今、誰もが思いを募らせているのが、世界的なパンデミック後の世界の状況です。エフセキュアのチーフ・リサーチ・オフィサー(CRO)であるMikko Hypponen(ミッコ・ヒッポネン)がサイバーセキュリティサウナのエピソード38(英語)に出演し、新型コロナウイルス(COVID-19)に関連したサイバーセキュリティについて対談を行いました。
ALL EPISODES | FOLLOW US ON TWITTER
Janne(ヤンネ): ミッコ、ようこそ。
Mikko Hypponen(ミッコ・ヒッポネン): お招きありがとうございます。
参加いただきありがとうございます。前回のエピソードでは、テレワークに関連するITの課題を取り上げました。現在、Twitterで取り上げられている情報セキュリティ関連の話題の多くが、Zoomの話題で占められています。リモートワーカーがオンライン会議を行う簡単な方法を探していることから、Zoomへの人気が高まっている一方で、Zoomは言われているほど問題があるのでしょうか?
いいえ、実際には違いますが、事態がさらに悪化する可能性はあると思います。ただ、Zoomが大成功を収めつつあるのには、それなりの理由があります。
現在Zoomで起こっていることは、多くの点で、過去にSkypeで起こった事象を彷彿とさせます。2003年にSkypeが登場したのですが、その時点でSkypeは最初のボイスオーバーインターネット(VoIP)ソリューションではありませんでした。 しかし、初めての信頼できるVoIPがSkypeだったのです。いつでも正常に機能し、インストールすればすぐ使うことができました。
Zoomでも同じようなことが起こっています。それがZoomが大成功しつつある理由です。世界中の個人ユーザーが、プライバシーやセキュリティの問題についての懸念が報道されていても、そして企業ユーザーは会社のCIO、CISO、IT担当者から使用に関しての通達出ているにも関わらずZoomを使用しています。
プライバシーに関してはどのような懸念があるのでしょうか?
実際のところ、過去2年間で、小さな問題は数多く発生しています。ZoomのCVE(共通脆弱性識別子)の履歴を見ると、コード実行の脆弱性などのセキュリティの脆弱性が含まれていたことが分かります。しかし、それらはかなり迅速に報告されて修正され解決されてきました。
このパンデミックの最中に、かなり膨大なレポートが公表されました。それによると、Facebookのアカウントでログインできる機能があるのですが、Facebookにアカウントを持っていないユーザーの情報も、ユーザーの同意を得ないままFacebookに送信されていされていたことが明らかにされました。これは故意に行われていたわけではなかったようですが、事実だったためにすぐに修正が施されました。また、Windows 版 Zoom ミーティングクライアントで、チャットの受信文に含まれる UNC(Universal Naming Convention)パスを使用する際に、Windowsの認証情報が盗まれてしまう脆弱性が報告され、これもすぐに修正が発表されました。
ユーザがZoomのビデオ会議をより安全に使うためのヒントはありますか?
そうですね、Zoom側で実行できること、ユーザ側で実行できることとがあると思います。Zoom側で実行できることですが、Zoomでは、すべてのエンジニアリングリソースを信頼性、安全性、プライバシーに関連する問題の解決に集中させることを発表しています。従って、新機能の開発はすべてキャンセルされ、全エンジニア、コーダー、テスターが、製品のセキュリティとプライバシーの向上に取り組んでいます。
そして、これは2003年に起こった出来事を思い起こさせます。2002年、2003年、2004年の間、Microsoftは、Code Red、Blaster、Sasserなどの極めて大規模なワームの感染拡大の真っ只中にありました。そして、ビル・ゲイツが有名なTrustworthy Computing(信頼できるコンピューティング)のステートメント、実際にはMicrosoftの全社員に宛てたEメールが外部に公開されたのがこの時でした。当時も、基本的には今回のZoomと同じような対応がとられました。すなわち、Microsoftは新機能のリリースを凍結させ、すべてのエンジニアリングリソースをセキュリティ問題の解決に投入させました。
それ以来、Microsoftで何が起こっているのかを見ていると、これがWindowsで今日私たちが恩恵を受けている高度なセキュリティレベルへの出発点だったことが分かります。そして、最終的に極めて良い結果がもたらされています。現在、Windowsのセキュリティは非常に良好です。
わかりました。それでは、Zoomのユーザに何かアドバイスはありますか?
もちろんです。ユーザも同じことを行えば良いのです。さまざまなことが可能です。1つは、Zoom bombing(Zoom爆弾)と呼ばれる攻撃の回避です。Zoom bombingは、ビデオ会議の最中に、外部の第三者がその会議を見つけて侵入することですが、このようなことが可能なのは、いくつか理由があります。代表的なものは、ビデオ会議の情報を公共の場所に投稿したため、第三者がミーティングIDを見つけることができたためです。 また、ミーティングIDは、9桁の数字にすることも、登録ユーザ名前にすることもできます。さらに、ミーティングIDが公開されている場合は、パスワードがなくても誰でも参加できてしまいました。
また、攻撃者が開催中のZoom会議を見つけて会議を荒らす別の手口がWar Dialing(ウォーダイヤリング)攻撃です。これは、War Dialingと呼ばれるツールを実行し、基本的にすべてのミーティングIDを試行して、パスワードが設定されていない進行中の会議を見つけるものです。
これらの問題に関しては、Zoom側でミーティング設定時、パスワードが必須に変更されたため、今は、Zoomミーティングを参加するには、パスワードの入力が求められます。単純なパスワードであっても、Zoom bombersから保護できる可能性が高くなっています。
もう一つ知っておくべきことは、進行中のZoom上での会議の場合、特に企業での会議などで公開されていない会議に参加する場合は、電話での参加も可能です。この場合、会議の主催者側は、参加者詳細を確認することができません。そのため、外部の人間が電話で会議に参加していることにまったく気付かない場合があります。このことはぜひ知っておくべきです。会議の詳細を手に入れた部外者がその会議に侵入したり、聞き耳を立てている可能性があり、正規の参加者はそのことにまったく気付かないことがあることを理解しておいてください。
同様のことが、Zoomミーティング中のチャットにも当てはまります。Zoomミーティング中に公開チャット、またはプライベートの1対1チャットの内容が公開されたらどうしますか。チャットで機密情報の話をするのはやめてください。つまり、これが基本的にZoomミーティングでセキュリティ保護を始める方法です。
確かに、これはどんなプラットフォームにとっても良いアドバイスですね。私が気付いた点がもう1つあります。それは、COVID-19関連のデマやスパムキャンペーンが横行しているということです。それらについて注目すべき点や、突出していることはありますか?
私が驚いているのは、再びデマをよく目にするようになったことです。同様に、事実関係を確認せずに転送を繰り返すチェーンレターもよく目にします。そして、なぜかチェーンレターによるデマの拡散は、このような危機の時にこそ成功しているようです。
たとえば、現在のようなパンデミックの最中に、皆がデマを広げないようにお互いが注意し合っているにもかかわらず、特にWhatsApp上で複数のチェーンメッセージが見つかっています。注目すべきケースには、いわゆる「Martinelli」メッセージや、「Dance of the Pope」メッセージなどがあります。これらは、「Dance of the Pope」のビデオを受け取るとデバイスが破壊されるとBBや警察が警告していることを通知し、人々に注意を促す内容のデマです。
そして、このようなデマと戦うために私たち全員ができることは、サイバーセキュリティの脅威などの警告メッセージを受け取った場合、情報源が不確かなものは絶対に転送しないことを周りの人やユーザに伝えることです。通常、これらのデマはメッセージだけがあり、情報源について言及していることもありますが、そのリンクは付いていません。したがって、共有する場合は、信頼できる情報源へのリンクだけに限り、確認できないメッセージは共有しないでください。
なるほど。実は私が経験したことですが、友人から連絡が有り、まさにこのようなメッセージについて、「皆と共有する必要がありますか?」と聞かれたので、「これは詐欺だと思う。」と答えたことがあります。
確かに怪しいですね。なぜこのようなデマを広めようとする人がいるのでしょうか?デマを考え出したところで、なんのメリットもないはずです。フィッシング詐欺やマルウェアとは異なります。それは世界中を駆け巡る単なるうわさであり、始めた張本人は、誰がそのうわさを受取ったのかすら分からないのです。これらのデマから利益を得る手段はありません。だからこそ、私は人々がデマを広めようとする意図が理解できないのです。
確かに。それでは、その他に、現在サイバー犯罪者がこれまでと違った活動をしていることは何かありますか?
そうですね。新型コロナウイルス感染症(COVID-19)を題材にしたメール詐欺、フィッシング攻撃、テキストメッセージ詐欺が増加しています。しかし、これらは、はるかに深刻なニュースの狭間に起きており、その意味では、とりわけニュース価値が高いわけではありません。これらの詐欺師は、何か大きな出来事が発生した場合、それに便乗した詐欺メッセージや詐欺メールを作っています。
直近の例では、NBAのKobe Bryant(コービー・ブライアント)選手の悲劇が起きた際の、大規模な詐欺があります。この事故の直後から、関連するニュース記事を悪用したスパムや詐欺メールを散見されるようになりました。現在では、WHOから送信されたように装うCOVID-19を題材にしたメッセージや大量のスパム、そしてフィッシング攻撃があふれています。また、厳しい経済状況の中で政府の支援策として給付金を約束するテキストメッセージ詐欺も急増しています。これらはすべて詐欺ですが、他の主要なニュースと何の違いもありません。話題になったニュース記事は、常にこのような形で攻撃に悪用されています。
はい、確かにそうですね。労働力のほとんどがリモートに分散した今、企業にとっては、プラットフォーム、デマ、詐欺、スパムメールに関するプライバシーとセキュリティが、大きな懸念材料になるでしょうか?
そうですね、企業の情報セキュリティ部門やIT部門にとっては厳しい時期を迎えています。なぜなら、私たちは今、リモートワークの興隆期に生きているからです。これについては、弊社のCISOエルカが前回のサイバーセキュリティサウナのエピソードで詳しく話しましたので、ここではあまり触れません。ただし、リモートワークは、単にノートPCやモバイルフォンを使って在宅で仕事をする従業員だけに限定されないことを理解することが重要です。多くの従業員が、会社から支給されたデスクトップパソコンを自宅に持ち帰っています。デスクトップパソコンを使っている開発者も、そのパソコンをオフィスから持ち帰り、ホームネットワークを経由したインターネットに接続しています。
そうなんですか。
つまり、これがかなりの数の企業で起こっていることなのです。また、これらのデスクトップは常に企業ネットワーク内で利用されていたため、デフォルトではVPNサービスがインストールされていません。そして今、そのデスクトップは、だいぶ前にパスワードを設定したままのホームルータに接続されていたり、まったくパスワードのないWi-Fiネットワークに接続されていることになります。ですから、ここには注意しなければいけない点になります。これらは、全従業員がリモートワークに移行する前に、IT部門がチェックすべきことだと思います。
良く分かりました。あなたが自身について言及したことの1つは、攻撃者に医療機関を標的にしないよう要求したことがありました。 そして実際にそうすることを約束した攻撃者もいました。その後どうなりましたか?そのような攻撃は見られますか?攻撃者は約束を守っていますか?
ええ、これは難しい問題です。病院はサイバー犯罪者にとって常に儲かる標的です。私はこの問題についてEuropolの論文を引用しますが、ランサムウェアのギャング集団の標的について研究したもので、特に病院などの医療施設は、ランサムウェアにとって有益なターゲットとしてみなされていると述べています。
そして、これはわかり切ったことでもあるのです。病院などの重要な施設について考えると、ランサムウェアによってコンピュータシステムがシャットダウンされると、何らかの方法で再起動する必要が生じます。そして、その唯一の方法が身代金を支払うことであるならば、病院としてはそうせざるを得ないません。
今日の医療施設はあらゆるところにコンピュータが使われています。新型コロナウイルス感染者に対応している診療所や病院の映像を見ていると、すべての病院のベッドの隣にノートPCがあることがわかります。注意して見ると、実際にはそれらの多くがWindows7などが使われています。つまり、時代遅れのサポート切れシステムが使われているのが実態です。
医療施設は、公的資金や市や町の資金で運営されていることがよくあります。そのため、予算はかなり厳しく規制されているはずです。予算が限られているため、既存のマシンを使い続けることになります。するとセキュリティは極めて脆弱になります。その結果として、過去数年間にわたり、数十の医療機関がランサムウェアの標的になっていることが観測されています。
確かにそうですね。また、あなたはこのパンデミックの最中に人命を救っている医療施設に危害を加えた攻撃者を捕らえるために、情報セキュリティコミュニティが一致団結するよう訴えてきました。中には、なぜ常日頃から団結しないのかと思う人もいるかと思いますが、今後さらにどのような努力をすべきと考えていますか?
そうですね。今は誰もが自宅にいて、無力感と恐怖にさいなまれ、何とかして助けて欲しいと願っています。そして、もはやオフィスを離れたほとんどの人は、危機と戦っている、医師、看護師、および前線で対応する人々を助けることはできません。しかし、私たちのように情報セキュリティの分野で働いている人は、支援することができるし、ぜひそうしたいと思っています。サイバーセキュリティや情報セキュリティに何らかの形で従事している誰もが、医療機関に対する攻撃と闘うための援助をしたいと心から願っています。それは、病院などの医療施設だけでなく、例えば治療法を見つけようとしている組織、医学研究組織に対してもこの思いはまったく変わりません。
そして、これがまさに私が3月中旬にランサムウェアのギャング集団を相手にして、基本的に病院は標的にしないこと、そしてそれが守らなければ、これまでよりもはるかに厳格に取り締まるという声明を出した理由です。このパンデミック中に、あえて医療機関を狙う卑劣な人間と戦うことに情熱を注ぐボランティアと企業の研究者は、世界中に大勢いるからです。
まったくおっしゃる通りです。誰もが、毎日人命を救っているヒーローを応援したいと思っていますよね。それなのに、逆に攻撃をしている人間とはいったい何者なのでしょう?共通の人物像は描けていますか?
現在、最も活動的なランサムウェアのギャング集団であるRyukやMazeなどを見ると、これらの最大規模のギャング集団の背後にある組織についてかなりのことがわかっており、その多くは、サービスとしてのランサムウェアモデルを運用しています。つまり、リーダーとフレームワーク開発者がいて、ランサムウェアを所有していますが、実際の攻撃は外部委託されています。これらは、運用を実行するダークウェブ(闇サイト)を通じてすべてが組織化されています。したがって、実際の攻撃は、ランサムウェアの開発とは関係のない第三者によって実行される仕組みになっているため、この問題の解決を困難にしているのです。
そして、特筆すべきは、多くの人がこれらのランサムウェアのギャング集団のすべてがロシアから来ていると考えていることです。しかし、すべてがロシアから来るわけではありません。ギャングは世界中にいます。確かに、旧ソビエト連邦の国々は、他の国よりもランサムウェアのギャングの割合が高いかもしれませんが、それは単にロシアだけの問題ではありません。
さて、ATPグループの話題に関してですが、現在、私は最前線で多くの活動を観測していますが、それは私だけでしょうか?
私たちは一部の国家によるATP活動を観測していますが、現時点では少しおとなしくしているかもしれません。興味深いのは、いくつかの国家支援の攻撃がCOVID-19に関連したメッセージを使用して、ユーザを騙してリンクをクリックさせたり、添付ファイルを開かせる攻撃を仕掛けていることです。国家支援の攻撃グループでさえも、重大ニュースを取り上げて便乗するという流行りの手口に飛びついています。
しかし、一ヶ月前の拡散状況に比べると少し落ち着いて来ていまるので、これらのすべての攻撃が継続して続くとは考えにくいです。私は、2020年3月がピークだと確信しています。
同感です。攻撃活動の低下はグループが一息ついているためですか? それとも彼ら自身が新型コロナウイルスの影響を受けているからだと思いますか?国家の活動がセキュリティ攻撃からパンデミックとの闘いにシフトしているのでしょうか?
その点はよく分かりません。しかし、私が考えていたのは、侵入攻撃や外国政府からの情報収集に費やされていたと思われるリソースの一部が、現時点では、別のことに向けられていると思われます。どの国もこのパンデミックと闘っている訳ですから。
ええ、良く分かります。それでは次に、位置データにより人々を追跡し、新型コロナウイルスの蔓延を遅らせる技術を政府が使うことに対しては、どのように思われますか?また、その現状はどうなっているのでしょうか?
アプリケーションの最前線では、さまざまな国でかなり興味深い取り組みが見受けられます。 シンガポールがその好例です。市民が自発的にインストールできる「TraceTogether」と呼ばれるアプリケーションがあり、それが市民の街中での移動状況を追跡します。もし後になってCOVID-19が陽性であることが判明した市民に接近し過ぎていた場合に通知されます。たとえば、1週間後に感染していることが判明した人と同じバスに乗っていた場合に連絡がきます。 この情報は本当に貴重です。そして有益です。私もぜひ欲しい機能です。
プライバシーに影響があるかと言うと、もちろんあります。必ず影響します。しかし、これはトレードオフです。今の状況下では、私なら喜んでこのトレードオフを受け入れるでしょう。ほとんどの人がそうすると思います。自分の物理的な位置情報を常に第三者に送信することは、後で感染リスクがあるかどうかを知るのに役立つので、受け入れても良いトレードオフだと考えます。
ここでのリスクは、このようなサービスを提供する事業者に追加の権利を付与している場合、パンデミックが終息した時点で、付与した権利をどのように取り消すことができるかという点でしょう。
ごもっともです。我々はフィンランドに住んでいますが、今の話はシンガポールでのことでした。それは話題の一側面ではありますが、事情は各国の政府によって異なります。例えば、イランのような国がこのようなアプリケーションを公開した際には、本当に国民の利益のために最善を尽くすのか懸念が残りました。
そうですね。また、医療情報、位置情報、そして個人を特定できる情報など、膨大な情報を収集すると、それらはどのように保存されるのでしょうか?そして、どこに保管するのでしょうか?暗号化の方法は?削除する方法は?これらはとても良い質問であり、パンデミックの最中であっても決して無視できない問題です。そのため、情報の収集、保存、削除の方法に注意を向ける必要があります。
しかし最も重要な問題は、現在政府に与えられた特別な権利が、永久の権利になることをどのように防ぐかだと思います。
まさにそうですね。一時的な解決策ほど、そのまま永久的になるものです。
その言葉こそが経験から導かれた素晴らしい知恵だと思います。
次に、長期的な観点からして、COVID-19は私たちの業界やこの世界をどのように変えていくと思いますか?
正直なところ手掛かりがありませんのでよくわかりません。今ここで将来を予測するのは難しく、あえてするつもりもありません。 同じ意味で、自分は今も平常時と同じぐらい生産的だと自分を偽るつもりもありません。今は平常時ではないのです。そして、私たち全員が隔離されており、日常のオフィスワークから遠ざかっているので、とにかく、早くやりたいことをやれるようになることを強く望むだけです。今のところ、思っていたほどには生産的には働けていないし、誰もがそうだと思います。そして、それでも大丈夫だと思います。私たちは、単にリモートワークをしているだけではないので、ある程度自分自身に対して寛大な慈悲の心を持つことも必要だと思います。私たちは世界的なパンデミックの真っ最中でテレワークをしているのですから。
それを聞いてほっとしました。私のナイトテーブルには、アンナ・カレーニナの本が置いてあり、それを読むつもりでした。正直な話、私はまだ本を開いてもいません。
そうですか。それなら、犯人を教えましょうか?
それだけは勘弁してください。
何れにしても世界は変わるでしょう。そしてこれは歴史的出来事です。これは過去10年間で最大のニュースであり、今世紀最大のニュースの1つになることは間違いありません。そして私達は今その中で生きています。
まったく同感です。あなた個人について言えば、これまでは常に忙しく出歩き、世界中を飛び回ったり、会議に出たりしていましたね。今、ご自宅で隔離されていてどのように過ごしているのですか?
まあ、これまでとはまったく異なりますね。私は何週間も出張していません。これから何週間もこの状態が続くでしょう。通常は、毎週2回ほどビジネス旅行しているので、これまでとは状況が一変しました。そして、それはある意味素晴らしいことでもあります。つまり、普通の人は私程には出張していないと思いますし、これが普通の生活ではないでしょうか。私はこの状態が気に入っています。しかし、最終的には通常の生活が戻り、再び出張に明け暮れる日々が来ると信じています。
きっとそうなると信じています。今回は、ご参加いただきありがとうございました。
ありがとうございました。手を洗うことを忘れないでください!
カテゴリ