エフセキュアブログ

ミッコ を含む記事

オンラインの軍拡競争

 The Online Arms Race(訳注:オンラインの軍拡競争)

 Web Summit 2015でのミッコ。

25年間に及ぶウィルスとの戦いでミッコ・ヒッポネンが学んだ5つのこと



エフセキュアCRO(セキュリティ研究所主席研究員) ミッコ・ヒッポネン は、今週月曜日に、 Triangulationのホスト役を務める著名なテクノロジージャーナリストのレオ・ラポルテ氏とビデオチャットを行いました。

ラポルテ氏は20年以上前からミッコとエフセキュアの取り組みを高く評価していますが、IT業界の著名人同士が対談するのは今回が初めてのこととなります。今回のインタビューでは、ミッコの四半世紀近くに及ぶエフセキュアでの取り組みが取り上げられました。ミッコは1991年にプログラマーとして、エフセキュアの前身であるデータフェローズに入社しました。

インタビューは以下でご覧いただくか、 こちらから音声ファイルをダウンロードしていただけます。



お時間の許す方はインタビューを最後までご覧いただければ幸いですが、ミッコのエフセキュアでの四半世紀の足跡を簡単にご紹介するため、下記にデジタル時代のセキュリティ脅威との戦いからミッコが学んだ興味深い事柄を挙げていきます。

1. エフセキュア入社前のミッコは、フォークリフトの運転手でした。この仕事は、世界的に有名なウィルスハンターになるよりも、大きな利点が1つだけありました。

フォークリフトの運転手時代は、その日の仕事が終われば仕事のことは何も考えなくて済みました。インタビューでミッコは、何億台ものコンピュータを保護するエフセキュアのCRO(セキュリティ研究所主席研究員)になると、そのような贅沢は許されないと述べています。

2. 初期のマルウェア作成者は、その後興味深い仕事に就いています。

ミッコはラポルテ氏にパキスタンへの旅行について語っています。その旅行の目的は、25年以上前に最初のコンピュータウィルスを作成した2人の兄弟に会うことでした(詳細については以下でご覧いただけます)。パキスタン人兄弟バシト・F・アルビ(Basit Farooq Alvi)とアムジャド・F・アルビ(Amjad Farooq Alvi)がウィルスを作成した動機は、著作権侵害の防止という、2人にとって正当な目的のためでした。現在この兄弟は、もう1人の兄弟とともに 電気通信事業で成功を収めています。また、最初のコンピュータワームであるモリスワームの作成者ロバート・T・モリス(Robert Tappan Morris)は、現在マサチューセッツ工科大学(MIT)コンピュータサイエンス学部の教員を務め、ITベンチャーの育成支援で有名な Yコンビネーターのパートナーでもあります。




3. ミッコが考える最優先のセキュリティ対策は「バックアップ」。

「コンピュータ、iPad、そして携帯電話のバックアップをしておけば、どのような事態に見舞われてもアクセス可能です」とミッコは述べています。

4. マルウェア攻撃は桁違いに大規模。

エフセキュアラボは毎日約35万件のマルウェアサンプルを受け取っています。「エフセキュアでは、これらマルウェアサンプルに基づいて、1日につき1万件から多い時で2万件ものマルウェアを検知しています」

5. AndroidとiOSは制約が多いため、モバイル機器のマルウェア問題は中国以外では深刻化しない。

「これは、たとえプログラマーであっても、手持ちのiPadに勝手に自作プログラムを組み込むことができないためです」とミッコは述べています。Google PlayやApp Storeに自作アプリを出すには、それぞれGoogle社、Apple社の承認が必要です。このモデルはPlayStationやXboxのエコシステムと比較して、セキュリティの観点からは優れているものの、マイナス面もある点をミッコは指摘し、次のように述べています。「このような閉鎖的な環境では、ユーザがプログラム作成者から単なる消費者になってしまっていることが残念だと思います」

ミッコはインタビューの締めくくりに、エフセキュアのプライバシー・ポリシーについて述べています。「エフセキュアは、製品販売において従来からの方針を貫いており、エフセキュアの製品をご購入いただいたお客様の個人情報保護に努めています」

それでは。
サンドラ

追伸:今週ミッコはEstonian Information Technology College(エストニア情報技術大学)でも公開講演を行いましたので、興味のある方はこちらもご覧ください。




>>原文へのリンク

VB2015

 ミッコは今年のVB2015に参加しなかった…とされているが。

 (訳注:「1993年から毎回Virus Bulletinのカンファレンスに参加していたが、#VB2015 には行き損ねた。はずなのだが、このビデオによれば私は欠席していなかった…。」という意味)

ミッコ・ヒッポネンによる「ハッキングチームの情報流出事件が重大な3つの理由」



ハッキングがニュースになっています。米国が最近明らかにしたところによると、同国は、過去もっとも甚大な影響をおよぼすおそれのあるハッキングの被害を受けたということです。数名の政治家もハッキングによる被害を受けました。そして今回、ハッキング攻撃に遭ったのは、「ハッキングチーム」と呼ばれるグループ自身でした。

情報セキュリティの世界的な専門家、ブライアン・クレブス氏の報告
先週、政治的ハッカーが、イタリアのセキュリティ企業「ハッキングチーム」から盗んだ内部メールや資料などを含む400 GBに相当するデータをオンライン上に公開しました。このイタリアのセキュリティ企業は、世界中の政府にハッキングソフトを販売していたとして、プライバシーおよび人権擁護団体から非難を浴びています。

このハッキングチームが使用していたAdobe Flash Playerのゼロデイ脆弱性(システム上の致命的な欠陥)が発覚したことで、すでにFlashを悪用した攻撃が明らかに増加する結果となっています。



 
しかし、この事件のより重要なポイントはどこにあるのでしょうか。当社の主席研究員(CRO)を務めるミッコ・ヒッポネンは、この件について追跡調査を行い、知見や背景事情をツイートしています

ヒッポネンは、世界中のリポーターからこの件について取材を受けています。ここで、ヒッポネンが彼らにどのように語ったのか、見ていきましょう。

1) このハッキングチームの事件について、どのように考えていますか?

これは、非常に深刻な問題です。

ハッキングチームのような会社は、ここ10年間で数多く市場に登場するようになりました。これは、各国政府が積極的なオンライン攻撃の能力を欲しがるようになったのに対して、それを実行する技術的ノウハウを政府は持っていなかったからです。この市場には大金が流れ込んでいます。ハッキングチームの顧客は、諜報機関や軍、法執行機関などです。

ハッキングチームは合法的な活動をしていたのでしょうか?――私は弁護士ではないので、はっきりとしたことはわかりません。

ハッキングチームは倫理にかなった活動をしていましたか?――いいえ。それは、絶対にありません。たとえば、同社は、スーダンにハッキング・ツールを販売していました。スーダンの大統領は、戦争犯罪および人道に対する罪で国際刑事裁判所(ICC)から指名手配されています。他にもハッキングチームの疑わしい顧客として、エチオピア政府、エジプト政府、モロッコ政府、カザフスタン政府、アゼルバイジャン政府、ナイジェリア政府、サウジアラビア政府などがあります。これらの国々は、人権への配慮がない国として知られています。

ハッキングチームの顧客リスト:

オーストラリア:オーストラリア連邦警察
アゼルバイジャン:防衛省
バーレーン:バーレーン
チリ:刑事警察庁
コロンビア:国家警察情報局
キプロス:キプロス諜報機関
チェコ共和国:UZCチェコ警察
エクアドル:国家諜報機関
エジプト:防衛省
エチオピア:ホンジュラス情報通信保全局―Heraプロジェクト―NICE
ハンガリー:特別国家安全局
カザフスタン:国家安全保障局
ルクセンブルグ:ルクセンブルグ税務局
マレーシア:マレーシア諜報機関
メキシコ:警察
モンゴル:腐敗防止監督機関
モロッコ:諜報機関
ナイジェリア:バイエルサ州政府
オマーン:オマーンExcellence Techグループ
パナマ:大統領保安局
ポーランド:中央腐敗防止事務局
ロシア:国家情報安全局
サウジアラビア:総合情報庁
シンガポール:情報通信開発庁
韓国:大韓民国陸軍
スペイン:国家情報センター
スーダン:国家情報安全局
タイ:タイ警察・矯正部
チュニジア:チュニジア
トルコ:トルコ警察
アメリカ合衆国:FBI
ウズベキスタン:国家安全保障局

2)この種の企業がハッキング攻撃の被害を受け、その技術資産がすべてオンライン上に公開されてしまった場合、どうなるのでしょうか?

今回のような攻撃が起きたのは、これがはじめてではありません。昨年、英国のソフトウェア会社、ガンマ・インターナショナルがハッキング攻撃を受けました。私は、このガンマ・インターナショナルにハッキングを仕掛けたのは、ハッキングチームにハッキングを仕掛けたのと同じグループだと考えています。

攻撃的なハッキングサービスを提供している企業が自らハッキング攻撃を受けた場合、顧客対応に苦戦することになるでしょう。

ハッキングチームの場合は、同社の顧客リストが公開されました。このリストには、世間にハッキングチームの顧客だと知られたくない秘密組織も含まれています。たとえば、ハッキングチームの幹部はロシアの秘密諜報機関に電話をして、ハッキング攻撃により、ハッキングチームとの顧客関係が公になってしまったことを彼らに伝えなければならないでしょう。

ハッキングチームの情報流出により、少なくとも2種類のゼロデイ脆弱性が明らかになったAdobeは、Flash用の修正パッチを至急提供しなければならない事態に陥っています。これ自体は、悪いことではありません。公になっていなかったセキュリティ上の脆弱性が、一般に知られるようになることは好ましいことだからです。しかし、この状況は、Adobeにとっては好ましい事態とは言えないでしょう。これは、ニューヨーク・タイムズも同じことです――iPhoneをハッキングするために、ハッキングチームがニューヨーク・タイムズから流出した“トロイの木馬”(破滅的なコンピュータ・プログラム)に感染したiOSアプリを使用していると主張していることを知れば――。

3) ハッキングチームのような企業が提供しているマルウェアによる被害から逃れることは可能でしょうか?

はい。

当社は、数十種におよぶハッキングチームの“トロイの木馬”に対抗するため、長年にわたって保護策を強化してきました。

ハッキングチームは、同社が販売するプログラムの署名ベースのアンチウイルスの検出を回避するために、製品のアップデートサービスを提供していました。

しかし、ハッキングチームは、一般に市販されている脆弱性攻撃検出ツールにおいては、非常に苦戦しています。これは、現在公開されている彼らの内部Wikiによって確認できます。ここに、そのハッキングチームの内部Wikiのスクリーンショットを貼っておきます。これを見ると、一般的な行動検知ツールにより、彼らの脆弱性攻撃をブロックすることが可能なことがわかります。
 


それではまた。
サンドラ

>>原文へのリンク

「敵を知る」――エフセキュアCRO、ミッコ・ヒッポネン



「友を知れ、それ以上に敵を知れ」

ハッカーたちは、世界中の他の犯罪者と同じように、常に一番簡単な標的を狙います。パッチを適用しておらず、最新の状態に更新されていないネットワークなら防御を簡単に破ることができ、手間をかけずにサイバー攻撃ができるのに、しっかりと保護されたネットワークをわざわざ攻撃する理由があるでしょうか?ハッカーたちの企み、目的、そして手法を理解することは、企業がビジネスセキュリティで一歩先を行くために役立ちます。この目まぐるしく移り変わる世界では、何に注意すべきかを知っておくこと、そして、自分がたやすい標的にならないようにすることが重要です。

93,000人のTwitterフォロワーを持ち、TEDで複数回講演し、ヴァニティ・フェア誌に取り上げられた経験のあるエフセキュアのCRO、ミッコ・ヒッポネンは、業界でも有数のサイバーセキュリティおよびプライバシーの専門家です。20年以上の経験を持つミッコは、サイバーセキュリティの世界のまっただ中に身を置いています。さらに、FBIをはじめとする当局によるサイバー犯罪の取り締まりにも協力してきました。世界初のコンピュータウイルスが作成されてから25年後にあたる2011年、ミッコがはるばるパキスタンまで旅し、「BRAIN」というウイルスの作成者たちを見つけ出してインタビューする様子をドキュメンタリーに収めたこともよく知られています。

我々はすでにデジタルデバイスに依存しています。しかし、これはまだ序の口に過ぎません。接続されたデバイスは、想像力を生み出す新しい機会をもたらしてくれますが、オンライン犯罪者にも新しい機会を与えているのです。

我々は今どこにいて、どこに向かっているのでしょうか?また、これから10年の間にオンラインになると見込まれる10億台もの新しいデバイスを、どうやってセキュリティで保護するのでしょうか?ミッコのウェビナーで、その答えを見つけてください。



>>原文へのリンク

ドライブバイダウンロードについて知っておくべき3つのこと

drive-by downloads, stopping drive-by downloads, drive-by infections


多くのスマートフォンが生まれるはるか以前、マルウェアはユーザが自分自身でインストールしていました。このようなインストールは主に、マルウェアでないかのように装ったメール添付ファイルを開くことで起こっていました。この手法は近頃また、より巧妙な配信手段との組み合わせで多少の復活を見せているようですが、送られる心当たりのない添付ファイルをクリックすることでデジタルの災厄を引き起こしてしまう危険性についてのユーザの認識は、当時に比べて大きく向上しています。

オンラインの犯罪者たちも環境に順応しています。ユーザの防御対策の裏をかいてユーザに代わってマルウェアをインストールするさまざまな方法を見出しました…

ドライブバイダウンロードについて見てみましょう。

1. エフセキュアラボでは、5年以上前からこの種の攻撃を目にしています。
ミッコ・ヒッポネンは2008年3月の記事で次のように述べています。「犯罪者がマルウェアを広める手段として好んで使用している新しい手法は、ウェブ上でのドライブバイダウンロードです。この種の攻撃は依然として迷惑メールを送りつけるところから始まる場合が多いものの、メールの添付ファイルの代わりにウェブリンクが置かれ、そこから悪質なウェブサイトに誘導されるようになっています」

メール、ウェブサイト、またはポップアップウィンドウをクリックするだけで、悪質なソフトを招き入れてしまうおそれがあります。有名なサイトが迷惑な広告を通じてマルウェアを配布していると聞いたなら、ドライブバイダウンロードが関与している可能性があります。

ドライブバイダウンロードは、パソコンを「麻痺させる」ために使われたり、進化してモバイルの脅威となったり、Macにとってそれまでにないほど大きな脅威となったFlashbackを広める手段として利用されたりしてきました。政府や法執行機関向けとして販売されているFinFisher攻撃ツールにも利用されています。

2. ドライブバイダウンロードが機能するには、大勢の人間の関与(または少なくともインフラ)が必要です。
セキュリティアドバイザーであるショーン・サリバンは次のように述べています。「この脅威は1つのエコシステムといえます。非常に多くの人間が関与しているのです。たとえば、銀行強盗犯が何らかの方法でメールアドレスのリストを購入し、迷惑メール業者に委託して迷惑メールを送らせ、その迷惑メールには別の委託先であるエクスプロイトキットベンダーへのリンクがあり、そのベンダーがトロイの木馬ダウンローダ(別のどこかのベンダーから買ったもの)を置き、そしてそのダウンローダが銀行強盗犯のトロイの木馬(これもZeuSのようなキットを基にしている可能性が高い)をダウンロードしてインストールする、といった具合です」

3. ドライブバイダウンロードは、ユーザのアンチウイルスより賢い手法かもしれません。
この脅威は、ユーザのセキュリティソフトやセキュリティトレーニングの裏をかくように設計されています。ソフトを常に最新の状態に保つことは必要な防御対策の1つですが、この種の攻撃は、あらゆる脆弱性をターゲットにするおそれのあるエクスプロイトキットを使用する傾向があります。

セキュリティソフトで複数の手法を使用して既知および未知のいずれの脅威にも対抗できるようにしておきましょう。

エフセキュアのほとんど神秘的ともいえるディープガードの守り手であるティモ・ヒルヴォネンは以前、「ドライブバイダウンロードは、脅威に対して当社製品のすべての保護レイヤがユーザの保護に寄与することを示す代表的な例だ」と語っていました。

では。

ジェイソン

>>原文へのリンク

動画:スタンフォード大学でのミッコの講演

 ミッコが最近スタンフォード大学で講演を行った。


 この講演はYouTubeで視聴できる。

エフセキュア、新しい調査レポートで恐喝型マルウェアの拡大を警告

サイバーセキュリティ企業であるエフセキュアは、新しい調査レポートを公開し、無防備な携帯電話ユーザやPCユーザから金銭を恐喝するマルウェアが増加していることを指摘しています。新しい脅威レポートによると、トロイの木馬やランサムウェアを送信するプレミアムSMSメッセージなどのマルウェアは拡大を続けており、今日、デジタルの脅威の状況において注意を要する存在となっています。

合計574個あるSmsSendファミリーの既知の亜種のうち、259種が2014年の下半期に確認され、SmsSendは最も急速に拡大したモバイルマルウェアのファミリーとなりました。SmsSendは、プレミアム料金の番号にSMSメッセージを送信するトロイの木馬にAndroidデバイスを感染させることで、犯罪者に利益をもたらします。またランサムウェアも、引き続きモバイルユーザに被害を与えました。中でもKolerおよびSlockerファミリーのランサムウェアは、Androidデバイスに対する上位の脅威の1つとして確認されました。

「ランサムウェアは、暗号化やその他のメカニズムを利用してデバイスをロックし、ユーザを閉め出します。」とエフセキュアセキュリティ研究所主席研究員のミッコ・ヒッポネンは述べています。「犯罪者は、身代金を支払わなければユーザ自身のデバイスをロックして閉め出してしまうという手口で、ランサムウェアを使ってユーザを恐喝します。仮想通貨の普及によって、犯罪者がランサムウェアを使うのは非常に容易になってきており、ランサムウェアが犯罪者にもたらす利益と利便性はより大きくなっています。エンドユーザにとって、ランサムウェアは今日最も注意すべきデジタルの脅威です。」

PC上でも、ランサムウェアの検出件数は増加しており、今回のレポートで確認された上位10個の脅威にBrowlockランサムウェアファミリーが加わりました。この他に目立った上位10個の脅威には、Conficker/Downadupワーム、Salityウイルス、さまざまな種類のRamnitウイルスなどが挙げられます。これらの3つのファミリーは、上位10個の脅威の全検出数のうち、合計で55%を占めます。

また、上位10個に新たに加わった脅威で目立っているのは、Kilimファミリーと呼ばれる悪意のあるブラウザ拡張です。この拡張はFacebookアカウントを狙って利用し、意図しないコンテンツを投稿したり、情報を盗んだりします。今回のレポートでも、上位10個の脅威のうち、11%を占めています。エフセキュアによるKilimマルウェアの検出件数が増加した大きな理由に、Facebookからの協力が挙げられます。両社の協力は、昨年5月に発表されており、Facebookユーザが安全にインターネットを利用し続けられるよう支援しています*。

ヒッポネンは、サイバーセキュリティで、攻撃者の動機を理解することが極めて重要になってきていると指摘しています。それを理解することによって、特定の攻撃に決まった組み合わせのマルウェアと手口が使われる理由が明らかになります。「攻撃者の属性を知ることは、組織が自らを守るためにできる最も重要な行動の1つであると考えています。攻撃者が誰であるかを知らずに自らを守ることはできません。」

エフセキュアのWebサイトでは、脅威レポートの全内容の公開を開始しました。このレポートには、2014年下半期におけるデジタルの脅威の状況について、新しい進展、地域別の脅威、および詳細について、より詳しい情報が記載されています。

*出典:https://www.facebook.com/notes/facebook-security/making-malware-cleanup-easier/10152050305685766

詳細情報:2014年下半期脅威レポート
https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014

動画:オンラインの世界のテロリスト集団

 最近の事件を鑑み、オンライン攻撃を行うテロリスト集団の危険性に関する、ミッコのこちらの講演はタイムリーだと思う。


 YouTube: Terrorist Groups in the Online World

 ヒント:自分のパスワードを電波に乗せて、与しやすい標的にならないように。

David Delos

インターネットに安全地帯はあるのか?

みなさん、こんにちは。Rakuten-CERTの福本です。
 この度、2015年4月7日、8日に新経済サミットが開催されることになりましたが、今回、サイバーセキュリティのセッションで、なんと、あのエフセキュアブログでもお馴染みミッコ・ヒッポネンが登壇することが決まりました!

topic_1Mikko_Hypponen
インターネットに安全地帯はあるのか? ミッコ・ヒッポネン(F-Secure  チーフ・リサーチ・オフィサー)

高度情報通信ネットワーク社会において、サイバーセキュリティはもはや欠かせない重要なキーファクターとなり、政府機関も民間もセキュリティ体制、対策の強化が急ピッチで進んでいるかと思います。僕は13年以上、楽天でサイバーセキュリティを担当していますが、サイバー攻撃・犯罪の手口はここ数年で著しく巧妙なものとなり、それは映画の世界みたいな話ではまったくなく、まぎれもなく現実世界の話であり、そんな中、僕たちは安全なモノづくりだけではなく、日頃からセキュリティ監視・分析も行い様々な攻撃に対する対応をしています。いま世の中的に更なるセキュリティ対策強化が求められるこの状況で、今回、ミッコがどのような話をしてくれるのか、僕たちにどのようなインプットを与えてくれるのか、非常に楽しみにしています!僕ももちろん当日は会場にいる予定です。興味のある方はぜひ参加されてはいかがでしょうか。 


ミッコ・ヒッポネン、Mobile World Congressでプライバシーを語る




今年のMobile World Congress(MWC)が来週開催されます。毎年バルセロナで開催されるこの技術展示会では、モバイルテクノロジーに関する最新のニュースが話題になります。過去一年で起きた最も大きな問題の一つがきっかけとなり、弊社でデジタル・フリーダムに取り組むミッコ・ヒッポネンがこのイベントに参加します。

有名なデジタル・フリーダムの提唱者であるヒッポネンは、デジタルの脅威からインターネットとインターネットユーザを約25年間守ってきました。MWC開催期間中の3月2日(月)、彼は「つながる世界でユーザ中心のプライバシーを守る」と題したカンファレンス・セッションに参加し、プライバシーを決して過去のものにしないための様々な方法について討議します。

ヒッポネンは、現代のテクノロジーがすべての人にとって計り知れないほどの利益をもたらしたと考える一方、彼が「オンラインの世界で間違った方向に進んでいる」とみなす事柄について、率直に批判もしてきました。特に、この一年はそういった様々な問題に対して発言をしてきましたし、新たなマルウェアとサイバーセキュリティの脅威一般人への大規模サーベイランスとデジタルプライバシー、モノのインターネット(IoT)のような新興技術の悪用の可能性についてなど、様々なトピックについてインタビューを受けてきました。

今回のセッションでは、ヒッポネンと他5人のパネリストが登場します。しかし、このイベントはTwitterのハッシュタグ#MWC15PRIVで一般公開されるので、あなたも議論に参加することができます。あなたが参加しやすいよう、議論のポイントを以下に3つご紹介します。

1 モバイルの世界におけるセキュリティ

米国ニュースサイト「The Intercept」の最近の報道によって、いかにして米国および英国政府がSIMカード製造の世界最大手ジェムアルトをハッキングしたのかが明らかになりました。ハッキングによって両国政府は、世界中の携帯電話による通話を保護する暗号化キーを入手しました。これがどのように議論に関わってくるのか関心があれば、このブログの最近の記事でも事件について読むことができます。

2 オンラインでの安全を守る

アドウェアプログラムの「Superfish」にセキュリティ上の欠陥があり、ハッカーがこれを利用して、ショッピングやインターネットバンキングなどのウェブサイトになりすませることが最近明らかになりました。これらの「介入者」攻撃は、非常に深刻な被害を生む可能性があり、人々をだまして個人データを犯罪者と共有させてしまいます。この事件によって、人々が自分の使うデバイスを信頼できることの重要性が浮き彫りになりました。また、Superfishが世界最大手のPCメーカーのノートパソコンにプレインストールされていたため、この問題はすぐにでも議論する価値があります。

3 プライバシーおよびモノのインターネット(IoT)

サムスンは最近、同社のスマートテレビの前で個人情報を話すときは注意が必要だと警告しました。このブログの過去記事でも詳細を読むことができますが、基本的にスマートテレビの音声起動技術は明らかに人々が話したことを聞いていますし、その情報を第三者と共有もしてしまいます。多くのデバイスが「スマート」になるにつれて、我々はそのデバイスの周囲での発言や行動に関し、より賢明にならなければいけないのでしょうか?

セッションは中央ヨーロッパ標準時(CET)で16:00〜17:30に行われる予定です。MWCでデジタル・フリーダムの取り組みに参加できる機会を是非ご利用ください。

>>原文へのリンク











ミッコ・ヒッポネン、インターネットについて語る。「インターネットを台無しにする方法はたくさんある」



2月10日は、セイファー・インターネット・デー(Safer Internet Day)ですが、これはどういう意味でしょうか?最近のエフセキュアによる調査では、回答者の50%が、インターネットのセキュリティおよびプラバシーをほとんど、または全く信用していないと答えています。今回、ウイルスと戦い、ネットを守る活動で世界的に知られる、エフセキュア セキュリティ研究所主席研究員のミッコ・ヒッポネンにインタビューし、インターネットの現状、今最も注目している新技術、また、インターネットがなくなった場合に最も惜しまれるものについて聞きました。


今年の「インターネット安心デー」のテーマは、「より良いインターネットをともにつくる」です。インターネットの現状をどう思いますか?

インターネットはすばらしいものですが、オンラインの世界では良くないことも起きています。サイバー犯罪者がマルウェアを拡散していることはもちろん、政府がテクノロジーを使って自国民を監視しているほか、テクノロジーによってプライバシーに関するさまざまな懸念が生まれています。私たちが進むことができる道は2つあります。ひとつは、このままデジタル・フリーダムから遠ざかっていく道、もうひとつは開かれた自由なインターネットを守るために行動を起こす道です。


最近、インターネットの革新的技術(ビットコイン、モノのインターネット)の落とし穴についてお話しになっていますね。今注目していて、より良いインターネットをつくる上で本当に有望だと思うサービスまたは新技術はありますか?

私はクラウドソーシングを強く信じています。その2つの例が、ウィキペディアと、キックスターターのようなクラウドファンディングです。ウィキペディアは人類の知識を集めた最大のコレクションです。今の10代の若者たちにとって、百科事典はたった5人の著者によって書かれた、一昔前の、馴染みのない存在です。今日の10代の若者たちは「どうしてそんなものを信頼できるんだ?」と思っています。

クラウドファンディングなら、今までなら出会えるはずがなかった、例えばピンクのリボン収集など、ニッチな興味を持つ人々のネットワークが実現します。そうした人々が集まり、情熱を傾けている一風変わった物事に資金を提供することができます。1つの都市だけでは十分な資金を調達できなくても、インターネット上なら、仲間を見つけ、関心を抱く何かを実行する力が生まれます。私自身も、20件のキックスターターに資金を提供しました。


以前、あなたはインターネットを子供たちに伝えることができないかもしれないと心配していると言っていましたね。それはどういう意味ですか?今後インターネットはどうなっていくとお考えでしょうか?

インターネットが存在しなくなるという意味で言ったのではありません。私が言いたかったのは、私たちは自由で開かれたインターネットを楽しむことに慣れていますが、それを台無しにする方法はたくさんあるということです。私たちが何もしなかったせいで、子供たちが今よりも自由ではなく、オープンでもないインターネットしか使えなくなることは避けたいのです。インターネットが生まれたとき、国家権力側は気にも留めていませんでした。しかし最近、権力側はインターネットの力を十分に認識しており、だからこそ、管理、制限、監視したいと考えています。自由で開かれたインターネットを楽しむにはその対価を支払う必要があります。その対価とは、それを守らなければならないということです。それは、あなたと – 私たち全員の – 責任です。


インターネット安心デーは子供たちに重点を置いています。子供たちのインターネットの利用についてどう思いますか?

子供たちはインターネットについて何も考えていません。それは単に、インターネットがない世界を知らないからです。普段とは違う世界について子供たちに話すことは、18世紀に関する本を読み聞かせるようなものです。彼らにとって、インターネットは電気と同じくらい当たり前のものなのです。もちろん、インターネットが電気のようなものと違う点は、守る必要があるということです。


それでは、インターネットは完全に崩壊に向かっているわけではないのですね。それでも、もし、今日インターネットが崩壊してしまうとしたら、何が一番惜しまれますか?

セレンディピティ、つまり偶然の発見です。無作為にネットサーフィンしていて、存在すら知らなかった、聞いたことのない物事について学べることです。


最後に、読者にメッセージをお願いします。


オンラインの世界で良くないことが起きているにもかかわらず、行動を起こしている人の数はわずかです。できることは何もないと言って、何もせずにあきらめてしまう人もいます。慣れればいいんだ、と。しかし、私はそうは思いません。何かが悪い方向に向かっていることに気づいたら、それを止めようとするべきです。私たち全員が活動家になることはできませんが、小さなことであれば、誰にでもできることがあるのです。


私たちの誰もが行動を起こすための実用的な方法に関するミッコのアイデアをチェックしてください。


>>原文へのリンク

エフセキュアのミッコ・ヒッポネン、インターネットの現状を分析

2月10日はインターネットの安全を考えるセイファー・インターネット・デー(Safer Internet Day)です。しかし、マルウェアによる攻撃やプライバシーの侵害といったニュースが絶えず報道されており、インターネットの安全性はかつてないほど脅かされているようにも感じられます。エフセキュアの主席研究員を務めるミッコ・ヒッポネンは、このセイファー・インターネット・デーに、インターネットの現状を分析し、より良いインターネットをともに創造するためのアイデアを公開します。

エフセキュアが行った最近の調査では、インターネットのセキュリティとプライバシーに関して、対策を講じている場合でも、ある程度信用できると回答した人は46%、あまり信用できないと回答した人は39%、まったく信用できないと回答した人は11%に上りました。インターネットを信用しており、セキュリティやプライバシーについてあまり心配していないと回答した人はわずか4%に過ぎませんでした。しかし、これも当然のことでしょう。エフセキュアでは毎日、平均25万を超えるデスクトップにおけるマルウェアのサンプル(多くはWindows)と、9,000を超えるAndroidでのマルウェアのサンプルを受け取っているからです。こうしたマルウェアは、私たちの金銭やコンテンツ、個人情報を盗もうとしています。

インターネットは、様々な面においてこの世界を変革し、便利にしてきましたが、ヒッポネンは、「私たちはモンスターを創ったのではないかという思いにとらわれるときがある」と話しています。どのようなイノベーションにも負の側面はつきものです。ヒッポネンが挙げた例を、ここでいくつか見ていきましょう。

セキュリティ問題に対するソリューションとしてのオープンソース?:いいえ、おそらくそうではありません。オープンソースのソフトウェアは、誰でも閲覧できるソースコードによって理論上はより広範囲な精査を受けるため、安全性が高いとよく言われます。しかし、ヒッポネンは2014年における最大のセキュリティ脅威を2件(HeartbleedとShellshock)指摘しています。どちらもオープンソースシステム内で発見された主要な脆弱性であり、誰も気付かないまま長期間存在していたものでした。

デジタル通貨は金融システムを救う?:暗号化をベースにしたビットコインなどのデジタル支払いシステムは、金融制度の根本的な問題を解決することが可能とされました。しかし、ハッカーがマルウェアを作成してビットコインシステムを悪用するなど、新たな問題も生まれています。さらに、ビットコイン・マイニングのためのスーパー・コンピューティング・パワーを巡る競争は、ビットコインの価値が低下したため、数百万ドル規模のデータセンターが運用できない状態になり、焼け散る(あるデータセンターではまさに文字どおりに)結果となりました。

モノのインターネット:トースターや洗濯機、車といったあらゆるモノがインターネットに接続されれば、様々な機会が生まれます。しかし、ヒッポネンは、「スマートデバイスとは、単に悪用可能なデバイスのことだ」と述べています。すでに、スマートセキュリティカメラをビットコイン・マイニング用デバイスに変えるマルウェアが発見されています。声または顔認証といった技術を利用したスマートデバイスによるプライバシー侵害の可能性は言うまでもありません。

「無料の」インターネットサービス:「サービスに金銭を払っていないからといって、それが無料ということにはならない」とヒッポネンは指摘しています。常に、代価として何かを提供しているのです。金銭ではないとすれば、それは、あなたの個人情報ということになります。時間をかけて利用条件を精読しない限り(ほとんどの人がこれを行っていませんが)、こうしたサービスが皆さんの個人情報をどのように利用しているか、本当のところは分からないのです。

監視社会:政府は新しいマルウェアの主要なソースのひとつとなっています。ほかの政府を監視できるばかりでなく、国民を監視することも可能です。ヒッポネンは、「インターネットの構築により、監視社会に最適なツールが構築された」と述べています。私たちがどこで何をし、誰と連絡を取り合い、何を考えているのかを、政府は監視することができるのです。

ヒッポネンは次のように述べています。「私たちは素晴らしいインターネット革命の時代を生きています。しかし、現在起きている問題に対処しないままでいると、自由に使えるオープンなインターネットを子供たちに残すことができなくなるかもしれません。」

私たちにできることは?

セイファー・インターネット・デーのテーマは、「より良いインターネットをともにつくる」ことです。このテーマを踏まえて、一般市民にできることは何でしょうか。ヒッポネンは、一般の人でも影響を及ぼすことのできるシンプルな方法をいくつか提案しています。

  • 質問する:新しいデバイスを購入する際は、店頭で店員に質問しましょう。「そのデバイスはオンライン上にあるのか? それはなぜなのか?」「そのデバイスは、ユーザの個人情報を収集するのか? そうだとすればそれはどのような情報か?」 質問して、答えを求めましょう。デバイスメーカーや小売店に、人々がプライバシーについて懸念していることを伝えましょう。
  • 大手インターネットサービスに多くを知られないようにする:ブラウジングしながらGoogleやFacebookにログインしたままでいると、これらのサービスはウェブ上で皆さんを追跡することができます。すでにこうした大手インターネットサービスに情報を与えすぎてしまっていると思う場合は、そのサービスを利用するときは別のブラウザを利用して、普段使っているメインのブラウザからはログインしないようにしましょう。
  • 簡潔な使用条件や使用許諾契約を要求する:使用条件や使用許諾契約はあまりにも長く、普通の人には理解できないような専門用語が多く含まれています。法律の学位がなくても、数時間も時間をかけなくても理解できるような簡潔なものを要求しましょう。
  • クラウドの力を利用する:クラウドベースのセキュリティでユーザを保護するインターネットセキュリティソリューションの活用を検討してみましょう。クラウドの下では、ユーザ基盤は動物の群れのようになっています。たとえば、群れの一員が病気になると、群れ全体がその病気に対する予防接種を受けることになります。クラウドベースのセキュリティは、我々ユーザ全体を保護する情報を共有しています。
  • 透明性を求める:AVセキュリティのベンダーに、ユーザのプライバシー保護に関して、透明性を確保するよう要求しましょう。ユーザまたはユーザのコンピュータからどのようなデータを収集しているのか、説明を求めましょう。個人情報の収集に関する方針を一般に公開しているセキュリティベンダーは世界に1社しかありません。

詳細情報
Safe & Savvyでのヒッポネンのインタビューの詳細はこちらをご覧ください。

サウロンの耳

 The Daily Beastの最近の記事が、サムスンの「スマート」テレビの利用規約に関する大論争に火を付けたようだ。何か月か前にミッコのツイートを読んだときには、ちょっと驚きだったが。だがとにかく、聞き耳を立てているものが話題になっている。

 では、「always-listening voice search」という言葉は、良いもののように響くだろうか?あるいは鳥肌が立つ感じがする?

 なぜならこれは、GoogleのブラウザChromeの将来的な姿なのだ。

Always-Listening Voice Search
図:How-To Geek

 「always-listening」という機能は、現在Google Voice Search Hotword (Beta)で提供されている。

 そしていつものように、これについての興味深い詳細は細則のなかにある。

plus a few seconds before
動画:Talk to Google on Chrome

 「plus a few seconds before(および数秒前)」というのは、興味を引く言い回しだ。

 これが、音声が「有効」になったデバイスの問題点なのだ。デバイスは常に聞いている。常に(バッファに)記録している。ここでの疑問は、音声認識サービスにどれくらいアップロードされるか、だ。

 「a few seconds」というのに不安感はない?

あなたは誰を信じるか?

 我々が動画を投稿するとき、通常なら皆さんがよくご存じの人物が映っている(ミッコ)。しかし本日は…、皆さんはご存じないかもしれない人の動画を投稿したい。彼は(当研究所の中で)我々のことを称賛している。我々のほうも彼について同じ気持ちだ。

 誰のことか?当社のCEO、Christian Fredriksonだ。

 エフセキュアに来た最初の日から、彼は最後に退船する(あるいは救助を試みて死んでしまう)人物のように目されてきた。


Christian Fredrikson
Trusted cloud services a key for European success(ヨーロッパの成功には信頼のおけるクラウドサービスが鍵となる)

 我々の観点からすると、彼もまた、あなたがエフセキュアに信頼を寄せることのできる別の好例である。

#Slush14 「R.I.P Internet」: サイバー犯罪者、ハクティヴィスト、国家、テロリスト集団の4つのベクトル

  ミッコが11月18日にフィンランドのベンチャースタートアップ・イベント「SLUSH」で「R.I.P Internet」と題して講演した。この「SLUSH」はフィンランド首相のスピーチで幕を開けているが、起業家、投資家、パートナー企業、アーティスト、メディアが出会える場所になるのを画策していて、日本からも楽天の三木谷氏や孫泰三氏などが参加している。

  この「SLUSH」での講演の中で、ミッコは3年前の「Google Zeitgeist」での講演から続く重要なアップデートを行っている。 

http://blog.f-secure.jp/archives/50738846.html 

  2011年に行われた「Google Zeitgeist」での講演では、ミッコは警戒すべきサイバー攻撃者として、サイバー犯罪者、ハクティヴィスト、国家の3つのベクトルを挙げていた。

http://blog.f-secure.jp/archives/50630539.html 

  「SLUSH」での講演の中では、それらに加え、実際のテロリスト集団が第4のベクトルとしてサイバー攻撃者となりつつある可能性を挙げた。ミッコが例として挙げたのは、2011~2012年に多数あったハクティヴィストによるハッキング事件を起こしたグループの内の「TeaMp0isoN」の Abu Hussain Al Britani についてだった。

  この「TeaMp0isoN」という名前には私も聞き覚えがあった。「TeaMp0isoN」が主に活動していたのは「LulzSec」の活動が活発だった時期で、彼らはその2011年当時「@TeaMp0isoN」のTwitterアカウントで活動していたため、私も活動をモニターしていたからだ。

  しかし「@TeaMp0isoN」の動きは、レイシスト・ミソジニスト的な発言が多いためフェミニストグループなどと対立するなど、LulzSecやAnonymous系のアカウントとは違っていたのが特徴的だった。また「TeaMp0isoN」が攻撃を仕掛けていた一つが、イギリスの移民排斥などを主張する極右グループ「English Defence League (EDL)」だったことは、「TeaMp0isoN」のメンバーが移民なのか何らかの民族的なバックグラウンドがあることがうかがえた。

  「SLUSH」での講演でミッコは、「TeaMp0isoN」の首謀者「TriCk」は Abu Hussain Al Britani という男性で、逮捕され裁判で刑期も決まったところ何者かが保釈金を出しその後行方不明になっていたが、彼は今年シリアで「ISIS」に参加しているのが判明した事と、「ISIS」が多数のハッカーをリクルートしている事に触れた。(注: 自称「Islamic State」というテロリスト集団の名前はそれ自体がプロバガンダのため、私は訳さずに「ISIS」と呼ぶ事にしている)

  数万人規模と云われる「ISIS」には、中東・アフリカからだけでなくヨーロッパからも多数の志願参加者が出ている。「ISIS」はイスラムの名を使っているが実体は油田や銀行を戦略的に襲い斬首を常套的に行う残虐なカルト的集団に見える(これは日本でのオウム真理教が仏教の一派を装っていたが教義はかなり独特なものだった事に似ている)。また「ISIS」の参加者の中には、イスラム式礼拝の際にメッカの方向に向けて礼拝することを知らない者が混じっているのが観察されたりしている。このISIS志願者の流れの中にハッキング能力を持った者が含まれているということだ。
WaPoSyria

動画:R.I.P. Internet #Slush14

 ミッコが火曜日にSlush 2014にて素晴らしい講演を行った。ご確認を。


R.I.P. Internet(訃報:インターネット)

 その他のSlushの動画はYouTubeにて提供されている

ミッコ・ヒッポネンに質問をするための準備 5つの方法



誰もがどこからでも参加することができるプレス・コンファレンスのようなものです。たとえもし質問がなくても、あなたの賛否を投票することができます。

オバマ大統領も実施しました。スヌープ・ドッグ/スヌープ・ライオンも実施しました。ある宇宙飛行士も宇宙から実施しました。

そして私たちのミッコ・ヒッポネンは12月2日の米・東時間で午前9時(日本時間の12月2日午後11時)に再びReddit AMAに出演します。

もしオンライン・セキュリティについて彼に質問をお持ちでしたら、たいへん結構です。もしお持ちでない場合、ご準備いただくために、過去20年間にミッコ・ヒッポネンがセキュリティ業界で残したいくつかのソースをご紹介します。

1. 彼の2004年の仕事についてVanity Fairチェックする

2. TED.comで紹介された彼の3つのプレゼンテーションを見る

3. TEDglobalで彼の最初のプレゼンテーションが公開された直後の、彼のAMAをチェックする



4. 最初のPCウイルスの作成者に会うためにミッコとパキスタンへ行く




5. 最近彼が考えていることを知るために、Black Hatでの彼の直近のプレゼンテーション「マルウェア作成者としての政府当局」を観る




ボーナス:オンライン・セキュリティ、プライバシーや古典的なアーケイド・ゲームに関する洞察の流れを常に得るために、ミッコのツイッターをフォローする


サンドラ

>>原文へのリンク



なぜShellshockがHeartbleedよりも危険なのか、ミッコ・ヒッポネンが解説

CNBC AfricaのAki Anastasou氏によるインタビューで、弊社のミッコ・ヒッポネンが、なぜShellshockのバグがHeartbleedのバグよりも社会にとってより大きな脅威であるのかを説明しました。Heartbleedは、今年年初にニュースで大きな話題になっていました。

「ShellshockもHeartbleedも、オープン・ソースのシステム、すなわちLinuxやUnixベースのシステムの脆弱性です」とミッコは語っています。

「いずれも非常に深刻です。Heartbleedは過ぎ去りました。数ヶ月前に発生しましたが、Heartbleedに対するパッチを適用すれば、攻撃者はもはや情報を詐取することはできません」と彼は解説します。





「しかしShellshockはさらに深刻です。今現在パッチを当てても、攻撃者はシステムにアクセスできるようにShellshockを使用した可能性があります。たとえパッチを適用しても、システムの中に存在しているかもしれません。」

ソフトウェアのバグが避けられない世界で、できる限りシステムを安全にするために、ミッコは三つの基本的な事項を提案しています。
1. 侵害された場合にデータを復旧できるように、すべてのPCやデバイスのバックアップを取る。
2. PCやデバイスに、ブラウザやプラグインも含む全てのソフトウェアにパッチを適用する。
3. バックアップとパッチが完了したら、全てのシステムのウイルス対策やセキュリティ・ソフトが最新であることを確認する。

オンラインの脅威と闘ってきた数十年の間に、ミッコが経験した最悪のコンピュータ・ウイルスについてご関心はありますか?TED Radio Hourをご覧ください。

>>原文へのリンク

コンテンツにお金を払うということ

 初めて当社のWebサイトをセットアップしたときのことを、筆者は覚えている。それは、20年前、1994年のことであった。Webは非常に若く、ほんの一握りのWebサイトしかなかった頃だが、Webが成長していくことは容易に予測できた。そしてもちろん、ここ20年の間に、爆発的に数が増えた。さらに重要なことは、Webが普通の平凡な人々をインターネットに招き入れたことだ。Web以前は、ネット上ではギークやナードしか見られなかった。今では誰もがネット上にいる。

 さかのぼること1994年、やがてくるWebの成長は何が契機となるのかについて、我々は予測を行った。Webが成長するためには、オンラインコンテンツ、つまりニュースや娯楽のようなコンテンツが存在することが必要だ。そしてニュースや娯楽がネットに移行するには、誰かがそれに対価を支払わねばならない。ではユーザは、どうやってお金をオンラインコンテンツに支払うのか?我々にはまったくわからなかった。新聞が紙バージョンでやっているように、オンラインでの年間購読費用の課金を始めるのだろうか?あるいはWebがオンラインのオンデマンド支払いシステムの類と統合し、コンテンツにアクセスするためにブラウザ内で少額決済をする簡単な方法がユーザに用意されるのかもしれない。これはDilbertという漫画の本日分を読むために、ユーザがいわば1セントを支払うようなことができるというものだ。

 ご存じのとおり、そのような少額決済システムはまったく現れなかった。20年前でもこのように明白なことのように見えたのに。その代わり、明るみになったオンラインコンテンツへの対価の支払い方法は、まったく異なる。つまり広告だ。Webサイトで最初にバナー広告を見たときのことを私は覚えている。おそらく1995年か1996年のことだ。他の誰かのWebサイトに広告を表示するために対価を支払う企業の考えに、苦笑がこぼれた。笑うべきではなかった。これと同じ考えが、今はほぼすべてのオンラインコンテンツを後押ししている。そして、GoogleFacebookといった企業では、高度に効率化された広告プロファイルエンジンが実質的にすべての利益を生み出している。

 ユーザプロファイルがどれほど利益につながり得るかについて、とりわけGoogleは好例だ。Googleのサービスには検索、YouTube、マップ、Gmailなどがあるが、これらは無料だ。1セントも支払わずに利用できる。こうしたサービスを稼働させるのは甚だしく高額である。Googleの電気料金だけでも、年間1億ドルを超える。非常に高価なサービスを提供しつつ課金をしない企業は損失を出していると考えるかもしれないが、そうではないのだ。2013年、Googleの収入は600億ドルであった。そして利益は120億ドルである。つまり、Googleには10億人のユーザがいると謙虚に見積もったとして、Googleは昨年ユーザ1人当たり12ドルの利益を得た。1セントたりも支払うことなくだ。

 率直に言えば筆者は、追跡やプロファイルをしないのであれば、Googleのサービスを使うのに喜んで年間12ドルを支払う。ふん、年間100ドル支払ったっていい!しかしGoogleはそういう選択肢を筆者に与えない。我々、つまりユーザたちは、我々のデータや行動をプロファイルおよび保存されることで、長期的にはもっと価値があるのだ。

 もちろんGoogleは営利企業だ。不法なことは何もせずに我々をプロファイルしている。我々が自身のデータをGoogleに自発的に提供しているのだ。そしてGoogleのサービスは素晴らしい。しかし時折、物事が違った形になり、コンテンツやサービスに対して支払いを行う単純な少額決済システムがあったらと願うことがある。今や暗号通貨が立ち上がったことで、これはいずれは現実になるかもしれない。

 ミッコ・ヒッポネン

 この記事は、エフセキュアの2014年上半期の脅威レポートの序文として初めに公表された。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード