Mikko Hypponen / 青木靖 訳
2011年7月
私はインターネットが好きです。本当に。それがもたらしてくれたものを考えてください。私たちの使っているあらゆるサービス、あらゆる繋がり、あらゆるエンターテインメント、あらゆるビジネス、あらゆる買い物。それが私たちの生きている間に起こったのです。何百年か後の歴史の本にはきっと書かれることでしょう。私たちの世代は、人々がオンラインになり、本当に素晴らしい世界規模のものを作り上げた世代なのだと。しかしインターネットには深刻な問題があるのも確かです。セキュリティの問題にプライバシーの問題。私はそういった問題と戦うことを自らの使命としてきました。
1つ面白いものをお見せしましょう。これはBrainです。この5.25インチのフロッピーディスクはBrain.Aに感染しています。これはPCで発見された最初のウィルスです。Brainを誰が作ったのかは分かっています。コードの中に書かれているからです。見てみましょう。これは感染したフロッピーのブートセクタです。中をよく見てみると、ここのところに「迷宮にようこそ」と書かれています。それからさらに「1986年 バシットとアムジャッド」とあります。バシットとアムジャッドというのはパキスタン人のファーストネームです。実際、ここにはパキスタン国内の電話番号と住所も書かれています。(笑)
これは1986年のことで、今は2011年ですから、25年前です。PCウィルスの問題が現れて25年になるのです。半年前のことですが、私はパキスタンに行ってみることにしました。パキスタンで撮った写真を何枚かお見せしましょう。これはラホールの町で、ビン・ラーディンが捕捉されたアボッターバードから300キロほど南にあります。典型的な通りの様子です。この通りの先に「アラマ・イクバル町ニザム730番地」の建物があります。それでノックしてみました。(笑) ドアを開けたのが誰だと思いますか? バシットとアムジャッドです。今もそこに住んでいたのです。(笑いと拍手) 立っているのがバシットで、座っているのが兄のアムジャッドです。世界最初のPCウィルスを書いた2人です。もちろんとても興味深い話を聞くことができました。なぜ作ったのかを聞きました。自分たちが始めたことをどう感じているのか。そしてバシットとアムジャッド自身も、これまでに何十回となくコンピュータウィルスにやられてきたと聞いて、ある種の満足を覚えました。言ってみれば、世界には正義があるということです。
80年代や90年代のウィルスは、今ではもちろん問題ありません。それがどういうものだったのか少し例をお見せしましょう。今動かしているのは、現在のコンピュータ上で古いプログラムを走らせるためのシステムです。ドライブをマウントして、そこに入りましょう。ご覧いただいているのは古いウィルスのリストです。このコンピュータでいくつか動かしてみましょう。
たとえば、「ムカデウィルス」を試してみましょう。このウィルスに感染すると、画面の上の方をムカデが走り回ります。画面に現れるので、感染したということはすぐにわかります。これは別の「クラッシュ」というウィルスで、1992年にロシアで作られました。音の出るやつもお見せしましょう。(サイレン音を出しながら救急車が画面を横切る) 最後の例ですが、「ウォーカーウィルス」が何をするか分かりますか? 感染すると、男が画面を横切って歩いて行きます。だから昔は、ウィルスに感染したということはすぐにわかりました。ウィルスを作っていたのはホビイストや十代の子どもたちでした。
今日では、ウィルスを書いているのはもはやホビイストや十代の子どもではありません。現在ウィルスは世界規模の問題になっています。画面でご覧いただいているのは、私たちの研究所で動かしているシステムの例で、世界中のウィルス感染を追跡しています。ウィルスをスウェーデンや台湾やロシアでブロックしたことを、リアルタイムで見ることができます。実際、研究所のシステムにWebで接続すれば、私たちが毎日どれほどのウィルスやマルウェアを見つけているか、感覚としておわかりいただけると思います。一番新しく見つかったのはServer.exeの中で、3秒前のことです。その前のは6秒前です。スクロールしていけば、どれほどたくさんあるかお分かりいただけるでしょう。1日に何万、何十万と見つけています。たった20分でこれだけになり、それが毎日なのです。
このウィルスはいったいどこからやってくるのでしょう? 今日では犯罪組織がウィルスを作っており、金儲けに使っています。このGangstaBucks.comのような集団です。これはモスクワで運営されているWebサイトで、感染したコンピュータを買い取っています。だからウィルス作者がWindowsコンピュータを感染させたけど、それでどうしたらいいか分からないというとき、その感染させた他人のコンピュータをこの連中に売ることができます。彼らは実際それに対してお金を払ってくれます。では彼らはそれをどうやってお金にするのでしょう? 方法がいくつかあります。たとえばネットバンキングを狙ったトロイの木馬は、ユーザがネットバンキングを利用したときにお金をかすめ取ります。あるいはキーロガー。キーロガーはコンピュータの中に潜んでいて、ユーザがタイプしたことをすべて記録します。だから皆さんがコンピュータに向かってGoogle検索したら、すべての検索語が記録され、犯罪者の元へ送られます。皆さんが書くすべてのメールも、記録され犯罪者の元へ送られます。パスワードやその他すべてそうです。
彼らが一番求めているのは、皆さんがオンラインストアで買い物をするセッションです。オンラインストアで買い物するとき、自分の氏名、送り先の住所、クレジットカード番号、クレジットカードのセキュリティコードを入力します。これは何週間か前にあるサーバで見つけたファイルの例です。クレジットカード番号、有効期限、セキュリティコード、カード所有者の氏名の一覧です。他人のクレジットカード情報を手に入れたら、その情報を使ってオンラインで何でも買うことができます。もちろんこれは問題です。いまではオンライン犯罪をめぐって築かれた、闇のマーケットプレースや、ビジネスエコシステムが存在しているのです。
そういった連中がどれほどの金を得ているかの1つの例として、インターポールのサイトに行って、指名手配リストを見てみましょう。ビョルン・サンディンというスウェーデン人が見つかります。共犯者も同様にインターポールの指名手配リストに載っています。シャイレスクーマー・ジェイン氏。アメリカ人です。彼らはI.M.U.というサイバー犯罪をやっていて、それにより何百万ドルも手にしました。どちらも逃亡中です。彼らの居所は誰も知りません。何週間か前にアメリカ当局がジェイン氏のスイス銀行口座を凍結しましたが、残高が1490万ドルありました。
オンライン犯罪はとても金になるということです。それはまた、オンライン犯罪者が攻撃のために多額の投資をできるということでもあります。オンライン犯罪者がプログラマやテスタを雇い、プログラムをテストし、SQLデータベースを使ったバックエンドシステムを築いているということが分かっています。彼らは私たちのようなセキュリティ専門家の活動を監視する資金も持っています。そして私たちが構築するセキュリティ上の備えを回避する方法を見つけようとします。そして世界的であるというインターネットの特性を利用します。インターネットはインターナショナルなものであり、それがインターネットと呼ぶゆえんです。
オンラインの世界で何が起きているか見てみましょう。これはClarified Networksのビデオで、1つのマルウェアが世界を飛び回る様子が描き出されています。この活動はエストニアから始まり、Webサイトがシャットダウンしようとするとすぐに別の国へと移動しています。だからこの連中を潰すことができないのです。1つの国から別の国へ、1つの司法権から別の司法権へと切り替え、世界を動き回っています。このような活動を国際的に取り締まる能力が私たちにないことを利用しているのです。インターネットは、世界のオンライン犯罪者たちに無料の航空券を与えたようなものです。かつては私たちに手の届かなかった犯罪者が、今や手が届くのです。
ではどうすればオンライン犯罪者を見つけられるのでしょう? どうすれば彼らを追跡できるのでしょう? 例をお見せしましょう。これは攻撃が仕組まれたファイルです。いま攻撃用のコードが組み込まれた画像ファイルの8進ダンプを見ています。この画像ファイルをWindowsコンピュータで見ようとすると、制御を奪ってコードが実行されます。
この画像ファイルの中身を見ると、画像ファイルヘッダがあり、その後に攻撃用のコードがあります。コードは暗号化されているので解読しましょう。97とXORを取って暗号化してあります。そうなんです。信じてください。ここから解読していきましょう。黄色くなっているのが解読された部分です。元のと大して違わないように見えますが、ここのところにWebアドレスが出てきます。http://unionseek.com/d/ioo.exe。この画像をコンピュータで開くとファイルがダウンロードされ 実行されますが、それはバックドアで、コンピュータが乗っ取られることになります。
さらに興味深いことに、解読を続けていくと奇妙な文字列が出てきます。O600KO78RUS。暗号化されたところに書かれた一種の署名です。何かに使われるわけではありません。私はこれを見て、何を意味するのか突き止めようと思いました。当然Googleで検索してみましたが、ヒットしません。研究所の仲間に聞いてみて、ロシア人が何人かいるのですが、その1人がRUSはロシアのことで、78はサンクトペテルブルクの都市コードじゃないかと言いました。電話番号や車のナンバープレートに付く数字です。それでサンクトペテルブルクのチャンネルを探りはじめ、紆余曲折あって最終的にはこのWebサイトに辿り着きました。
Webサイトを何年もやっているあるロシア人のサイトで、彼はLive Journalでブログも書いています。このブログで彼は自分の生活、20代前半の彼のサンクトペテルブルクでの生活や、猫や、ガールフレンドのことを書いています。それから彼はとてもいい車を持っています。メルセデスベンツS600、6リッター12気筒400馬力のエンジンを備えています。サンクトペテルブルクに住む20代の若者にしてはかなりいい車と言えるでしょう。
どうして車のことがわかったのか? 彼がブログに書いたからです。彼は車の事故を起こしたのです。サンクトペテルブルクの街中で他の車にぶつけ、事故の写真をブログに載せています。これが彼のベンツで、こちらはぶつけた相手のラダサマラです。ナンバープレートの最後が78RUSになっているのがわかります。そしてこの写真を見ると、ベンツのナンバープレート番号がO600KO78RUSだとわかります。私は法律家ではありませんが、もしそうだとしたら、「以上で論証を終わります」と言っているところです。(笑)
ではオンライン犯罪者が特定されるとどうなるのでしょう? 多くの場合そこまで行きません。オンライン犯罪の大半のケースでは、攻撃がどの大陸から来ているのかすら分からないのです。そしてオンライン犯罪者を突き止められた場合でも、多くの場合どうにもできません。地元の警察が動かないとか、動いたとしても証拠不十分とか、何らかの理由で取り押さえられないのです。もっと簡単になることを望みます。あいにくとそうなってはいませんが。
ものごとはとても早く移り変わっています。Stuxnetについてはお聞きになっているでしょう。Stuxnetが感染したのはこういうものです。Siemens S7-400 PLC。プログラマブルロジックコントローラです。PLCというのは私たちのインフラを動かしているものです。私たちの身の回りのあらゆるものを動かしています。PLCはディスプレイもキーボードもないプログラムの入った小さな箱で、設置されて、それぞれの仕事をします。たとえばこのビルのエレベータもPLCでコントロールされているはずです。そしてStuxnetがPLCに感染したとき、私たちの懸念しなければならないリスクの種類が劇的に変わったのです。私たちの身の回りのあらゆるものがPLCで動いているからです。私たちにとって重要なインフラがあります。どんな工場に行っても、発電所であれ、化学プラントや食品加工工場であれ、見回せば、あらゆるものがコンピュータで制御され、すべてがコンピュータで動いています。あらゆるものがコンピュータの働きに依存しているのです。私たちはコンピュータの働きや、インターネットや、電気のような基本的なものに大きく依存するようになっています。だからこれは私たちにとってまったく新しい問題を生むことになるのです。私たちはコンピュータが故障しても機能し続けられる手段を持つ必要があります。
(コンピュータの画面がブルースクリーンになり、それからステージの照明が消える。ヒッポネンはステージ後方に歩いて行くと、徐にOHPのスイッチを入れる。— 笑いと拍手)
備えができているというのは、当然だと思っているものがなくなってもやりくりできるということです。これは実際とても基本的なことです。継続性について考え、バックアップについて考え、大事なものが何かを考えるということです。
前にも言いましたが、私はインターネットが本当に好きです。私たちがネット上で使っているサービスを考えてみてください。それが取り上げられたら、ある日突然何かの理由でそれがなくなったら、どうなるか考えてみてください。私はインターネットの素晴らしい未来を夢見ていますが、私たちが実際それを目にすることはないかもしれないのです。オンライン犯罪によって壁に突き当たることを懸念しています。オンライン犯罪は私たちからすべてを取り上げてしまうかもしれません。
(「スライドショーの最後です。クリックすると終了します。」というOHPスライド — 笑)
私はインターネットを守ることに生涯を捧げてきました。オンライン犯罪と戦わないとしたら、私たちはすべてを失うリスクを冒すことになります。私たちはこの戦いを世界規模で、今すぐ始める必要があります。私たちに必要なのは、オンライン犯罪組織を見つけるためのもっと世界規模で国際的な法執行活動です。犯罪組織は、ネット上の攻撃によって何百万ドルという金を手にしています。アンチウィルスやファイアウォールよりも重要なことです。大事なのは、攻撃の背後にいる人間を見つけ出すことです。さらに重要なのは、オンライン犯罪の世界に手を染めようとしていてまだ始めていない人間を見つけるということです。スキルは持っているが機会に恵まれない人たちを見つけ、彼らにそのスキルを良いことに使える機会を与えることです。
どうもありがとうございました。
(拍手)
[これはTED公式日本語訳です。翻訳をレビューしていただいたYuki Okada氏に感謝します。]
| home rss |