエンジニアリング革命―企業を根本から変える業務革新)を強くお勧めする。実に良い本だ。このほか役立つ書籍についてはこちらにまとめてある。

1999年には、最初の海外オフィスを英国ケンブリッジに開設した。外国企業にとって英国市場ほど参入が難しい市場はそうないだろうに、なぜ、あえて英国を選んだのか?実際のところ、単なる偶然だった(詳しくは後で説明する)。ともあれ、どこかで、何としてでも、初めてのことに踏み出す必要があった。多くの過ちや学びのあった英国での経験は、他の国々での事業展開の際に大いに役立った。

最初のプレスツアーはロンドンで開催された。折しもITセキュリティ会議(InfoSecurity Europe)のため、我々は英国の首都を訪れていたのだった。そのプレスツアーで、英国にオフィスを開設する意図があることを、我々は堂々と発表した。記者たちは当然な疑問を持った。英国内には、すでにSophos、Symantec、McAfeeなどが定着しているのだ。そこで、我が社がいかに革新的であるかを述べ、独自の技術と製品について語り、それ故に先ほど名前が挙がったどの企業よりも優れているのだと主張した。この主張は、少なからずの驚きと関心をもって受け止められた(これ以降、ばかげた質問を受けることもなくなった!)。私にとって英語話者の聴衆に向けた初のスピーチも、やはりロンドンで、InfoSecurity Europeでのことだった…聴衆はたったの2名。後で分かったのだが、彼らは、我が社のことをよく知っているVirus Bulletinの記者だった!講演に空席があったのは、これが最初で最後だった(詳細はこちらをご覧いただきたい)。

我が社初のパートナー会議については、こんな経緯があった。

1998年から1999年にかけての冬のある時、我が社のOEMパートナーであるF-Secure(当時のData Fellows)のパートナー会議に招かれた。ここで我々はパートナー会議の全体的な様式を学び、それがいかに素晴らしいアイデアであるかを知った。皆が集い、技術や製品についてのあらゆる最新情報を共有し、パートナーが抱える懸念や問題に耳を傾け、新たなアイデアについて話し合う。ただ集まるだけではないのだ。それから1年もしないうちに(1999年)、我が社は自社のパートナー会議を開催し、欧州、米国、メキシコからパートナー15社ほどをモスクワに招いた。これは、赤の広場とクレムリンに隣接する革命広場で撮影した、そのときの集合写真だ。

続きを読む:サイバーの あの日あの時 パート8:1998年~2000年(3つの初めて:構造改革、海外オフィス、パートナー会議)

2020年7月21日

サイバーの あの日あの時 パート7:1997年(自分の名が付いた会社の創立)

今回は、我が社にとって特別な年までさかのぼってみよう—創立の年だ。登記簿謄本にあるとおり、創立は1997年6月26日だった。

そこで、我が社は創立記念パーティーを毎年6月7月に開いている(なぜ月が違うのかは聞かないでほしい)。ただ、今年は違う。パーティを開催しないのは、創立以来初めてのことだ。残念だが、どうすることもできない。

1年後の1998年、あまりぱっとしないボウリング場で開催した最初の創立記念パーティーのことを思い出す。翌年以降は、モスクワ周辺の自然いっぱいのところに場所を移した。来年、また同じ場所で開催できることを願うばかりだ。

1997年の夏といえば、こんな話もある。

続きを読む:サイバーの あの日あの時 パート7:1997年(自分の名が付いた会社の創立)

2020年7月15日

サイバーの あの日あの時 パート6:メディア対応のこと

先週ふと気づいたのだが、ロックダウンによる外出規制と自己隔離の生活は、もう1年の4分の1も続いている。自宅にこもる3か月の間、外出したのは、誰もいないオフィスに数回立ち寄ったときと、同様に隔離生活を続けている家族と週末ごとに別荘で過ごすときくらいだった。皆さんと同様、非日常の日常だ。私の場合、飛行機や空港とは無縁になり、ホテル滞在も会議もスピーチもなくなった。要するに、移動はほぼなくなったということだ。

ただし、何ごとも見方を変えてみることはできる。この3か月間、私たちは皆、2億3千万km以上(地球が太陽の周りを回る軌道の4分の1)を移動していたのだ!しかもこれは、太陽系そのものが驚異的な速度で動いているという事実を考慮に入れていない。ロックダウンが始まってからも対して変わっていないのは、業務上の会議だ。すべてオンラインに移行したにすぎない。もちろん、業務全般も通常どおりに動いており、生物学上のウイルスによる影響は受けていない。

だが、ロックダウンの話はこのくらいにしよう。皆さんも、もうこの話題には飽き飽きしていることだろう。というわけで、サイバー関連の思い出語りを続けることにする。今回は、新聞や雑誌、ラジオ、テレビ、さらには各種イベントで受けてきた取材の話だ。CeBITについての回想をまとめているとき(『サイバーの あの日あの時 パート4』を参照)、遠い昔のCeBITで「広報窓口」担当として1週間のインタビュー地獄を味わったことを思い出したのがきっかけになった。考えてみれば確かに、報道陣に対して、あるいは講演などで話をした面白い経験については、いろいろと語れることがある。そんな楽しい話、変わった話をいくつか紹介しよう。もちろん、何点かの写真も一緒に(明るさと画質を上げてある)。

メディアにまつわる話と言えば、規模も趣向もさまざまなあれこれが思い出される。ほとんど無人の会場も、満員のスタジアムも経験した。無名の小さな地方メディアから、誰でも知っている超大手の国際的メディアコングロマリットまで相手にしたことがある。有名大学で、あるいは専門技術者が集まる場で専門的な講義を行ったこともあれば、ドレーク海峡を越えて南極に向かう船の上で算術の不思議について形式張らない講演をしたこともある。私、ユージン・カスペルスキーにとって、さまざまなシチュエーションでの講演はお手のものだ。

続きを読む:サイバーの あの日あの時 パート6:メディア対応のこと

2020年7月8日

サイバーの あの日あの時 パート5:1996年(大変革の年)

今回も、我が社が控えめに創業してから今日の姿になるまでの歴史をさらに振り返ってみたい。ところで、この『サイバーの あの日あの時』シリーズが続いているのは、ロックダウンのおかげだ!そうでもなければ、こんな風にサイバー関連の思い出話をとりとめもなく続ける時間はなかっただろう。

このシリーズを初めてご覧になる方のために、これまでの記事はこのとおりだ。

パート1
パート2
パート3
パート4

では、パート5を始めよう。1996年。まさに運命的な分岐点となった年の話だ。

第1に、私が勤務していたKAMIでは、オーナーたちが袂を分かつことを決めた。KAMIは複数の独立組織に分かれ、翌1997年には、我々も独立した。

第2に、我々はドイツの企業G-DataとOEM(相手先ブランドによる受注生産)契約を結び、アンチウイルスエンジンを供給し始めた。この契約は丸12年、我々がドイツの小売市場でトップになった2008年まで続いた。そのようにことが運んだのだった。我々の独自技術の力は止まらなかった。しかし、我々は何をしたのだろうか?我々(当時はまだ技術パートナーを積極的に探せていなかった)に話を持ちかけ、レミゾフ氏(KAMIのトップ)に提携を提案し、CeBITでの契約締結に至らしめたのはG-Dataであり、詳細はパート4で触れたとおりだ。我々の技術ライセンス事業は、このようにして始まったのだった。

ドイツ人(1995年)の次は、フィンランド人がやってきた。F-Secure(1996年)、当時の社名はData Fellowsだった。同社との提携が始まった経緯をお話ししよう。

1995年8月、Microsoft Wordの文書に感染する、世界初のマクロウイルスが出現した。マクロウイルスの作成がいたって容易であることが判明し、何も知らない多くの人々の間で、このウイルスは驚くべき勢いで広がっていった。これが他のウイルス作成者たちの注目を集め、マクロウイルスはアンチウイルス業界にとって深刻な頭痛の種となった。Word文書のフォーマットはとても複雑で、マクロウイルスの検知は容易ではなかった。そのため、アンチウイルス企業各社は何か月も試行錯誤を繰り返し、1996年の初めに、ようやくMcAfee(会社の方だ)がWord文書フォーマットの「正しい」逆アセンブル方法を発表した。このニュースを、1995年に入社していた同僚のアンドレイ・クルコフ(Andrey Krukov)がつかみ、すぐに的確で有効な技術的解決を考え出した。その成果を私が発表すると、たちまち各社がその技術を購入したいと持ちかけてきた。そうした話が複数あったため、我々は来るイベントですべての会社と会合の場を設けることにした。そのイベントは、1996年秋に英国のブライトンで開催されたVirus Bulletin Conference。アンドレイと私が現地に向かった。

続きを読む:サイバーの あの日あの時 パート5:1996年(大変革の年)

2020年7月6日

サイバーの あの日あの時 パート4:CeBIT

ついに、夏が来た。ずいぶん長くかかったものだ!だが、例年どおり喜ばしいことなのかどうか、よく分からない。まだ、自宅からのリモートワークが続いているからだ。確かに、世界各国で「緩和」は始まっているものの、我が社はことを急ぎはしない。思うに、他のIT企業もおそらく同じで、少なくとも秋までは在宅勤務を続けるだろうし、在宅態勢を年内いっぱい続けると表明している企業もある。言うまでもなく出張のキャンセルは続いているし、展示会やカンファレンスも、オリンピックやカンヌ国際映画祭といった大規模なイベントも、軒並み中止または延期になった。一部の国では、国境封鎖も続いている。

そういうわけで、我々はまだ閉じ込められたまま、外出もままならず、自宅に長時間引きこもっているせいで少々気が変になりかかっている。少なくとも大多数の人はそんな状況だろう。一方、空いた時間を有効に使い、普段より運動している人もいる。元気なことだ!私はその中間くらいで、代わり映えのない日々に飽き飽きすることもあれば、忙しくしていることもある。その中には、古い資料を引っ張り出して昔の写真を掘り出す時間も含まれるのだが、それが懐かしい思い出(さらに、世界の変化がいかに速いかの実感)につながり、次の『サイバーの あの日あの時』につながってくるのだ!

そう、この『サイバーの あの日あの時』シリーズは、サイバー関連の懐かしいあれこれと、私自身がサイバー関連の道を進む中で得てきた個人的な洞察と業界的な見識が入り混じったものだ。誰かの役に立つなり、誰かにとって興味深いものとなれば幸いだ。今回のパート4では、パート3始めたCeBITの話を続けることにする。

続きを読む:サイバーの あの日あの時 パート4:CeBIT

2020年6月24日

自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

およそ4年前、サイバーセキュリティは地政学的チェスゲームの駒の一つとなった。さまざまな国のさまざまな政治家が、敵対的サイバー諜報活動についてお互いに指を突きつけ合い、非難の応酬をしている。一方で同時に—見たところ皮肉でも何でもなく—自国の攻撃的サイバー兵器ツールを拡大しつつある。地政学的な偽り激しい砲火を浴びるのは、この非常に危険で愚かなふるまいを明らかにする能力と、そして度胸を持ち合わせる、独立した個々のサイバーセキュリティ企業だ。

しかし、なぜだろうか?単純な話だ。

第1に、「サイバー」という言葉は、世に出たそのときからクール/ロマンティック/SF/ハリウッド/魅力的な言葉であり、今もそれは変わらない。それに、売れる—製品の観点だけでなく報道の意味合いでも。これは人口に(政治家の口も含め)膾炙した言葉だ。そしてその格好良さと人気故に、人の注意をそらす必要がある際に(よくあることだ)、重宝する。

第2に、「サイバー」は実に専門的だ。多くの人は理解していない。その結果、サイバーと何かしら関連するものを扱うとき、より多くのクリックを常に求めるメディアは、真実だとは言えないこと(または完全に誤ったこと)を提示することができるのだが、それに気付く読者はほとんどいない。そうしたわけで、これこれの国のハッカーグループがこれこれの厄介な、または犠牲の大きい、あるいは損害をもたらす、もしくはとんでもないサイバー攻撃に関わっている、と述べ立てるニュースが大量に生み出されている。しかし、これらを信じてよいものだろうか?

我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。

一般的に、何を信じるべきか見分けるのは難しい。だとすると、サイバー攻撃を正確に行為者と関連付けることは実際のところ可能なのだろうか。

この問いへの回答は2つの部分からなる。

技術的な観点から言うと、サイバー攻撃は独自の特徴を多数有するが、公平なシステム解析では「この攻撃はどの程度、この(あの)ハッカーグループの活動のように見えるか」を判断するところまでしか行くことができない。

しかし、そのハッカーグループがMilitary Intelligence Sub-Unit 233に属する可能性があるだとか、またはNational Advanced Defense Research Projects GroupあるいはJoint Strategic Capabilities and Threat Reduction Taskforceに属するものかもしれない(Google検索の手間を省くため追記すると、すべて架空の組織だ)、というのは政治的な問題であって、事実の操作が行われる可能性は100%に近づく。アトリビューション(攻撃を攻撃主体と関連付けること)は、技術的で証拠に基づいた正確なものから…何というか、占いレベルになってしまう。したがって、その部分は報道にお任せする。我々はそこへは踏み込まない。

攻撃者の身元を知れば、対抗しやすくなる。業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

このように、当社は政治的なアトリビューションを避けている。我々はあくまで技術的側面に忠実だ。事実、それが我々の義務であり我々の仕事なのだ。その面にかけては誰にも引けを取らない、と私から申し添えたい。我々は大規模なハッカーグループとその動向を詳しく注視しており(その数は600を超える)、彼らの関係性にはまったく注意を払っていない。泥棒は泥棒であって牢獄へ入るべきだ。そして、私がこのゲームを始めてから30年以上にわたり、デジタルの不正行為に関する多大なるデータを休みなく収拾し続けてきて、ついに今、我々が得てきたものを、良き形で外部へシェアするときがやってきたと感じている。

先日、我々はサイバーセキュリティのエキスパート向けに新たなサービスを提供開始した。その名を「Kaspersky Threat Attribution Engine」と言う。疑わしいファイルを解析し、このサイバー攻撃がどのハッカーグループによるものかを判断するサービスだ。攻撃者の身元を知れば、対抗しやすくなる。確かな情報に基づいた対策が可能となるのだ。判断を下し、アクションプランを描き、優先度を設定し、業務へのリスクを最低限に抑えながら全体的なインシデント対応をスムーズに開始できるようになる。

Kaspersky Threat Attribution EngineのインターフェイスKaspersky Threat Attribution Engineのインターフェイス

続きを読む:自社ネットワークを攻撃しているのはどのハッカーグループか—推測ではなく、確認を!

2020年6月10日

サイバーの あの日あの時 パート3:1992年~199x年

パート1パート2を読んでいない方のために説明すると、この記事は、私の『サイバーの あの日あの時』年代記シリーズの第3回にあたる。ほとんどの人と同じように私もロックダウン措置の影響下にあり、いつもより時間があるので、サイバーセキュリティの記憶の小道を散策することができる。いつもならば飛行機に乗ってあちらへ、こちらへ、いたるところへ仕事に観光に飛び回っているので、そうした活動にほとんどの時間を取られてしまう。だが今はそうしたことが一切、少なくともオフラインや対面ではできない。そこで、その未消化の時間を一部活用してキーボードに向かい、個人的なこと、Kaspersky Labのこと、サイバーセキュリティの来し方を巡って思い出されるあれこれを綴っている次第だ。今回は90年代初頭から中盤までの話をしよう。

タイプミスがブランド名に

ごく初期のころ、我々のアンチウイルスツールはどれも「-*.EXE」というパターンで名付けられていた。たとえば「-V.EXE」(アンチウイルススキャナー)、「-D.EXE」(常駐モニター)、「-U.EXE」(ユーティリティ)という具合だ。最初に「-」を付けたのは、ファイルマネージャーでプログラムをリスト表示したときに我々のプログラムが一番上に来るようにするためだった(最初から技術おたく気質と冴えたPRのセンスを兼ね備えていたと言えないだろうか?)

後に最初の本格的な製品をリリースしたとき、その製品は「Antiviral Toolkit Pro」と名付けられた。普通に考えれば、略語は「ATP」となるべきだったが、そうはならなかった…

1993年の終わりか1994年の初め頃、過去の集まり(『サイバーの あの日あの時 パート1』を参照)で何度か顔を合わせたことがあり私のことを覚えていたヴェセリン・ボンチェフ(Vesselin Bontchev)氏から、彼が当時勤めていたハンブルク大学のウイルステストセンターでテストに使うので製品を1つ送って欲しいと頼まれた。快諾した私は、ファイルをzipにアーカイブするときにアーカイブの名前をうっかり「AVP.ZIP」としてしまい(本来なら「ATP.ZIP」だ)、気付かないままボンチェフ氏に送ってしまった。しばらくしてボンチェフ氏から、アーカイブを(一般の人も利用できるように)FTPサーバーに置いてもいいかと尋ねられ、そのときも応じた。1~2週間ほど経ってから、彼はこう言ってきた。「君のAVPはFTPでだいぶ人気になってきているよ!」

「AVPって何のこと?」私は尋ねた。
「”何のこと?”だって?君がアーカイブファイルで送ってくれたやつに決まってるじゃないか!」
「何だって?!すぐに名前を変更してくれないか…名前が間違ってるんだ!」
「もう遅いよ。もう公開されているし、皆AVPだと思ってるよ!」

こうして「AVP」が定着してしまったのだ!幸い、「Anti-Viral toolkit Pro」の略だ、ということで何とか切り抜けた(ある程度は)。それでも、やりかけたことはやりとおすべし。我々のツールの名前は、最初の「-」を取って代わりに「AVP」を付けた名前にすべて変更された。今でも、一部のモジュール名に使われている。

最初の出張—CeBITのためにドイツへ

1992年、アレクセイ・レミゾフ(Alexey Remizov)氏(私が最初に勤めたKAMIという会社での上司)が、私の初となる外国渡航用パスポートの取得を手助けしてくれ、ドイツのハノーバーで開催された展示会CeBITに連れて行ってくれた。KAMIは他のロシア企業数社と共同で、ささやかなブースに出展していた。我々のテーブルは半分がKAMIのトランスピューター技術に占められ、残り半分が我々のアンチウイルス製品の展示スペースだった。我々が得たのはわずかばかりの新規取引で、大したものはなかった。それでもなお、大いに有益な出張だった…

当時我々がCeBITで受けた印象は「なんと壮大な!」という感じだった。とにかく巨大だった!しかもドイツが再統一されてからまだそれほど経っていなかったから、我々にとっては西ドイツぽく感じられた—コンピューター資本主義の狂騒!まさに、カルチャーショックだった(その後、モスクワへ戻ったとき2回目のカルチャーショックを経験することになる。詳しくは後日)。

巨大なCeBIT会場の中で、我々の小さな共同ブースはほとんど注目されなかった。それでも、「足掛かりを得る」とか「最初の一歩が一番難しい」とかそんなような言い回しがある。その4年後、再びCeBITに足を運ぶことになった。今度は、欧州の(後に世界規模の)パートナーネットワークの構築を始めるために。が、それについてはまた稿を改めて取り上げることにする(特にこれから自分の事業という長旅を始めようとしている人たちにとって興味深い内容になると思う)。

ところで、その当時からすでに、我々のプロジェクトには少なくとも何らかのPRやマーケティングのサポートが切実に必要だと私は理解していた。しかし我々はそのとき、ろくに持ち合わせもない状態だったし、ジャーナリストからすれば聞いたこともない会社だったから、そうしたサポートを受けるのは難しかった。それでも、CeBITへの最初の出張の直接的成果として、自分たちについて自分たちで書いた記事をロシアの技術雑誌『ComputerPress』1992年5月号に掲載してもらうことができた。自家製のPRだ!

フィー、ファイ、フォー、ファム、英国人のお金の匂いがするぞ!

2回目の出張は、同年6月~7月の英国行きだった。この出張の成果も記事になり、今回は『Virus Bulletin』という雑誌に『The Russians Are Coming!』(ロシア人がやってくる)というタイトルで掲載された。外国の媒体に掲載されたのはこれが初めてだった。ちなみに、記事の中に「18人のプログラマー」というくだりがある。KAMI全体で働いていた人はおそらく18人いたのだろうが、我々のアンチウイルス部には我々3人しかいなかった。

1992年6月、ロンドン1992年6月、ロンドン

続きを読む:サイバーの あの日あの時 パート3:1992年~199x年

ビデオブログ