コンテンツを開く

テーマのトレンド

Episode 64| 2021年、2022年、そしてその先へ – Part 2

F-Secure Japan

01.02.22 43 min. read

2021年も終わりに近づき、この12ヶ月間に起こった良かったことや悪かったことを再確認し、来るべき新年に備える時期がやってきました。年末にあたり、Cyber Security Saunaの特別エピソードとして2部構成で収録しました。今回は、エフセキュアのチーフ・リサーチ・オフィサー(CRO)であるMikko Hypponen(ミッコ・ヒッポネン)、セキュリティコンサルタントのAdriana Verhagen(アドリアナ・フェルハーゲン)、AI研究者のAndy Patel(アンディ・パテル)の3名にEpisode 64に参加いただき、2021年の振り返りと2022年以降に直面するであろう問題について話してもらいました。このエピソードでは、ソーシャルメディアネットワークの規制、クラウド化、AIを利用した攻撃、無限のコンピューティングパワー時代のセキュリティ、NFTなどについて議論してもらいました。

Cyber Security Saunaを2部構成にした特別エピソードのパート2へようこそ。前回のエピソードでは、AI研究者のAndy Patel、セキュリティコンサルタントのAdriana Verhagen、エフセキュア最高研究責任者のMikko Hypponenに登場いただき、2021年の重要事項やトレンドについての考えを聞かせてもらいました。パート2では、2022年以降に向けた期待、希望、そして恐れについて伺いたいと思います。

Janne: 2021年も無事に終わりを告げました。今こそ、2021年に生まれ2022年も続くと思われるトレンドについて考えてみたいと思います。ただし、未来を予測することは常に非常に難しいので、皆さんには2022年も継続して見られる事象は何だと思いますか?

Mikko Hypponen, Adriana Verhagen, Andy PatelAndy: ソーシャルネットワークの問題について語る人が、これからさらに増えると思います。

ソーシャルネットワークのどのような議論に注目していますか?

Andy: ソーシャルネットワーク上の偽情報、トローリング、オンラインハラスメントに関する規制についての議論に注目しています。一部の国では、こうした問題について、さまざまな側面からすでに議論が始まっています。

しかし、米国では、このような議論はほとんどされていません。私は、米国こそこの問題について話し始める必要があると思っています。これらの問題に関わる会社が多数存在している国だからです。

どのような議論になると思いますか? GDPRはこの分野でも大きな役割を果たしましたが、規制なのか、地域の法律なのか、どのような議論でしょうか?

Andy: ヨーロッパでは地域の話になるでしょう。すでにドイツではソーシャルネットワークに関する規制があり、ある種のコンテンツが掲載された場合に罰金を科すことができます。そのため、ソーシャルネットワークでは、ドイツのユースケースを別扱いにしています。TwitterのAPIには、ドイツやその種の協定を結んでいる国だけに関係するフィールドがあったはずです。

EUにとっては、EU諸国全体をカバーし、ドイツと同じようにある種のコンテンツを禁止し、オンラインハラスメント、偽情報の拡散、トロールなど、起こっていることすべてについてソーシャルネットワークに責任を負わせるようアプローチすること賢明だと思います。

おそらくは、今年行っているAIに対する包括的な規制と同じ方法でアプローチすべきでしょう。

Mikko: 机上では良い考えであっても、実際に規制するとなると適正に運用するのは非常に困難なように思われます。少なくともAI規制の草案では、機械学習ベースの技術を使用する企業は、どのように意思決定が為されたかを示さなければならないと規定されています。しかし、この規定に従うことは不可能だと思います。最終的には、企業がこの種の技術をすべての人の利益のために使用することまで制限することになってしまうと思います。

ソーシャルネットワークにしても、適正に規制することは困難です。コンテンツを禁止する場合、どのように規定すれば悪用されないようにできるのでしょうか?

Andy: そうですね。現在行われているAI規制の作業のように、この手の法律の起草には多くの専門家や企業の意見が反映されており、私はこのやり方が望ましいと考えています。伝統的なEUのやり方では、法律が起草された後になってから、そのニュアンスについて多くのフィードバックや議論が行われます。

AIに関する規制のドキュメントは、本文と付属書で構成されており、付属書を変更することで、今後状況が変化しても容易に対応できるようになっています。

AI規制については、イノベーションを阻害するのではないかという懸念がありますが、同じような懸念は、GDPRの議論でもありました。それ以降、私たちは何を学んだのでしょうか?そして今、これらの懸念を払しょくできるような状況にあるのでしょうか? 新しい規制を導入する際には、依然としてイノベーションを抑圧するリスクがあると思いますか?

Andy: これは規制の成案によると思います。Mikkoが指摘したように、機械学習ベースの技術を使用する企業はAIで意思決定がどのように行われるかを説明できなければなりません。また、トレーニングセットのすべてのデータが偏りや不正確性について検証されていることを示す必要もあります。しかし、こうした作業は不可能なので、このような規制は今すぐにでも修正すべきです。通常のユースケースが対応できるような文言に直す必要があるでしょう。

それでも、リスクの高い用途がきちんと定義されているのであれば、イノベーションを阻害することにはならないと思います。なぜなら、規制が最も多く適用されるのはそうした用途だからです。

Mikko: しかし、偏ったデータについての懸念は正当なものです。偏ったデータで機械学習させると、当然ながら偏った判断が下されます。これは正当な懸念であり、正しく判断するのは本当に難しくなります。

そして、この問題は深刻です。機械学習には膨大な量のデータが必要になりますが、私たちが持っているデータのほとんどは元々偏っていたり、収集する過程で偏りが生じます。私たち人間自身にも偏見があります。この問題を本当にどうすれば解決できるのかわかりません。とにかくこの懸念はもっともなものです。

Andy: そうですね。すでに世界中で使われている機械学習の中で、ソーシャルネットワークのレコメンダーについて見ると、常に不正行為によって操作されており、そこから学習しています。したがって、ソーシャルネットワークに供給されるデータに基づいてトレーニングされるモデルには、常にバイアスがかかっているのです。

Mikko: たとえば警察は最先端のシステムを使って、犯罪が発生しそうな場所や、将来犯罪を行いそうな人物を洗い出しています。まだ罪を犯していないにもかかわらず、将来犯罪を犯すのではないかと疑う、Pre-Crime(殺人予知システム)のようなものです。驚くべきことに、これはSFの世界の話ではありません。すでに世界中で日常的に起こっていることなのです。

もちろん、偏りはこれらすべての議論において、とてつもなく大きな意味を持ちます。もしあなたが将来犯罪を行うと疑われたら? そのために今逮捕されるのです。

Andy: マイノリティレポートですね。

そうです。あなたが過去の殺人犯に似ているからです。

Mikko: なるほど。

Adrianaは、規制の分野ではどのようなことが起こると思いますか?

Adriana: 脅威ベースのペネトレーションテストや演習のニーズが高まっていますが、それはDORA(研究評価に関するサンフランシスコ宣言)やTIBER(Threat Intelligence Based Ethical Red Teaming)の施行によって推進されています。これらの規制は、独自の方法でこの種の演習を促進することになると思います。

脅威ベースのペネトレーションテストというのは、組織の演習に攻撃者の視点を取り入れることを強調しています。これは、必ずしも攻撃者指向ではない従来のペネトレーションテストとは異なります。私たちがこれまで見つけてきたのは、一般的な脆弱性だけかもしれません。ペネトレーションテスターが使用する一般的なフレームワークはOWASP(Open Web Application Security Project)と呼ばれます。興味深いのは、このような変化に伴い、企業は攻撃者の視点を防御にもっと取り入れるようになることだと思います。

そして、セキュリティ関しての捉え方も「脆弱性がある」というものから、「ビジネスに重大な影響を与える可能性のある攻撃経路がある」というものへと変わっていくと思われます。すでにその兆候は見られていますが、こうした規制の変更によって、さらにその変化が加速すると思われます。

これを成功させるには、企業におけるサイバーセキュリティプロセスを成熟させる必要があります。サイバーセキュリティへの対応はかなり前からのテーマであり、サイバーセキュリティプロセスはもはや場当たり的なものではなく、より成熟し、より良いデータを収集する必要があります。そして、成熟することで、サイバーセキュリティのリスク管理も、さらに定量化されます。

これを規制の変化と結びつけると、これまではサイバーリスクの定量化は困難でした。なぜならサイバーリスクの影響に関するデータが不十分だったからです。そして、これらの新しい規制は、企業にサイバーリスクの影響を公開することを迫っています。

以上のことをまとめると、より多くの企業のサイバーセキュリティプロセスが成熟していくだけでなく、サイバーリスクの定量化が投資判断を促す目的で使われ始めるとおもいます。これはとても良い傾向だと思います。

私が2021年に気付いたことは、パンデミックによって企業がクラウドに移行したことでした。リモートワークは確かに定着しましたが、それはおそらく意図しない副次的な効果でしょう。ますますクラウド化する企業環境は、攻撃者にとってどのように映っているのでしょうか?彼らの行動は、どのように変わっていくのでしょうのか?

Andy: フィッシング攻撃です。もし私たちがMikkoが話したような世界にいて、端末やダム端末を使っているなら、人々を攻撃する明白な方法の1つは、資格情報を入手するためにフィッシング攻撃をすると思います。

はい。侵入できないのなら誰かの鍵を盗む必要がありますね。

Andy: その通りです。

Mikko: 私たちは最も簡単な侵入方法を調べてみましたが、簡単な侵入方法は正当なユーザに成りすますことで、これは将来も変わらないでしょう。別にユーザーを責めているわけではありません。私は、よく言われる「ユーザーが最も弱いリンクである」という表現は好きではありません。それはフェアではないと思っています。

私たちはユーザを不当な立場に追い込んでいます。愚かなのはユーザではなくシステムなのです。もし画面上にユーザがクリックしてはいけないリンクがあるのなら、そのリンクはそもそもその画面上に表示されるべきではなく、その責任は表示させたところに負わせるべきです。決してユーザーの責任ではないと思います。しかし、これは解決するのが難しい問題であり、長期的にはさらに大きな問題に発展します。

私たちが向かっている世界を考えてみましょう。過去数十年の間にテクノロジーはどのように変化し、今後数十年の間にどのように変化し続けるのでしょうか。コンピューティングパワーは向上し、ストレージ容量やメモリは増加し、接続性や帯域幅は拡大し、価格は急落していくと思います。

ここで、この状態が続くと仮定してみましょう。世界は最終的にどのようになるのでしょうか?誰もが無限のコンピューティングパワーを無料で手にするようになるでしょう。無限というのは、無限の処理能力、無限のRAM、無限のストレージ、そして無限の帯域幅を備えた最大級のAWSクラスターを利用することができることであり、それが無料か少額で済むので、実質的に無料だということです。

それが私たちの向かっている世界であり、たとえそれが夢物語か本当に遠い未来であっても、特にビルダーや開発者、コーダーの観点からすると、それを考えること自体が興味深いことだと思います。

そこで、もし制限がないとしたら一体何を作りますか?処理能力やメモリなどに事実上制限がないとしたら、どんなソリューションを構築しますか?

これはある意味、解放の思想であり、最終的には到達できないかもしれませんが、そこを目指して向かっているのだと思います。過去30年間を振り返るとその方向性は確かですし、これからも変わらないと思います。

興味深いビジョンですね。その世界での攻撃はどのようなものになるか心配ではありませんか?

Mikko: はい。悪人がいなくなることはないですから確かに心配ですね。犯罪は発生しますし、新しい世界ではもはや地理は無関係です。

私は、昨年暮れに本を執筆する際、銀行強盗について調べてみました。私の母国フィンランドでは、30年前の1991年には114件の銀行強盗事件が発生していました。それは、銃を持った強盗が銀行に押し入り、現金を盗んだ事件です。そして、最後に銀行強盗が発生したのは2005年です。それ以来1件も発生していないのです。銀行が減り、さらに数少ない銀行にも現金は置いていないからです。

その代わり、オンライン銀行強盗、バンキング型トロイの木馬、クレジットカードの盗難、仮想通貨取引所へのハッキング、金融システムの資格情報のフィッシングなどの事件が多発しています。現実世界の銀行強盗はなくなりましたが、オンラインでの銀行強盗が爆発的に増加しました。

これも未来への道なのです。犯罪はなくなりません。その形が変わっているだけです。そして、今後も変わり続けるでしょう。

Andy: 将来、無限のコンピューティングパワーを持つとすると、暗号通貨はすべて消え去ることになりますね。

はい、それは私も考えていました。私がその世界にいたら自分でクリプトマイニングをするでしょう。

Andy: なるほど。それは暗号通貨を無効化するようなことですよね?なぜなら…

Mikko: 特にBitcoinを見ると、難易度を自動調整しているので、膨大なコンピューティングパワーがあると、1つのブロックを解くのは非常に困難になります。ビットコインの生みの親のサトシ・ナカモトサトシ氏は、すでにこのことについて考えています。

Andy: 誰もが膨大なコンピューティングパワーを利用できるのであれば、皆がマイニングできますね。

Mikko: 文字通り無制限でない限り自己調整されます。この点は既に考慮されていますが、興味深いですよね。Bitcoinのオリジナル論文でもうひとつ興味深い点は、すでに量子コンピューティングを考慮している点です。Bitcoinのアルゴリズムは、新しいトランザクションごとにユニークなキーを使用すれば量子耐性が維持されます。これが2008年の論文であることを考えると、驚くべきことです。

まるでエイリアンがやってきて、この謎の論文を残して去っていったようなものです。誰が、何を、どうやったらできたのか未だに不思議です。一体何なのでしょうか?

いづれにしても、すべてのBitcoinは数年以内に採掘され尽くすでしょうね。

Mikko: いいえ、最後の1個を採掘するまで、あと100年はかかりますよ。でも、実際にはすでにBitcoinの90%近くが採掘されているので、あとは時間の経過とともに遅くなっていきます。

そうですか。知りませんでした。

Mikko: 大部分のBitcoinはすでに採掘されており、永遠に失われたというのは興味深いことです。私たちが無限のコンピューティングパワーとか、Bitcoinやブロックチェーンの話になると、すぐに地球や地球温暖化について、そして環境にとって良いのかという議論になります。もちろん、どれをとっても環境に良いことではありません。

でも私は、地球温暖化や気候変動の解決策は、テクノロジーの使用を制限することではないと信じています。むしろその逆だと思っています。テクノロジーを駆使して創造力を生かすことが、気候危機の解決策になると思います。

テクノロジーの使用を制限しても解決にはなりませんし、私たちはこの問題を通じて自らをも革新できると思っています。何とかして大気中のCO2を除去する新技術を開発するでしょうし、これは技術革新なくしては実現できません。

ですから、私はテクノロジーの使用をやめることでこの問題を解決できるような世界は信じていません。まったく逆だと思っています。

なるほど。これらのテクノロジーの多くは、サステナブルな世界を実現するためのリソースが存在している場所で開発され、利用されています。

Mikko: Andyはこの意見に反対ですね。

Andy: いえ、私はただ現在Bitcoinを支えるために使われているすべてのコンピューティングパワーが、タンパク質の折りたたみやAIモデルのトレーニングに使われていたらと想像してみたかっただけです。

Mikko: 私もそういう世界は大好きです。実際、これをなんとかして組み合わせることができるかもしれません。つまり、私がすでに試したプロジェクトでは、Bitcoinのようにプルーフオブワークアルゴリズムを使用してもコンピューティングパワーを無駄にせずに、それを使って何か役に立つことをしようとしています。しかし、残念ながらこの分野ではあまり成功例を見たことがありません。

私たちは、これらがまだ初期段階であることを忘れてはなりません。今日、私たちが耳にするブロックチェーン、Bitcoin、NFTプロジェクトは皆問題を抱えていて、奇妙で、理解しがたいものですが、まだ初期段階なのです。

数ヶ月前、私は目を見張るようなビデオクリップを見ました。それは、Netscape Navigator の開発者であるMarc Andreessen(マーク・アンドリーセン)氏が、Netscape Navigator 1.0をリリースしたばかりの頃、アメリカのゴールデンタイムのテレビでインタビューを受けている映像でした。Netscape Navigatorは初めて主流になったWebブラウザで、これでWebが閲覧できるようになったのです。

インタビュアーは、Mark Andreessenにこう尋ねました。「OK、素晴らしいですね。Webブラウザができたのですね。それで何ができるのですか?このすばらしくて新しいWebブラウザは何と関係するのですか?Webには何があるのですか?」

そして、Markは事例を出すのに本当に苦労している様子でした。「Webにはあらゆるものがあるのです」「たとえばどんなものですか?」「あらゆる種類のものです。」「そうは言っても、一体何でしょうか?」「さあ、何でしょう。システムとか、情報などでしょうね」

彼は実例が思い浮かびませんでした。つまり、今のようにWeb上にはニュースやコンテンツ、天気予報などがあって、SalesforceやGitHubが使えるようになるとは、当時は誰も考えつかなかったのです。これらすべてが現実のものになりました。当時は誰も見ることができなかったものばかりです。

現在のスマートコントラクトやプログラマブルマネーといった新しいテクノロジーも、そのようなイノベーションレベルにあると感じています。極めて初期の段階です。これらのテクノロジーを使って何ができるのか、実用的な例を見つけるのに苦労しています。それは単に初期段階だからです。これらの技術を完全に理解すれば、本当に賢い使い方ができると思います。

Adriana: 無限のコンピューティングパワーというビジョンについてコメントすると、どんなメリットがあるか私にはわかりません。世界の飢餓を解決するのに役立つのでしょうか?世界をより平等な場所にすることに役立つのでしょうか?それとも無限のコンピューティングでこれらの深刻な問題を解決できるのでしょうか?

そのビジョンとコンピューティングパワーに関するビジョンが、本当にそれほど重要なのかどうかはわかりません。しかし、それはむしろ素材の問題であって、私たちが本来解決すべき正しい問題について、もっと深く考えるべきだと感じています。私たちは正しい問題に焦点を合わせているのでしょうか?そして現在利用可能なテクノロジーを使ってその問題を解決しようとしているのでしょうか?

Mikko: よい質問ですね。コンピューティングとストレージのことは忘れて、接続性だけを考えると、地球全体をカバーするネットワークが無料で使える世界が見えてきます。つまりインターネットが空気のようになるわけです。どこからでもインターネット接続ができます。無料または実質的に無料で、超高速で、空気のように地球上のどこにいても利用できるのです。これは私たちの生きている間に実現可能でしょう。衛星通信の価格が急落することで、最終的にはそのような世界になるでしょう。

そうなれば、世界の飢餓や発展途上国に影響を与えるのは必至でしょう。なぜなら、発展途上国が世界の先進地域と同じ能力を手にするわけですからです。接続性が無制限かつ自由になれば、こうした問題にも役立つでしょう。それが私の考えです。それが問題を悪化させるとは思いません。うまくいけば問題を解決しやすくなるはずです。民主化を進めることにもつながるでしょう。

デメリットもあると思います。接続性が向上した貧しい国から豊かな国に来て罪を犯す者が増えることは確かです。しかしマイナス面よりもプラス面の方が多いと確信しています。

Andy: 私はTwitterのデータ分析業務を数多くこなしていますが、このパソコンで扱えるグラフのサイズには限りがあります。もっと大きなサイズを扱うにはAWSクラスターなどの契約をしなければなりません。大きなデータセットを扱うことができれば、誤報やオンラインハラスメントなどを詳しく調べることもできます。それだけでも世界はもっとよくなると思います。

2つ目はシミュレーションです。シミュレーションには膨大なコンピューティングパワーが必要ですが、天気予報や人が密になり新型コロナウイルスに感染する可能性がある場所や時間帯を近似的に計算できるようになります。

これらはすべて、シミュレーションによって明らかにすることができます。実際に私が開発しているシミュレーションがありますが、これはおもちゃのシミュレーションのようなものです。生物が生きていて、さまざまな条件に適応しているエイリアンの世界のようなものです。しかし、このシミュレーションを実行していると、私のコンピュータは過熱して蒸気を出してしまいます。

もし割り当てられた処理量や時間を費やしてもシャットダウンしないGoogle ColabのようなノートPCが手に入って、このシミュレーションを無料で実行できたら、思わず笑ってしまうでしょうね。つまり、膨大なコンピューティングパワーがただで使えるのなら、自分ができることは山ほどあるのです。

Mikko: そのエイリアンたちは、自分がシミュレーターの中にいることを知っているのですか?

これはメタです。もし私が無限のコンピューティングパワーを手に入れたら、あなたに差し上げるべきかもしれません。なぜなら、率直に言って私はその能力で何をすればよいかわからないからです。生産的なものにはならないし、人類の重大問題を解決することにもならないでしょう。

Mikko: あなたならCrysisで遊ぶでしょうね。

たぶんそうしますね。この話のきっかけとなったクラウド化について、具体的な質問があります。多くの企業にとって、パンデミックによるクラウドへの移行は計画外のことだったと思います。そのため、その対応や緩和策が100%適切なものだとは言い切れないでしょう。その点について皆さんはどう思いますか?また、もしそうだったとしたら、今後発生するサイバー攻撃へ備えるために、企業は今何をすべきなのでしょうか?

Adriana: パンデミックによって、多くの企業のデジタル化が計画外な形で加速したことは間違いないと思います。プロダクトカンパニーでも例外ではありません。Zoomの例を見てみましょう。突然、飛躍的に使用されるようになり、さらに多くのユーザを獲得するためにコンピューティングパワーを拡張しましたが、その時点ではセキュリティについての考慮がされていませんでした。

その結果、多くの問題が生じました。見知らぬ人がいきなり会議に参加したり、学校でZoomを使った授業中に、裸の人がビデオに映ったりして、非常に不愉快な事態が発生しました。もちろん、Zoomはこの問題を解決するために多大の努力をし、セキュリティに多額の投資をしてきました。

Zoomに限らず、多くの企業では管理されていない攻撃対象領域が存在することは間違いありません。これは、パンデミックのために、在宅勤務やBYOD(自分のデバイスの持ち込み)へのシフトを強いられたことによって出現したものです。

したがって、企業は自社のIT部門で起こっているこの変化が何であるかを考え、自分たちがしてきたことを理解する必要があります。特定のアプリケーションに対して、オンプレミスだけでなくインターネット経由でアクセスできるようにするために、開発者はどのような設定を変更したのでしょうか?

そして、組織が適切な態勢にあることを確認したいのであれば、ある程度の費用をかけて、パンデミックによって新たに発生した攻撃対象領域をすべて洗い出す必要があります。そして「この設定を維持するのか?在宅勤務を促進するためアーキテクチャを変更したやり方を続けるのか、続けないのか?」と考え始める必要があります。

アーキテクチャを変更しようとする人々の間では、ゼロトラストアーキテクチャに移行する人が増えるでしょう。そうすれば、デバイスがどこにあっても信頼できないデバイスとして見なされるようになります。

そのとおりです。私が皆さんにお聞きしたかったのがAIを利用した攻撃です。皆がすでに発生しているか、近い将来必ず発生するだろうと言っています。でもAndyは、2021年に書いた署名記事に、AIを利用した攻撃は存在しないと主張していますね。それはどういうことなのですか?

Andy: はい、そのような攻撃は存在していません。

詳しく説明してください。

Andy: わかりました。AIによるサイバー攻撃がすでに発生していると明言している人が大勢いますが、それを裏付ける証拠はまったくありません。それは、現在のAI、つまり機械学習の能力への理解が欠如しているからです。人々は、AIにはすでにある程度知覚力があり、創造的な決断を下し、人間のように振る舞うことができると考えています。一方で、基本的なスクリプトを記述しているのがAIだと考える人もいます。

つまり、誰かが一連の動作を自分で1つずつ実行するのではなく、Pythonスクリプトを書いて、コンピュータに実行させたとしたら、それをAIと呼んでいるのだと思います。この2つがAIを使ったサイバー攻撃と考えられていますが、もちろんそうではありません。これらはAIを使ったサイバー攻撃ではないのです。

確かに違いますね。

Andy: 昨年、私たちは強化学習エージェントを構築して、Windowsシステム上で特権昇格を実行するようにトレーニングする研究をしていました。このエージェントは、攻撃するシステムの構成に応じてさまざまな方法で特権昇格を行うことができるのですが、Windows 10の特定の攻撃可能な構成、つまり特定のメカニズムに対してトレーニングされたものです。

ペイロードを作成し、攻撃するシステム上にアップロードし、DLLを置き換え、サービスを開始・停止する、というような手順です。この手法に基づいて特権昇格を実行できるのですが、それ以外のことはできません。次のステップである侵入拡大はできませんし、標的を見つけてLinkedInで調べたり、ペイロードを含む特定のスピアフィッシングメールを作成してその人のシステムに侵入できるほど知能の高いAIではありません。

これは攻撃チェーンのほんの一歩に過ぎませんが、AIを訓練してサイバー攻撃を仕掛けることができることを証明するものです。しかし、私たちがしたことは、基本的にデータを使ってロジックを構成することであり、これが機械学習です。Windowsシステムのさまざまな部分を照会し、適切なアクションを実行するスクリプトを書くのではなく、そのプログラムを作成する別な方法です。簡単なプログラムですが、このようなことが可能になります。

しかし、もし他のステップも組み込みたいのであれば、同様のメカニズムをトレーニングして他のアクションを実行すれば、特権昇格以降の攻撃ステップを実行することも可能です。つまり、攻撃チェーンを長くすることができるのです。ネットワーク上で興味深いシステムを探すこともできます。データを流出させることもできます。マシンにバックドアを仕込むこともできます。

ただし、このことの本質は攻撃のステップを自動化する方法です。アルゴリズムをハードコーディングするのではなく、アルゴリズムをトレーニングすることで実現したものです。

もし、まったく新しい攻撃や脆弱性などを発見できるAIを作るのであれば、今は世の中にない技術が必要になります。強化学習の次のパラダイムとなる何かが必要になるのです。

それは2022年に実現することはありませんか?

Andy: それは絶対無理です。レジストリの一覧や、Windows上で実行されているサービス、あるいはWindowsのLSやDIRといったコマンドで得られる監視とは異なり、バイト単位の監視が必要になりますからね。はるかにきめ細かいデータが必要になり、次にそれを出力する必要があります。

私たちの場合は、基本的に数字を出力させ、それをコマンドライン全体に対応させて実行しました。もし、コマンドラインをアセンブルしたいのなら、そのための文字を出力しなければなりません。

これは非常に複雑なモデルになってしまうので、今のところそれを実現する技術はありません。

Mikko: これは、機械学習を使った攻撃がすでに存在していると誤解がある理由を示す素晴らしい例ですね。先ほど、攻撃者がこの技術を利用する可能性について、私たちが行った調査について説明してくれました。私たちは、この種の調査を行って実際の攻撃が発生したときに備えていますが、調査それ自体は攻撃行為ではありません。あくまで研究です。

これに関する学術研究、大学研究、業界研究などの記事が発表されると、研究ではなく実際の攻撃と読み取ってしまう人もいます。私はこの問題を解説してきました。あるジャーナリストと話したのですが、彼はこれらの記事を読んで、マルウェアを使った機械学習がすでに横行していると信じていたのです。

私は比喩を使って説明しました。新しいボルボを購入して、それがいかに安全かを隣人に自慢することを想像してください。すると隣人は、この車は他のどの車よりも衝突が多いと反論して、自分の主張を証明するためにボルボの衝突試験のYouTubeを見せます。つまり、どちらも正しいということです。あなたの車は安全なのです。そして彼の言う通り、ボルボは他の車より衝突が多いのです。しかし、それが車の安全性を低下させることはありません。衝突試験によって安全性が高まっているのです。

これがAndyの説明していたことで、私たちがやろうとしている研究です。私たちは、AIベースの攻撃が特権昇格をどのように利用するかを研究しています。それにより、その攻撃が実際に起きたときにどのように見えるかをよりよく理解できるようになります。これは実際の攻撃ではありません。これは衝突試験なのです。

そしてこれが、真実の姿と、多くの人がすでに起こっていると間違って信じていることの間に断絶がある理由なのです。

Andy: 多くの人が、AIはすでにSkynet(映画『ターミネーターシリーズ』に登場する架空のAIコンピュータ)の域に達していると考えていると思います。AIの本質は、何らかの最適化手法を使って、データポイントを曲線に当てはめているものであることをまったく理解していないだけなのです。それがすべてです。あらゆるケースがそうです。

Mikko: 皆さん映画やテレビの見過ぎですね。

なるほど。Skynetほど刺激的ではないようですね。

Andy: はい、そうです。

また、従来のセキュリティ研究では、発見した事実や研究の一部が公開され、概念実証が行われると、犯罪者がその概念実証をあっという間に武器化して実行することがよくあります。このことは、これまでの話を混乱させるかもしれませんが、私たちは何かが実現可能であることが示されると、犯罪者がすぐにそれを悪用するだろうと思い込んでしまうのです。

Mikko: そうですね。犯罪者はスキルが不足していますし、彼らに加担してこの種の研究を進んで行う人を見つけることも困難です。しかし、こうしたギャングが裕福になっていくにつれて、犯行に必要なスキルのある人材を雇える時期が近づいているのでしょう。また、参入障壁も低くなっているので、これが現実になる時期に向かっていると思います。ただし、2022年中には無理ですが。

Mikkoはプログラマブルマネーについて言及しましたが、NFT(偽造不可な鑑定書・所有証明書付きのデジタルデータ)についてはどうですか?

Mikko: それについては、皆さんに聞いてみましょう。JanneはNFTを持っていますか?

いいえ。

Mikko: Adrianaはどうですか?

Adriana: いいえ。

Mikko: Andyは?

Andy: いいえ。

NFT Mikko: 私も持っていませんので、ここでは誰も持っていませんでしたね。皆、NFTのことを聞いたことはあるはずです。

確かに。

Mikko: 面白いですね。繰り返しになりますが、まだ水面下にある技術は、今日実際に使われている技術よりもはるかに興味を惹かれるものです。タマゴッチ、ポケモンなどのバーチャルコレクションカードのアイデアもとても面白いです。しかしリアルなものではありません。

リアルなイノベーションは人為的な希少性だと思います。過去数十年間にわたり、あらゆるものがデジタル化され、あらゆるものの完全なコピーを作ることができる世界になりました。それを制限するのは非常に困難です。JPEG画像があれば、そのコピーを作ることができ、100%同じものができます。オリジナルとまったく同じものができるのです。

今では、これらの新技術によって、オリジナルであること、そしてコピーであることを証明することができます。いくらでもコピーを作れますが、これがオリジナルだと証明でき、オリジナルにこそ価値があります。

面白い話をしましょう。私は本になぞらえて、この技術のことを考えています。2021年の夏、私は友人のPeter Newman(ピーター・ニューマン)氏に会いました。彼は本を執筆し終えたばかりで、私は彼の隣に座ってiPadを手に取り、その本の電子書籍版を購入しました。そして、横にいる著者の彼にサインしてもらおうと思いました。しかしそれは電子書籍です。どうすれば電子書籍にサインできるのでしょうか? さすがに無理ですよね。

それで、ふたりで笑ってしまったのですが、それ以来ずっと気になっていました。今、私は新刊を出版したので、紙の本にたくさんサインをしましたが、また同じことで頭を悩ませています。電子書籍という新しいものが登場して、大変人気があるのですが、私にはそれにサインをする方法を持ち合わせていないのです。

そして、この2つのことが組み合わさるのではないかと思います。私には、本であれ、音楽であれ、あるいは詩であれ、著者が何らかの方法で自分の作品のコピーにサインできる世界を想像しています。「私はそこにいて、彼または彼女が私のためにこれにサインした」ということを証明できるようになるのです。これはプログラムマネーなので、数年後にこのサイン入りの本や詩などを誰かに売ることができるでしょう。

著者やアーティストは、この売買によりプログラムマネーの一部を自動的に得ることができます。すべてがうまくいくでしょう。さらに、もう一歩進めることもできます。好きなバンドを見ていると想像してみてください。Janneの好きなバンドはわかりませんが、Guns N’Roses(ガンズ・アンド・ローゼズ)だと仮定します。

それでいいですよ。

Mikko: わかりました。JanneはヘルシンキのハートウォールアリーナでGuns N’ Rosesのライブを見ています。コンサートの最後で、Axl Roseが観客に向かって叫びます。「さあ、携帯を出して。あなたのSpotifyライブラリの曲にサインします。今日このサインをもらえるのは、このライブに来てくれたあなた方だけです。サインした曲は永遠に残ります」これはとてもクールでしょう。素敵です。

自分がその場にいたことを証明できるのです。思い出になります。ストーリーがあります。もしこれが、このバンドの最後のライブで、その1日後にAxl Roseが亡くなったりすると、後で希少価値が出てきて高値で売れるでしょう。この場合、Axlに分け前はなくとも権利者にはあるでしょう。

著作権の証明に組み込まれたプログラマブルマネーから人工的な希少性を作り出すのです。これらはいずれも今は存在していません。今日、人々はポケモンカードのようなNFTについて話していますが、この技術は本当に面白いことを実現するでしょうし、将来的には理にかなったものになるでしょう。Adriana、私の話はわかりましたか?

Adriana: はい。私が思うには、あなたが言っているのはデジタル著作権や一般的な著作権の分野であり、あなたが挙げた音楽、文学、または芸術におけるユースケースではそれが理にかなっていると思います。なぜなら、NFTに保存された価値は、それを創造した人にまでさかのぼることができるからです。

これは芸術を創造する人々にとっては重要なことです。所有権を維持したうえで、その対価を常に徴収できるようにしたいからです。アーティストたちは、所有権を維持するのに苦労してきたと思います。だから、もしそれができたら…

私は問題があると思います。私が問題視しているのは、アーティストが自分のケーキを全部食べておいて、未だそれを持っていたいように思えることです。もし私がカップを作ったら、そのカップを売ってお金を稼ぐことはできますが、カップは手放さなければなりません。でもアーティストは手放さなくてもよくなります。同じように、素敵な写真を撮ったら、売ってお金を稼ぐことができますが、その写真の権利は手放します。NFTの場合、写真家である私は、自分の写真を保存しています、私はそれに対するすべての権利を保有していますが、販売もしています。そして私の写真に対する権利を自慢します。これは理にかなっているのでしょうか?

Mikko: Janneはアーティストに対して反感があるのですか?

そのようなことはありませんよ。ただ言いたかったことは

Mikko: なぜアートを嫌うのですか?

形あるものを創作している人たちは、甘い汁を吸うべきではないと言っているのです。私が創作したカップや製造した車のNFTを作るべきかという話です。結局私たちは人工的な希少性について話しているのであって、それに関する歴史的な事例はどれも特に価値があるものでも優れたものでもないからです。たとえば、法外な値段の限定版ハンドバッグのようなものです。

Adriana: しかし作曲家たちはどうでしょう?彼らの楽曲には、他の曲などに使用されるサンプルミュージックがありますよね。そのサンプルにトレーサビリティがあれば、基本的にロイヤリティを請求することができますので、彼らにとっては興味が有ると思います。

特に音楽に関しては、それを取り巻く業界があります。

Adriana: そうです。実を言うと、私は音楽業界で働いたことがあるので、この業界がいかに複雑で破綻しているかを知っています。

Mikko: おや、そうでしたか。プログラマブルマネーがその解決策になるかもしれませんね。ルールを破ることはできませんので。

確かに。

Adriana: まさにそのとおりです。

Mikko: 破りたくてもできません。もちろんアーティストは制限を設定することができます。この曲は購入できますというように。転売すると、売値のほんの一部か、あるいは50%を得ることができるかもしれません。すべてプログラマブルで、著作物とそうでないものがわかります。

プログラマブルマネーは分散型なので、業界全体を複雑で破綻した悲惨な状況から脱却させることができるでしょう。

Mikko: ええ。

Adriana: そうですね。しかし、依然として課題はあります。どうやって代金を徴収しますか?私はそのことを考えてきました。

Mikko: 私にはそれが課題だとは思えません。プログラマブルマネーであれば、自動的に徴収できます。むしろ問題は、それでもオリジナルではないコピーを作ることができることです。繰り返しになりますが、コピーした曲はオリジナルと全く同じように聞こえます。ただオリジナルではないのです。

オリジナルには価値があります。プログラムされていれば、転売するとその売り上げの一部が著者に戻ってきますが、オリジナルではないコピーを作ることを妨げるものは何もありません。本物に見えるモナリザのコピーを作ることを妨げるものはありません。しかしコピーに価値はありません。

Adriana: これは詐欺を防ぐことにもなります。たとえば、美術品を所有していて、それを本物だと思っている場合と、本物ではないと思っている場合とでは、感じる価値が違うからです。美術品を手に入れて本物だと思い、それを転売しようとしたときに、これは偽物ですと言われたら、本当に腹立たしいですよね。

私には分かりません。私個人は美術品を持っていないので。

Mikko: Janneは美術品が嫌いですね。

美術品が嫌いなわけではありませんが、オリジナルの絵画は持っていません。私が持っている絵はどれも有名な絵の複製で、見た目は同じで美しいので、私にとっては価値があるのです。作者のサイン入りのオリジナルではないけれど、別に気にしていません。

Adriana: なるほど。デジタルアートを所有しているアートコレクション会社にとっては、コピーするのは簡単ですが、オリジナルを所有しているからこそ価値があります。オリジナルを所有することは、いつの時代でも特別なことだからです。

アートは、私たち人間が自らの心で生み出したものですよね?正確なコピーよりもオリジナルの方に価値を感じるのは、純粋に人間的な感性なのです。そして、その周りにビジネスがあります。アート業界はその上に成り立っているのです。

だからオリジナルはコピーよりも価値があるのです。そして、アート業界にとってNFTが興味深いアイデアである理由は、誰が、そして何がオリジナルであるかを証明するのが本当に簡単だからだと思います。そして偽の芸術作品やデジタル作品を掴まされる可能性はなくなります。

Mikko: そして、これはNFTでよくある質問にも素晴らしい答えになりますね。特に右クリックでコピーできるJPEGのような画像にも当てはまります。確かに、右クリックすればコピーを作成できますが、違いはそのコピーには10万ユーロの価値はないということです。

Adriana: まさにそのとおりです。

Mikko: オリジナルには10万ユーロの価値があります。コピーにはありません。ちょうど、Janneの家の壁に飾ってあるモナリザのコピーが、ルーブル美術館にあるオリジナルのように何百万ユーロもの価値はないのと同じようにね。

私には分かりません。たぶん私は芸術が嫌いなのかもしれません。あなたが私を説得してくれないからです。Adrianaのように、私たちは以前、NFTスペースの周りに出現した新しい経済やビジネスモデルのいくつかについて話し合いました。その話題に切り替えた方がよいかもしれませんね。

Adriana: 確かにそうですね。ゲームで稼ぐ経済のことでしたか?

そうです。

Adriana: これはデジタル世界を基盤にした経済です。思い浮かぶ好例は、Axie Infinity(アクシー・インフィニティ:ゲーム内で仮想通貨を入手したり、NFTを売ったりすることで稼ぐことができる)というNFTゲームで、人々がAxieを所有するデジタルゲームです。Axieというのは小さな…。

このようなキャラクターたちですね。

Adriana: デジタルキャラクターです。キャラクター同士でプレイします。キャラクターはNFTであり、そこでは実際に価値があります。誰でもAxieを作ることができ、それを売ったり、それを使ってプレイすることができます。そこでは価値を保存するためにNFTが使われるのです。わかりますか?

はい。

Mikko: 物を集めたり、お金を集めてアイテムを購入するゲームをしたことがある人なら誰でもそこに価値があることに同意すると思います。

キャラクターをアップグレードするために必要なコインを集めること大変な作業です。だからこそ、人々は喜んでこのようなことに現実世界のお金を使うのです。これは長年ゲームの世界で見てきたものと同じアイデアを拡張して自動化したものです。そこにはプラスの面とマイナスの面があります。つまり、この分野は簡単ではなく、明らかに発展途上だということです。

でも面白いのは、これまではゲームを作った会社と消費者との間の取引だったということです。しかし、今ではゲームの周りに、このような一種の経済が成立しています。ある会社がゲームを作り、その会社が各取引から利益を得ているのかどうかはわかりませんが、ゲーム内のものを互いに売買する人々の経済が全体に存在しているのです。過去にもそのような例はありましたが、ゲーム内のマーケットプレイスに限定されていました。しかし、これはバーチャル体験を中心にして、現実世界の経済を構築しているようなものです。

Adriana: このようなゲームがより多くの人にアクセスを提供することで、より多くの人がプレイして、そこから何かを得ることができるようになります。地域経済が非常に悪くても、デジタル経済は地域経済よりも多くのお金を稼ぐことができます。

このように人々に収入を得る機会を与えているのですが、これが単なるバブルなのかどうかはわかりません。なぜなら、私たちはまだNFTが何なのかをよく理解していない段階にあるからです。それは年月が与える試練に耐えられるものなのか?それとも一時的なバブルで、いつかは吹き飛んで誰も関心を示さなくなり、NFTの価値はゼロになるのでしょうか?

Mikko:  Marc AndreessenがWebブラウザは何のために必要なのかを説明できなかったことに似ていますね。

そうかもしれません。たとえば、ブロックチェーン技術は人類の全問題の解決策と考えられていたのに、30年経っても実際に使えるケースは1つか2つしかありません。

Mikko: とアートが嫌いな Janne Kauhanenが言っています。

解決されるはずの問題がまったく解決できませんでした。たとえば家の購入などは、ブロックチェーンのような永久的な台帳に載るはずでしたが、実現していません。なぜなら、それは有りもしない問題を解決しようとしているからです。

Mikko: 私もそう思います。同感です。起こるはずだったことが、起こらなかったことは山ほどあります。しかし、やはり私はまだそれが初期段階だと主張します。本当のブロックチェーン革命は、おそらく10年間は​​起きていません。まだ初期の段階です。様子を見てみましょう。

私の著書で示した、偉大なイノベーションの定義は今でも有効だと思います。偉大なイノベーションとは、誰かに説明したときにそれが自明の理として捉えられるものです。そして、ブロックチェーンとは永遠に公開され、永遠に変更されない台帳です。これだけ聞くと、自明の理であるイノベーションのように聞こえます。しかし、ブロックチェーンが発明されるまで、そのようなイノベーションはありませんでした。

つまり、ブロックチェーンの背後には真のイノベーションがあります。ブロックチェーンを使ってできること、まだできていないことは膨大にあり、環境や地球を破壊することなくそれを行うことができるようになるでしょう。

Adriana: すべてをカバーしますね。

Andy: NFTについては、資本主義者ではない立場で見解を述べるつもりでした。なぜなら、NFTの周りで議論されたすべてのユースケースは、人々が何かから収入を得ることができるものだったからです。私は自分のコードをGitHubにアップロードしています。アートワークも作っています。ネットワーク図をキャプチャして、それから素敵なGIFを作って、人々に使ってもらっています。しかし対価は気にしていません。お金が欲しくてやっているわけではありません。でも、自分が作ったものだということを示すために、タグ付けするのはよい方法だと思います。

それは名声を得たいのですか?それとも、どこで使われているのか知りたいのですか?

Andy: 誰が見ても、このコードは私が最初に作ったことがわかるようにしたいだけです。

Mikko: 要するにサインをしたいのですね。

Andy: その通りです。そのコードで何かクールなことをしたり、質問したい人は私に連絡することができます。もし私のPythonスクリプトを入手した場合、それが私のGitHubにあるので、私のものであることがわかります。また、それを誰かがフォーク(あるソフトウェアパッケージのソースコードから分岐して、別の独立したソフトウェアを開発すること)すると、私がオリジナルを書いたことがわかるので、必要により私に連絡することができます。そうすれば、人々は無償でソフトウェアを世に出すことができるわけでが、サインすることで私が作者であることを明示することができるのです。

Adriana: しかし、すでにコモンズはそういう取り組みをしていますね?著作権のコモンズ

Andy: MITライセンスなど

Adriana: はい。

Andy: でもそれは単なるライセンスです。私はライセンスの話をしているのではありません。私のコードにMITライセンスを追加すれば誰でも無料で使うことができます。

Mikko: それは簡単に削除できます。でもNFTのようなものを使えば削除することは不可能です。

Andy: はい。そのとおりです。

Mikko: それは永久的なものですね。

Andy: はい。

NFTはデジタルやバーチャルなものにサインする方法として価値があるという考えは、私にも受け入れられそうです。

Mikko: でも、まだ誰もやってないですね。

その通りです。

Mikko: 私たちでスタートアップ企業を立ち上げるべきでは。Janneは忙しいですか?

今回の収録中での2社目のスタートアップですね。1社目は指名手配犯を誘拐するものだったから、こっちの方がサステナブルかもしれません。

Mikko: はい。別の会社になりますね。

はい。全く別の会社です。

Andy: なぜ両方一緒にできないのですか?

両方やりましょう。別々の会社として。でも1社目をやっていることは否定したいですね。そうなると1社で両方やるべきかもしれません。そうすれば、「私たちはNFTを扱っているのであって、人を誘拐するなんてとんでもない。なぜ、私たちがそんなことを」といつも否定することができますからね。

Mikko: 本来の活動資金を得るために人を誘拐しているだけです。

まあ、それが真実ですが、そんなことを白状したくはないですね。

F-Secure Japan

01.02.22 43 min. read

カテゴリ

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。