2021年も終わりに近づき、この12ヶ月間に起こった良かったことや悪かったことを再確認し、来るべき新年に備える時期がやってきました。年末にあたり、Cyber Security Saunaの特別エピソードとして2部構成で収録しました。今回は、エフセキュアのチーフ・リサーチ・オフィサー(CRO)であるMikko Hypponen(ミッコ・ヒッポネン)、セキュリティコンサルタントのAdriana Verhagen(アドリアナ・フェルハーゲン)、AI研究者のAndy Patel(アンディ・パテル)の3名にEpisode 63に参加いただき、2021年の振り返りと2022年以降に直面するであろう問題について話してもらいました。このエピソードでは、サイバーセキュリティと取締役会の関係、セキュリティとビジネスを統合するための取り組み、メタバースの意味、サイバー犯罪のユニコーン、攻撃における機械学習、プログラミングの未来などについて議論しました。
Janne:2021年に皆さんが注目した出来事は何でしょうか?
Adriana: 2020年の年末にSolarWinds社へのハッキングがありましたが、これはかなり大きな事件で、その余波は2021年にまで及びました。そして、同社の取締役会がリスクを認識していたにもかかわらず、十分な注意を払わなかったということで訴えられました。
この事件は、取締役会がサイバーインシデントとその影響に対してますます責任を負うようになることを示す先例だと思います。それ以降、取締役会は、組織やサイバーリスクの管理方法について、より深く関与するようになってきたと思います。
Mikko Hypponen, Adriana Verhagen, Andy Patel
Mikko: なるほど。今まさにそのようなことが始まっているのでしょう。私の考えでは、リーダーシップチームや取締役会は、サイバーセキュリティという課題全体を長年無視してきたと思っています。トップマネジメントの話題に挙がるのは、自社内で事件が起きたり、ニュース記事になった時だけです。今の時代を考えると、まったくお粗末としか言いようがありません。
私は、サイバーセキュリティは、あらゆる企業の取締役会での永遠のテーマであるべきだと考えています。しかし、それを妨げているのは、典型的な役員達の取り組み方です。彼らはデジタルな話題や技術的な話題にはあまり強くない人たちであることは確かです。したがって、彼らはできることならこの手の話題を避けようとしていますが、もはやそれは通用しません。
そうですね。経営幹部が責任を問われることに関しては、現場の多くの人たちが歓迎していることは確かです。しかし、それで良いのでしょうか?そうすべきなのでしょうか?あなた方が指摘したように、彼らは本当に技術のことを知らないのでしょうか?これは彼らの問題なのか、それともその直属の部下か、誰の問題なのでしょうか?
Adriana: 私は、取締役会には組織のリーダーシップチームと協力して、その議論が正しいことを確認する責任があると考えています。もし取締役会が確認できないのであれば、サイバーリスクの管理に対する取組みが甘くなるでしょう。取締役会には説明責任があり、その責任はますます大きくなっていくと思います。取締役会を構成する役員たちの中には、すでにトレーニングを受けたり、危機管理演習に参加したりしているケースも見かけられます。したがって、以前よりも少しはましになっていますが、もっと良くする必要があると思います。
Mikko: そうですね。取締役会には、職場の安全や火災時の安全確保などに責任があるように、セキュリティにも責任があると思いますし、そうあるべきだと思います。彼らは火災安全の専門家ではありませんが、会社がそれに対処するのは自分たちの責任であることを自覚していると思います。通常はもちろん専門家が対処しますが、最終的な責任は経営陣にあります。そして、セキュリティの安全性についても同じように考えるべきです。
そのとおりです。それが私の言いたかったことです。取締役会が「ドアにはどのような錠が付いているか? 今年は防災訓練をしたか?」などと聞くことはありません。誰かがそれをしっかりやってくれていると信じているのです。では、最終的な責任は取締役会にあるのか、それとも組織の他の誰かにあるのでしょうか? 取締役会は「サイバーセキュリティのために十分なことをしているのか?」というようなことをCIOなどに尋ねているのでしょうか?その人たちは、「はい、私たちがしています。」とうなずいているのでしょうか?
Mikko: ここ数年にわたり、大企業の経営幹部と特にランサムウェアについて議論してきました。まさにその通りの質問をしている企業もありました。リーダーシップチームのメンバーや取締役会のメンバーがCIOやCISOに対して次のような話をしているのです。「当社は本当にバックアップを取るべきものを取っているのか? それとも、すべてのものをバックアップしているのか?そのバックアップデータは、外部の攻撃者によって破壊されることはないのか?どうすればそれがわかるのか?どうすれば確信できるのか?皆に見せなさい。私に見せなさい。データを復元できることを証明しなさい。24時間以内にシステムを復旧できることを証明しなさい」
セキュリティは新たな分野です。火災や職場の安全などは確立された分野であり、ほとんどの大企業では、やるべきことを熟知した専門家を雇用しているので、経営陣はかなり安心していられると思います。しかし、セキュリティは新しい分野ですから、このような質問が出てくるのです。
マイクロマネジメントであることを気にせずに、より詳細な質問をしてくるのですね。
Mikko: 見せなさい、証明しなさい、信頼させなさい、検証しなさい、と言ってくるのです。
Andy: リソースの問題もあるのでは? Twitter上には、情報セキュリティに携わる人たちから、セキュリティの問題には十分な資金と人材が投入されていないという主張を数多く目にします。一方、建物の安全性については、通常実施することが義務付けられているので予算化されています。つまり、セキュリティは常識的なことではあっても、まだ副次的な問題なので適切なリソースが確保されていないように感じます。
その通りだと思います。私たちは、世の中にある多くの問題に対して、より少ないリソースでより多くのことを行うことを期待しています。サイバーセキュリティでは、常に問題が複雑化しているという議論は説得力があります。したがって、この分野では、その期待は現実的ではないでしょう。その期待が現実的に存在するのかはわかりませんが、少なくともセキュリティの分野では、毎年少ないリソースでより多くのことを対処することは現実的とは思えません。
SolarWinds社の話は既に話題にあがりましたが、たとえば、サプライチェーン攻撃は、まさに今起きている問題です。そして、企業のサプライチェーンはますます複雑化しています。リソースが増えない状況で、どうやってセキュリティを確保すれば良いのでしょうか?
Adriana: それはとても難しい質問ですね。答えはリソースを増やす必要があるというしかないと思いますし、それしか考えられないでしょう。クラウドへ移行することで、インフラ領域のセキュリティへの投資の一部を削減することは可能です。しかし、リソースの手当てに関して興味深いのは、取締役会の関与がもっと強まれば、トップからボトムへの関心が高まり、本当に必要なものに対して、はるかにうまく予算がつくようになると思います。ですからリソースの増加は、トップの関心と強く関係していると思います。
Mikko: SolarWinds社は、国家が関与した攻撃という点で興味深いケースです。このサプライチェーン攻撃は、ロシアの情報機関が、主に米国政府と英国政府を標的にしたものだと考えられています。しかし、国家による攻撃や諜報機関、スパイ活動、情報収集とは全く関係のないサプライチェーン攻撃も多数発生しています。
最も重大なこととしては、ロシアのランサムウェア集団REvil によるKaseya社への侵害があります。ランサムウェア集団が、ソフトウェアプロバイダーのシステムにある未知のゼロデイ脆弱性を悪用して、マネージドセキュリティサービスプロバイダーやクライアントのシステムにアクセスするためのサプライチェーン攻撃をしています。これはかなり高度な攻撃なので、彼らの成熟度が理解できると思います。そして、それはより深い何かを示す兆候であると思われます。このような組織化された犯罪集団や組織的なサイバー犯罪集団がますます強大になり、裕福になっているという事実を突きつけられているのです。
たとえば、Kaseya社の事件では、REvilがどうやってKaseya社のネットワークのゼロデイを入手したかはわかっていませんが、いがいと簡単に購入できたはずです。彼らには豊富な資金があるので、ゼロデイをダークネットから購入することができます。
お三方は、ソフトウェアサプライチェーン攻撃についてはどう思いますか? 一部の地域では、このソフトウェアにはこういうものが組み込まれています、というような明細リストを提示する法律が制定されています。そのようなリスクを取り扱う手段としてDevOpsは現実的なのでしょうか。常に変化している物事を整理し、分解し、組み立て直すことが必要になります。ソフトウェアサプライチェーンを保護するにはどうすれば良いのですか?
Adriana: おっしゃるとおりだと思います。つまり、デジタルの世界は高度に相互接続されています。ソフトウェアは、オープンソースライブラリやオープンソースパッケージなど、どのように呼んでもかまいませんが、どの会社も他のクリエイターのライブラリーを利用しているのです。つまり、あらゆるものが相互に接続されているのです。ですから、それを保護する方法を理解することが重要になります。この点についても多くの議論があります。2021年には、セキュリティのシフトレフトが話題になりました。
基本的にシフトレフトは、組織における変更のプロセス、つまりソフトウェア開発において、プロジェクトの最初の段階でセキュリティリスクに対処することを意味しています。では、どこでリスクを特定するのでしょうか? サイバーリスクはどこで特定できるのでしょうか? これは早い段階で行うほど良い結果が得られます。なぜならコストが下がるだけでなく、設計が容易になるからです。
課題はこれがかなり新しい考え方だということです。もはや新しい考え方ではないと言う人もいるかもしれませんが、シフトレフトは多くの組織が未着手です。ですから、世間一般の組織が適応するには多大の努力を伴います。そうは言っても、サプライチェーン攻撃が大きな懸念となっていることから、その方向へ向かっていると思います。
また、この1年間でセキュリティと企業の他の部分との統合が進んだと思います。これは、もはやITチームだけの問題ではありません。この兆候は、お三方にとって励みになるのではないでしょうか?
Adriana: はい、そのとおりです。間違いなくその傾向が見られます。理想的な世界ではセキュリティチームは存在しないのです。つまり、セキュリティはビジネスの一部になっているからです。理想的な世界ではITチームもありません。なぜなら企業はソフトウェア会社ですから、ソフトウェアがコアビジネスであり、セキュリティはそのコアビジネスに統合されるからです。しかし、それは非常に遠い世界であり、まだそこまでは到達していません。
シフトレフトに伴い、ビジネスがセキュリティへの関与を深め、セキュリティはビジネスに近づいて、本当の優先事項を理解することが求められ、脆弱性を切り離して見ることはできなくなりますが、脆弱性は、あまりにも多すぎるのでうまくいきません。何十万もの脆弱性を修正し、なぜ修正する必要があるのかを説明できないような組織に、何を期待するのでしょうか? 脆弱性を切り離して位置付けているため、システムに孤立した弱点があるように見えるだけです。
そこで、ビジネスサイドとより緊密な対話ができれば、切り離した脆弱性に注目するのではなく、現在目にしている攻撃経路を挙げて、攻撃チェーンを使って組織にリスクがある理由を説明することができます。
このような攻撃経路を掴むためには、ビジネスが何を行っているかを理解する必要があります。ここにおいて、セキュリティがビジネスに深く組み込まれていることが理解できるようになります。なぜなら、セキュリティは、インシデントがビジネスに与える影響について、より詳細に説明するからです。
Mikko: 私は、セキュリティはイネーブラーだと考えています。セキュリティは組織の一部であり、他の組織が機能するようにするためのものです。しかし、残念ながらそのように考えられることはほとんどありません。通常、セキュリティチーム、セキュリティ専門家、そしてCISOは、会社の中でいつも「ノー」と言う人々とみなされています。これがセキュリティ担当者に対する典型的な態度であり、完全に間違った見方です。
セキュリティソフトやIDS、IPS、エンドポイントセキュリティ、フィルタリングを実行するために、コンピュータやITシステムを購入する企業はありません。私たちがコンピュータを購入するのは、仕事をしやすくし、生産性を上げ、創造性を高めるテクノロジーを使うためです。
セキュリティは組織の一部として、会社の他の部門の生産性や創造性を高めることを可能にします。セキュリティは、私たちが本当にやりたいことを実現するために必要なパーツですし、そのように考えるべきです。しかし、そのような考え方をする企業はほとんどありません。
企業がセキュリティに注目し始めているような変化は感じますか?それは本当のことなのか、それとも見せかけなのでしょうか?
Mikko: 私は本当に起きていると思います。ゆっくりですが確実に、企業はこれをモデルとして、そのように構築すべきことに気づきつつあります。セキュリティがますますエンドポイントから遠ざかりクラウドへと向かっていることも明らかです。私はクラウド化のことだけを言っているのではありません。未来がPlayStationになる世界を考えているのです。
この点について説明させてください。確かに少し奇妙に聞こえるかもしれませんが、未来はPlayStationでありXboxなのです。Xboxは素晴らしい例です。Xboxはゲームコンソールですが、Windowsが稼働しているコンピュータです。これは事実です。Microsoftが作ったコンピュータで、OSはWindowsです。しかし家庭にある他のコンピュータとは違います。それは、コンピュータのようには見えないからです。また、コンピュータのように使うわけではありません。たとえプログラマーがXboxを持っていてWindowsが稼働していても、それでプログラミングすることはできません。
そしてこれこそが、私たちが向かっている世界だと思います。私たちが使うコンピューティングデバイスは、ますます本当のコンピュータではなくなっていきます。どちらかというとPlayStationやXboxのような端末やコンソールに近づきます。iPad Proを考えると良くわかると思います。iPad Proはパワフルなコンピュータで何にでも使えますが、実を言うとPlayStationやXboxのようにロックがかかっています。また、Chromebookも同様です。従業員が使用するすべてのサービスがクラウドにあるため、それらにアクセスするためにChromebookのようなシステムを使用する企業がますます増えています。
彼らが使うサービスはすべてWeb上にあるのです。そして、エンドユーザーがEXEやバイナリアプリケーションを実行することが不可能ならば、ネットワークのセキュリティを確保することは非常に楽になります。長期的には、これが私たちの向かう世界だと思います。私たちが使うシステムの多くは、今後ますますクラウドだけにり、エンドユーザーは、これまで数十年間できていたパワフルなことができなくなります。
つまり、1970年代や80年代のように、VT端末と強力なサーバーで稼働する世界に戻っていくのです。これはセキュリティの観点から、極めて多くのメリットがありました。結局、そこに戻っていくと思います。
言ってみれば、好き放題にできないから墓穴を掘ることもない、という事実からくるセキュリティですね。
Mikko: まさにそのとおりです。たとえバイナリをクリックするように騙されても、自分のデバイスではバイナリが実行されないので何も起きません。iPhoneをウイルスに感染させるのは、Windows PCよりもはるかに難しいのです。
とても印象深い話ですね。他にはどのようなことが2021年に起こり、企業に影響を与えましたか?
Mikko: 私が重大だと思うのは、10月に起きたFacebookの障害です。これは、ただ単にFacebook、WhatsApp、Instagramがダウンしたということではないのです。この障害で本当に興味深いことは、Facebookがダウンしたことで、他のネットワークがどれほど苦難を強いられたかということです。
忙しい勤務時間中に、最大規模のサービスが6時間半もダウンしたことは、他のネットに驚くほど大きな影響を与えました。なぜこれほどの災害が起こるのかは簡単に説明できます。それは、スマホ上で実行されているWhatsAppについて考えると、この地球上には文字通り何十億台ものスマホがWhatsAppアプリを実行しているということです。これらのすべてのスマホが定期的にDNSに問い合わせをしています。たとえばwhatsapp.comのIPアドレスは何か?といった具合です。
その6時間の間、DNSサーバはエラーメッセージを返しました。アドレスが得られないので、これらのアプリは何度も繰り返しアドレスを尋ねることになります。何十億台ものスマホがDNSに何度も何度もWhatsAppのIPアドレスを問い合わせたのです。もちろん、FacebookやInstagramでも同じことが起こりました。CloudFlareによると、彼らのDNSサーバの負荷は300倍に跳ね上がり、これがネット全体の速度を低下させました。つまり、FacebookがダウンしたためにLinkedInとTwitterが遅くなったわけです。
これはサービス拒否攻撃ですね。
Mikko: 世界規模でのサービス拒否は決して想定外ではありませんでしたが、実際に自分の目で見ると予想と違いますね。Facebookが消え去ると、ネット上に大きなブラックホールができて、他のネット全体の速度が低下します。ある意味これは良い教訓になりました。つまり、それでもインターネットは機能していたことです。多少遅くなりましたが稼働していました。50年前の技術にしてはかなり印象的なことです。しかし、FacebookやAWSのようなサービスが、世界全体、そして私たちが使っているインターネットの構造全体に影響を及ぼし始めると、これらのサービスがどれほど大きなものになっていくのか心配せざるを得なくなるのです。
Adriana: まるでインターネット空間を独占するような形になってしまうことについて、実際にどのようなことを懸念していますか?
Mikko: そうですね。障害を起こせないほど大きくなり過ぎていませんか?2000年代の初頭に、Microsoftが巨大な独占企業となって、すべてを支配したことから、企業分割について真剣に議論されたことがありました。Microsoftは今でも巨大ですが、かつてのような独占状態ではありません。現在、最大の独占企業は、AWSやAmazonのようなオンラインプラットフォームだと思います。そしてもちろん、Facebookと巨大企業のGoogleもです。20年前のように、これらの独占企業を分割することについて真剣な議論になるのかどうかは興味深いところですが、あり得ることです。2022年に起こるかもしれません。
どうすれば分割できるのでしょうか?Facebookは多くの企業を買収してきました。どうやってそれらを追い出すのでしょうか?欧州Facebookと北米Facebookに分かれるのでしょうか?そんなことをどうやってやるのでしょうか?
Mikko: 私にはわかりませんが、Facebook、つまりMetaがメタバースを所有しようとする考え方は気に入りません。もし私たちが仮想世界に入り、現実世界とは別の場所で生活する時間が増えていくようになったら、私はFacebookが創造した世界では生きたくないですね。もしFacebookを分割するならば、そこから始めるのが良いかもしれません。
でも、そのような会社を作ることができるものなのでしょうか?できたとしても連携した取組みが必要になるかもしれませんね。
Mikko: よくわかりません。Andyはどう思いますか?
Andy: 私にもわかりません。Facebookに障害が起きてアクセスできずにいた間、人々はTwitterにアカウントを作るようになりました。
Mikko: そうでした。そしてSignalにも。
Andy: そうでしたね。実際、私の知り合いの間では、Facebookから乗り換える傾向が見られました。そのうちの何人かは、代わりにTwitterを利用しています。Twitterは初めてですが、Facebookはもうたくさんだと思って決断したそうです。その理由の1つに、Facebook上に知り合いがいなくなったことを挙げています。
おそらくFacebook自体が徐々に崩壊しつつあるのかもしれません。まあ、私たちが心配することではないのですが、そうであって欲しいですね。違いますか?
メタバースと仮想現実に関して、私が見た中で最もおかしな話は、自分の化身を演じている仮想空間で、トロールに対処しなければならないというものです。Metaの全貌が発表されて、そのばかげた映像が流れたとき、私がツイートしたのは、偽のトロールアカウントを作っている人たちは、この仮想現実の環境では作れないようにすべきだということでした。複数のアカウントの実行は許すべきでないのです。
Mikko: もしかしたら、その仮想現実では、他人の顔を殴ることだってできるかもしれませんね。
Andy: はい。ヘッドセットを装着してログインして、自分の化身を使ってソーシャルメディア体験をする場合は、これまでソーシャルネットワークで人々がやってきたようなこと、たとえば複数のソックパペットを作成するようなことは、もはやできなくなると思っています。
もしできたら大変ですね。World of Warcraftなどのゲームでは、ボット化した仮想アバターを見たことがあります。以前にもそのようなことがありましたね。Second Lifeにもその問題がありました。
Mikko: そうですね。この挑戦的な新たなメタバースの世界について考えるとき、これが単なるソーシャルネットワーキングではなく、エンターテインメントやゲームでもないことを心に留めておくことが大切です。これは、仮想世界で行われていても、まぎれもない現実の活動なのです。私たちが一緒に仕事をしている職業の多くは、仮想現実の技術が十分に優れていれば、仮想環境でより良い成果を達成することができるはずです。
Varjo社に代表されるベンダーが製造したハイエンドのヘッドセットを試す機会があればわかると思いますが、解像度が高く、頭の動きに対して反応する際の遅延時間がまったく感じられません。私は、仕事中のほとんどすべての時間をキーボードとスクリーンを見て過ごしていますが、メタバースの中で仕事をすれば、スクリーンサイズや解像度の制約から開放されるので、はるかに生産的になるでしょう。別のスクリーンが必要な場合は、新しいスクリーンをそこにドラッグするだけです。その後、仕事仲間を別のウィンドウに配置します。
それが十分に快適で視覚的にも満足できれば、1日18時間メタバースで過ごすことも可能でしょう。現実の世界で働くよりもずっと生産的です。実際にそんなことが起こりそうです。
Adriana: そうですね。いつものように、ここでもフィクションが現実に先行しています。過去にメタバースについて書かれた有名な本があります。2011年にEarnest Klein(アーネスト・クライン)が書いたReady Player Onという小説です。80年代と90年代のゲームに関する記述が多いので、オタクの世界ではかなり有名です。この小説の主人公はメタの世界に住んでいます。ただ住んでいるだけでなく、実際にそこの学校や大学にも通っています。
この本はメタの世界がどこまで広がることができるかを提示しているように思います。Facebook、つまりMetaがメタの世界のオーナーとしての第一歩を踏み出したことを考えると、それはとても恐ろしいことです。彼らはすでに強大な力を持っているのですから。すでに膨大なデータも持っています。そして、これによって彼らはもっと多くのものを手に入れる準備が整うのです。
Facebookを利用している世代だけではありません。たとえFacebookが時代遅れになったとしても、新しい世代はおそらくこのメタバースかメタワールドを使い始めるでしょう。そして、Metaは他の人たちに関するさらに多くのデータと情報を獲得し続けることでしょう。
それが私の言いたかったことです。あなたが引き合いに出した小説Ready Player Oneでは、人々がメタバースで勉強し、働き、ゲームをしています。Facebookのメタバースが唯一のプロジェクトではありません。このようなプロジェクトは他にもあり、発展途上です。このビジョンは、1つの企業だけで実現できるものなのでしょうか?それとも異なる企業間の共同作業になるのでしょうか?
Metaという会社はリモートワークをよく理解しています。また、物事をどのように分類するかなど、本当に安全な会話をするための仮想スキッフの作り方を理解しています。それをオンライン上でどのように行うのでしょうか?この会社は、ゲームが何を必要としているか、そしてメタバースのその側面をどのように構築するかを理解しています。いずれにせよ、共同作業になるのではないでしょうか?
Mikko: それは違います。まったく互換性のない競合企業になっていきます。
勝者がすべてを手に入れるのですか?
Mikko: そうですね、ソーシャルネットワークが普及し始めたときと同じような変革が起きると考えています。当時Myspaceは、Webベースのソーシャルネットワークとしては、まさに最初の大規模なものだったと思います。そして、ソーシャルネットワークは人々にとって重要なものになりました。さまざまなソーシャルネットワークが連携して共有リソースとなり、コンテンツを投稿して、異なるソーシャルネットワーク間で共有するという考えが生まれました。
最初はその考え通りになると思われましたが、実際には実現しませんでした。Facebookに投稿すると、それがTwitterに表示され、Twitterからの返信を自分のFacebookやLinkedIn、YouTubeなどで見る、というようなことにはなりませんでした。つまり、これらのサービスはすべてサイロ化されたのです。プロバイダーにとってはこの方法が好まれるのだと思います。彼らは、協業することは望んでいないのです。共有したがらないのです。
同じことが仮想環境でも起こると思います。そして、Facebookはこれを独占したいのです。仮想環境に限らず、仮想通貨もそうです。だからこそ以前はLibraと呼ばれていたDMプロジェクトに取り組んでいるのです。Facebookが支配する世界で、Facebookが支配する通貨を使って私たちが生活することを望んでいるのです。
なるほど。先ほどFacebookは巨大になり過ぎたので分割すべきだと話しましたね。メタバースの時代になるとどうでしょうか?規制当局がメタバースに介入して「すべてを所有することはできない」と言うことになるのでしょうか?
Mikko: 神様にそうお願いします。なぜなら、当局にしかできないことですから。今日、私たちは個々の消費者や顧客が何の力も権利も持たない世界に生きています。つまり、新しいWebサイト、新しいサービス、新しいアプリを使い始めると、必ず「当社の利用規約に同意しますか?」という選択肢が提示されます。それは交渉することができません。
もし、その規約の1つでも納得がいかないことがあれば、選択肢はそのサイトから出ることだけです。つまり、交渉の余地はまったくないのです。私たち消費者にとって唯一の交渉相手は、私たちの指導者、政治家、規制当局です。彼らこそが、本当に注意深く見るべきなのです。今、彼らは5年前に始まった変革の方に注意を向けているようです。今起きている変革、すなわち仮想環境、仮想世界、そしてメタバースに注意を払っているとは思えないのです。
Andy: 規制という点で少し関連するのですが、去年の暮れに、今年は230条のことが話題に上るだろうと予想していました。Wikipediaによると、230条は米国法の一部で、一般的にサードパーティのコンテンツに関して、Webサイトのプラットフォームの免責を規定するものだそうです。
しかし、基本的に人々がソーシャルネットワークに投稿したものについては、ソーシャルネットワーク自体が責任を負うことはありません。そして興味深いことに、バイデン大統領もトランプ氏もこの230条を変更または撤廃したいと考えていました。トランプ氏は、ソーシャルネットワークが保守派を過度に検閲していると主張していました。そして、バイデン大統領は「偽情報やさまざまな問題が起こっている。ソーシャルネットワークに責任を持たせる必要がある」と語っていました。
しかし実際には、今年は何も起きませんでした。もちろん、今年はFacebookやソーシャルメディアの慣行全般について、そして偽情報について多くの新事実が明らかになりました。230条に関しても進展があるべきでしたが、結局何も起きませんでした。ソーシャルネットワークに存在する問題に対処しようと思えば始められたはずです。人々がワクチン接種を受けたくないために暴動を引き起こした事件や、1月6日の議会議事堂での暴動などは、ソーシャルネットワークを通じて組織化され扇動された事件だからです。
このような大きな事件が起きていたにもかかわらず、規制についてはほとんど議論されていません。私は、このような企業によって運営されているメタバースに住む話を始める前に、この問題に対処する必要があると思います。
そのような仮想空間で、どれだけ多くのロビー活動や、あからさまな贈収賄が行われるか想像がつきますか?
Andy: はい。
Adriana: はい。さらに付け加えると、この種の状況の監視を行うためにFacebookが立ち上げた監督委員会があります。この委員会は、誤情報や、Facebookから追い出された人々の状況を監視するもので、Facebookがこれらの決定を下す方法に対して外部から影響を与えると考えられています。Facebookはその意思決定を外部に委ねることで、監督委員会から助言を得られるようにしたかったからです。それが2020年に設置されました。
しかし、Facebookがその決定を監督委員会に押し付けただけで、こう着状態になり、最終的に何の決定も下されなかったケースもあったようです。それでも監督委員会は「Facebookが決定を下すべきだ」と主張したのです。要するに機能していないのです。
とはいっても、ソーシャルメディアプラットフォーム上で、何がどのように管理され、何を発言することができるのか、そしてにせ情報キャンペーンに対して誰が責任を負うのかという点で、より良いガバナンスを実現するための努力はしていると思います。そこから何が起こり得るのでしょう。しかし、これはまだ新しい分野であり、挑戦なのです。
Mikko: タイム誌が2006年のパーソン・オブ・ザ・イヤーに「あなた(You)」を選出してから15年が経ちました。当時はソーシャルネットワークが台頭し始めたばかりで、YouTubeも真新しかったですね。私たちは、このソーシャルネットワークという新たな世界がユートピアになると思っていました。誰もが自分の言葉を発信でき、誰もが情報やコンテンツ、ビデオを公開できるようになるのです。これは素晴らしいことに違いないと思いました。
しかし、15年が経ち、私たちは今、それが素晴らしいものではないことに気づきました。選挙ではひどいことになりました。陰謀説が蔓延し、影響力のある作戦が暴走し、こうした工作で負けたり勝ったりするような新しい世界を生み出したからです。ソーシャルネットワークは、インターネットそのものと同じように、大きな利点と大きな欠点を合せ持っているのです。
Mikkoは、2021年を「サイバー犯罪のユニコーンの年」と呼びましたね。それについて説明していただけますか?攻撃者の能力の観点から、それは何を意味するのでしょうか?
Mikko: はい。私がこの言葉を思いついたのは5年前のことです。5年前はまるでSFのようでした。サイバー犯罪組織がユニコーンと見なされるほど裕福になることが本当にあるのだろうかと考えていました。ここでいうユニコーンとは、評価額が10億ドルを超える技術系スタートアップのことです。
2021年の現在、サイバー犯罪のユニコーンが実在していることは明らかです。なぜなら、BEC詐欺やDoS攻撃によるランサムウェアで得られる身代金は、過去5年間で毎年ほぼ倍増しているからです。さらに重要なのは、暗号通貨の評価額が急騰していることです。サイバー犯罪集団は、ビットコインやその他の暗号通貨で財産を維持することを好むため、彼らが管理する資金額が大幅に増加したのです。そして本当の問題は、敵が巨万の富を得たとき、私たちが目にする攻撃はどのように変化するかということです。
敵が大富豪になると攻撃はどのように変化しますか?
Mikko: こういった組織は、ますます現実世界の伝統的なギャングのようになっていくと思います。そして、現実の犯罪組織を抱えることになります。犯罪者を雇い、組織構造をとるようになります。そしてプロのやり方で運営されます。サイバー犯罪組織が専門的なデータセンターを運営したり、プロのサポートチームを運営したり、ブランド構築に取り組んでいるのを見かけます。
これは興味深いことです。皆さんは、サイバー犯罪組織とブランド構築を結びつけては考えられないでしょうが、これは明らかに起こっていることなのです。私たちがサイバー犯罪組織の名前を知っているのはこのためです。だから名前が付けられ、Webサイトを所有しているのです。インタビューにも応じます。特にランサムウェアのギャング達には「大変だ、ランサムウェアにやられた。何とこれはREVilだ」と言わせるような、恐ろしい評判が必要なのです。
彼らを知っている。彼らのことは聞いたことがある。彼らのことをニュースで読んだ。もし身代金を払わなければ、彼らは私たちのファイルを流出するに違いない。しかし、もし支払ったらファイルが流出されることはない。というような評判の確立を必要としているのです。恐ろしい存在だけれど、正直な犯罪者でフェアでもあり、身代金を払えば、ファイルを返してくれるでしょうし、約束すれば二度とハッキングはしてこないでしょう。これはビジネス上の判断になります。
ブランドを構築したいのです。評判が必要なのです。名称とロゴが必要です。それは誰もがやっていることです。そして今後も続くと予想されます。弁護士やビジネスアナリストなど、より多くの専門職を雇うようになり、最終的には、法律事務所と希少なスキルの獲得を競うようになるでしょう。
たとえば、FIN7ギャングは、合法的であるかのように見せかけた偽の会社で侵入演習の専門家を雇っています。侵入演習組織が企業にハッキングするために人を雇い、その企業が侵入演習を依頼していないにもかかわらず、発注したと信じ込ませる手口は実際に確認されています。サイバーセキュリティの研究者や機械学習の専門家が不足する中で、人材の争奪合戦になっていく可能性があります。
わかりました。それは半合法的なダミー会社で起こることだと思います。犯罪組織のブランドに関するダイナミクスは興味深いものです。あなたがおっしゃったように、ある時点ではブランド認知が必要ですが、同時にそれは法執行機関から目を付けられることにもなります。また、時には軍組織が介入して、こうした知名度の高い組織を標的にすることもあります。つまり、ある程度の知名度は必要だが、ドローンで攻撃されるほど有名にはなりたくないということでしょう。
Mikko: はい、そのとおりです。これらのギャングの中には一線を越えたものもいます。中でも悪名高いDarkSideは、コロニアル・パイプラインへの攻撃を行い、2021年最大事件の1つとなりました。エネルギーにおける最大のインフラ供給者の1社がランサムウェア攻撃を受けたら、米国では大変なことになります。だからこそ、米国国務省は、DarkSideのメンバーの逮捕につながる情報に対して、1000万ドルを提供するという前代未聞の行動に出たのです。この金額は、ISISやアルカイダのテロ組織の指導者につながる情報に懸けられた金額と同じです。
これは今、米国政府がランサムウェアをいかに深刻に受け止めているかということの現れです。テロと同じくらい深刻に捉えているわけで、これまでは前例がなく、ついにその時に至ったのです。
とても興味深いですね。皆さんは、その報酬が純粋な報酬だと思いますか。それとも、誰が信用できるかびくびくしながら手に入れる、お尋ね者の懸賞金のようなものだと思いますか。
Mikko: 彼らがやろうとしている目的は、こうした組織を内部から崩壊させることだと思います。つまり、組織のメンバーが互いに密告し合うことに対して外部から報酬が与えられると、その組織は腐敗していくのです。
だから組織がやっていることに満足していないメンバーや、自分たちが稼いだのに十分な分け前をもらっていないと思うメンバーは、ためらいもなく米国国務省と交渉して、仲間を密告することで訴追から免責されようとしたり、1000万ドルをせしめようとするのです。そして組織全体が崩壊し始めます。このようなことが犯罪組織の内部から始まる可能性があると気付いたのです。これは素晴らしいアイデアです。
これこそ私たちが望んでいることです。私たちは2つのことを望んでいます。より多くのサイバー犯罪組織のメンバーの逮捕と処罰を求めています。さらに重要なことは、この分野に新規参入してくる可能性のある人たちに、サイバー犯罪は、警察に追われ、逮捕され、現実の犯罪と同じように刑務所に送られるという、まったく割に合わないビジネスであることを示したいのです。
Adriana: 一方で課題となるのは、サイバー犯罪が国際的であることです。国内で罪を犯す場合と違い、インターネットには境界線がないですからね。そのため、法執行機関同士が国境を越えて協力し合い、サイバー犯罪を処理することが課題となっています。これはサイバー犯罪者にとっては有利です。なぜなら、彼らは実際に一歩先を行き、それを利用して訴追を免れることができるからです。基本的に法執行機関や法律は、まだ適切な訴追ができるほどには整備されていないのです。
実は、2021年はサイバー犯罪に対するブダペスト条約が締結されて20周年を迎えます。つまりサイバーと戦う国際条約ができてから20年が経ったということになります。それほど長くはないのです。そして今年、新たな協定が追加され、各国が証拠を公表できるようになり、それに対してインセンティブが与えられるようになりました。
これは素晴らしいことです。法執行機関にとっての課題として、犯罪者の活動や及ぼす影響に関する多くのデータが不足しているからです。このブダペスト条約はこの点を強化するものです。また、米国やEUでは、DORAのような別の種類の規制があります。DORAは批准されており、来年には施行されます。これにより、企業や公共団体はサイバー犯罪の影響についての情報を公開することが促進されます。
このデータを使えばサイバー犯罪のことをもっと良く理解できるようになると思います。法執行機関は課題を抱えています。まず国際協力は困難です。攻撃者が法執行機関を把握しているほどには、お互いを把握していないからです。私たちは防御側として、これが何を意味するのかより良く理解する必要があります。そのためにはもっと協力し合わなければなりません。この新しい法律は、そのような協力関係の促進に寄与するでしょう。
Mikko: たとえ時間はかかっていても進歩していることは確かです。私はブダペスト条約以前の時代を覚えていおり、あのころは最悪でした。なぜなら世界にはサイバー犯罪に関する法律が全くない国があったからです。サイバー犯罪は犯罪ではなかったのです。もちろん、インターネットには国境も法律も地理もないので、犯罪者は彼らのしたことが違法ではない国々も含めて、何十カ国も通して経路を変更していたのです。そのため、国際的な法執行機関が活動を行うのは非常に困難でした。
少なくとも、その後から今日までは、その活動ができています。グローバルな法律は未だありません。私は、グローバルな法律ができるとも思いません。しかし少なくともこれらの条約があり、さらに進歩しています。2021年は、サイバー犯罪ユニコーンの年だけではなかったと思います。
つまり、サイバー犯罪ユニコーンのハンティングシーズンの始まりでもあったのです。ここ数週間で、ロシア、中国本土、ウクライナ、ポーランドでの大規模な活動など、通常はあまり活動しない地域を含め、ここ数年間よりも多くの法執行機関による活動が見られました。だから希望は持てます。
正しい方向に進んでいると思います。米国国務省や他の国から高額の報酬が得られるようになれば、これらの犯罪組織は強くなるどころか、弱体化するでしょう。それが私の願いです。
西部開拓時代のことを考えてみると、報酬を得るために賞金稼ぎという職業が生まれました。最近では傭兵部隊を率いるのにいくら必要か知りませんが、1,000万ドルあれば大物を数名雇えるかもしれません。そしてロシアに行き、指名手配の男を捕まえてトランクに入れます。ロシアから連れ出して米国当局に引き渡します。
Mikko: まるでスタートアップのビジネスのようですね。あなたが忙しくなければ一緒に始めましょうか?
それはさておき、最近よく話題になるのが、攻撃における機械学習のことです。ここにはその専門家がいらっしゃるので、少しその話を伺いたいと思います。Andy、これらの犯罪者の活動環境は厳しくなってきていますが、一方で彼らの資産は常に増加しているのではないでしょうか? これまで以上に多くの攻撃で機械学習が使われるようになるのでしょうか?
Andy: サイバー犯罪ユニコーンが豊富な資金を手にすれば、企業や大企業ができるようなことを始められると思います。たとえば、自然言語生成モデルに関することがその1つでしょう。GPT-3は1年以上前に発表されましたが、まだほとんどの人が利用していない非常に大規模なモデルです。
しかし、このモデルを作成しトレーニングする方法論は、論文の中で非常によく説明されています。そのデータセットも利用可能です。実際に再現するだけの資金があれば誰でも利用できるのですが、それを入手するには何百万ドルもかかります。
では、犯罪者が機械学習を使うと何ができるのでしょうか?
Andy: 実に多くのことができます。説得力のあるフィッシングメールを作成することに悪用できます。説得力のあるフェイクニュースの記事を大量に作成することもできます。チャットボットのように、対話しながらフィッシングを行うためにも使用できます。トローリングのようなツイートへの返信や、特定の見解を誇示するような返信、何かを売り込む返信などを大規模に作成することも可能です。これができない唯一の理由は、こうした大規模モデルを利用できないことです。しかし、犯罪ユニコーンがそのモデルを再現できれば、このようなことも可能になるのです。
Mikko: そうですね。GPT-3の利用は制限されていましたね。順番待ちの非常に長いリストがありましたが、今はもうなくなりました。技術者や開発者なら誰でも利用しやすくなったのです。GPT-3やOpenAIの研究などの大規模モデルには、もう1つ興味深い側面があります。それがセキュリティに関するものです。2021年に起きた最も重要なセキュリティイベントは、GitHubが2021年にGitHub Copilotをリリースしたことでしょう。
GitHubを使っていない人のために説明すると、Copilotは自動補完エンジンで、さまざまなプログラミング言語でルーチンを書いてくれるものです。つまり、何かを開発していて、ルーチンの一部を書いたら、GitHubのCopilotがそのルーチンを完成させてくれるのです。なにしろ、あらゆる言語の数十億行もの既存コードで訓練されているので、非常にうまくいきます。
これは言語モデルです。といっても人間の言語モデルではなく、プログラミング言語のモデルです。では、セキュリティにとってはどのような意味があるのでしょうか?Copilotは、プログラムが自分自身で大規模なプログラミングをする初めての例です。プログラムが人間ではなく、プログラムによって書かれる環境に近づくほど、バグは絶滅しないまでも、少なくとも極めて複雑なものになっていくでしょう。つまり、大金を投入して脆弱性を作り出すことはますます困難になるわけです。
したがって、すべてのコードがプログラムによって書かれ、人間のプログラマーが皆失業した未来では、セキュリティは向上することでしょう。コード内のバグは消滅するか、あったとしても神懸かり的に複雑で理解できなくなるため、脆弱なバグを悪用するのが難しくなるからです。
私たちは長い間、スタックオーバーフローからコードの塊をコピーペーストしてコンパイルするソフトウェアについては、非常に批判的でした。今は改善されていますか?
Mikko: 多少良くなっています。もはや単なるコピーペーストではありません。これは複雑な言語モデルで、人間のモデルと同じように古いコードをコピーして再利用するだけの伝統的な世界とはまったく異なっています。理解するのです。既存コードが何をしているかを分析して、最適化することができるのです。
最大のシナリオは、言語モデルを使って、このようなコード自体を改善することでしょう。プログラムを書くことができるプログラムを使用して、自分のコードを分析することで、より良いものに書き直すように要求します。これを無限に繰り返すわけです。最終的には、このプログラムが一体何をしているのか、誰一人として理解できない世界になります。なぜなら、このプログラムは自分のコードを何億回、何十億回と繰り返し書き換えているからです。
つまり、人工知能に猫のように見える画像を描かせても、人間には猫に見えません。これがコードに起こるのですね。意図した通りに動作するコードが出来上がっても、誰もその理由や方法を理解できないのですね?
Mikko: そうです。ある意味では、すでにそのような状況になっています。Googleのエンジニアに検索結果を見せて、「この結果はどうやって得られたのですか?」と尋ねても、彼らにはわかりません。Googleの検索がなぜこのような正確な結果を導き出したのかまったく理解できないのは、それが15年間も自身で学習してきたブラックボックスだからです。内部で高度に、そして深く最適化されたシステムに膨大な情報のコーパスがありますが、もはやそれを解読することはできません。誰もその仕組みを理解できないのです。
Adriana: しかし、Googleは膨大なデータを所有しているという意味で、非常にユニークな存在です。そこにたどり着くには、非常に長い道のりが必要になります。したがって、たとえサイバー犯罪集団や合法的なサイバー組織が豊富な資産を所有していたとしても、高度にインテリジェントなシステムを持つにはまだ程遠いと思います。また、AIはそういう物ではないと騒がれている点にも注意する必要があります。これはサイバーセキュリティにも当てはまります。
Mikko: ごもっともです。私もそう思います。同感です。人間のプログラマーが皆失業するというような突飛な考えは、遠い未来の話でしょう。近い将来に、サイバー犯罪組織が人間の代わりに単純なPythonスクリプトを使用して、マルウェアキャンペーンをするようになるかもしれません。たとえば、典型的なランサムウェアのキャンペーンを見ると、悪質なリンクを含むEメールを送信し、リンクがエクスプロイトに変換され、ランサムウェアのバイナリをダウンロードするWebサイトを操作しているのは人間です。
これらはすべて手動で行われています。今ではこれらすべてを自動化して行うことができます。Eメールがブロックされたりブラックリストに載ったりすると、それを自動的に検出しEメールを変更します。リンクを変更し、新しいWebサイトを開設し、検出を避けるためにWebサイトの脆弱性を変更します。さらに、エンドポイント保護でバイナリが検出されたら、それも変更します。
これらは攻撃の速度を劇的に変えるでしょう。今はまだそれほど速くないので、そこまでの自動化には至っていないことがわかります。明らかに今は人間によって行われています。近い将来には機械でできるようになるかもしれません。これはSFの世界ではありません。これは近い将来に起こり得ることです。そして長期的には、プログラムが自分でプログラミングできるような世界が来ると思いますが、私はそのころまでに引退したいですね。
Andy: 将来のプログラミング言語、あるいはプログラミングはプロンプトエンジニアリングになっていくでしょう。これは、機械学習ベースのコード補完の話と関連していますが、GPT-3を使って求めているアウトプットを得るということでもあります。正しいアウトプットを得るためにはどのようなインプットを与えるべきかを知ることが重要になります。
要するにプログラミングとは、もはやコードを書くことではなく、モデルに適切なシグナルを与えて望みのコードを出力させることなのです。私が言いたかった2つ目のポイントは、自己記述型コード、つまり機械学習によるコード生成に関することです。今年、AutoML-Zeroで、かなり興味深い開発が行われました。これは基本的にコードを進化させるシステムです。非常に原始的な命令群をつなぎ合わせて進化させることで、ニューラルネットワークを進化させることができたのです。
他にも、同じような手法で自然界の既存の行動を複製するアルゴリズムを進化させている研究がいくつも見られます。このように、コードを自分で書いたり進化させるという発想が生まれつつあるのです。今年は、そうした注目すべき進展がいくつかありました。
Mikko: エキサイティングでもあり、怖くもありますね。
Andy: そうですね。自己複製した最初のロボットに関する記事がTwitterにありましたが、今でもトレンドになっているのかもしれないです。
Mikko: やはりエキサイティングで怖い。
Andy: はい。このようなことが起こり始めているのです。
Mikko: 映画で見たことがあります。
とても興味深いです。
Mikko: 私が欲しいのは、家の掃除をしたり、スペースインベーダーで遊んだりできるロボットです。いつ手に入るのでしょう?
Andy: そう遠いことではないでしょう。
Mikko: 遠くはないですね。そう言われると思っていました。
これで今日のポッドキャストを終わります。ありがとうございました。
カテゴリ