Cyber SecurityサウナJapan

河野:
みなさん、こんにちは。あるいは、こんばんは。『Cyber SecurityサウナJapan』へようこそ。このポッドキャストでは、サイバーセキュリティに関するサウナのようなホットなトピックをお届けします。ホストを務めるのはウィズセキュア株式会社法人営業本部、最近赤坂見附にできた『金の亀』ってサウナが素晴らしかったです、サウナ大好き河野真一郎と、

トゥオミ:
同じくウィズセキュア日本法人のシニアセキュリティコンサルタントのアンッティです。最近サウナ入れてなくて悲しいです。

河野:
といったところで、今回のエピソードも残念ながらサウナではなく、アンッティさんと河野は、ウィズセキュアの新橋のオフィスからリモートで収録しています。
さて、今日の『Cyber SecurityサウナJapan』は前回に続き、「ウィズセキュア、2023年のサイバー脅威に関する予測を発表」というプレスリリースの内容をもとに、アンッティさんと河野でお話していきます。前回同様、このプレスリリースの中から興味深いトピックをいくつか取り上げていきます。
今日の1個目のトピックなんですが、ウィズセキュアのプロダクト部門長、レシェック・タシエムスキーが

「クラウドに特化した攻撃が主流に」

というふうにトピックでお話ししてる点があります。引用しますと、

サイバー攻撃者はクラウドに特化した攻撃手法をマスターしつつあります。これまでクラウドで観測される攻撃の多くは、従来の攻撃を『移植』したものです。クラウドインフラにおけるセキュリティ、監視、制御が難しいという点を突いて攻撃が行われており、今後はクラウドインフラの弱点、設定ミス、脆弱性などを狙ったクラウドに特化した攻撃が増加しくしていくでしょう。権限設定に関する考え方は複雑かつ多様であるため、特に保護が難化します。

レシェックの「クラウドに特化した攻撃が増加していくでしょう」というコメントは、私にとって非常に興味深いものです。なぜならまさしくお客様からのクラウドインフラの弱点、設定ミス、脆弱性という問い合わせと重なるものだからです。
アンッティさんはこれをどう見ますか？

トゥオミ:
そうですね。これは私の意見としてはですね。弊社のクラウドセキュリティの専門部門は、長い間こういうタイプの攻撃に対してどうすればいいですか？とか、IMAの権限の設定はどうすればいいですか？などのコンサルティングの診断サービスを提供していますので、そういう観点では新しいニュースではないと個人的に思ってます。
ただし、増加するという観点でいうと、やはり確かに幅広くこういうタイプのミスを悪用しているマルウェアだったり、完全に自動化された、例えばAWSに特化した攻撃とか、そういうタイプのものは、私の認識ですとまだそこまでは多くなってないですね。もちろん、今までの攻撃方法としてもクラウドサービスも普通のサーバーが動いてたり、Web APIが動いてたり、そういうタイプの攻撃も使われますが、こういう特化した幅広く悪用しているものが出たら確かにかなりまずいですよね。いいことにですね、先ほど河野さんも言ったように、お客さんもかなりこういう問題点の可能性を意識していますので、そういう観点で早めに対策すればいいではないかと思います。

河野:
アンッティさん、ありがとうございます。
では次のトピックですが、ウィズセキュアのプリンシパルスレット＆テクノロジーリサーチャー、トム・ヴァンドゥウィールがコメントしてる点として

「2038年問題は思ったより早くやってくるため、今から準備が必要」

というトピックがあります。プレスリリースからトムのコメントを引用しますと

「2038年問題にはテクノロジーが関連する予見できる問題、予見できない問題の両方が徐々に露見し始めてきています。例えば、契約の終了日の計算、大きな買い物をした場合や産業界における補償の有効期限など、2038年が既に問題となるであろうものなどです。現在そして今後数年間において起こるであろう最初の問題は、計画、タスク、PKI、その他未来の日付を使用しなければならないシステムに関係するものでしょう。メディアはこれを大げさに報道する可能性がありますが、それは必ずしも悪いことではありません。Y2Kの場合、コンピューターが現在ほど多くの人々の生活に密接に関連しておらず、影響も限定的だったためです。Y2Kはいい啓蒙活動になったといえます。しかし現在、私達が抱える問題は、2000年にCOBOLが使用されていた範囲と比較して、現在は基本的に主要なオペレーティングシステム、ライブラリ、ソフトウェアエコシステムや、C／C++で動いてるものが遥かに多いということです。」

というのがトムのコメントでした。2038年問題は、2000年頃から個人的には私が非常に慣れ親しんだ問題です。なぜならこの問題、2038年問題は、UNIX時間(UTC)における1970年1月1日0時0分0秒からの経過秒数。これに起因するものだからです。私は今サイバーセキュリティの営業をやっているんですが、昔はUNIXやLinux、オープンソースソフトウェアなどを取り扱ったことがあったため、2008年ぐらいの時、今からもう14年前になるんですけど、その頃に仕事した会社で、2008年当時なんですけど、2038年問題ってのはみんな認識してたんで、2038年問題ってずいぶん先だよね、30年後だからその頃どんな仕事やってるんだろうね、何歳になってるんだろうね、とか話してたんですが。気が付けば、2038年問題の年まであと16年となっています。この話が出てくる前、Y2K、2000年問題の頃は、スマホをみんな持ち歩くなんてことはしてなかったですし、コンピューター、ITシステムの利用も現在に比べれば非常に限定的でした。今2022年現在、スマホを持ち歩かないということはものすごい不便なことになってますし、コンビニでお買い物をする時、電車に乗る時、タクシーに乗る時、生活の様々な局面で何らかの形でITシステムなしには我々の生活は成り立たないぐらいの状況になっています。2038年問題は、もちろん多くのOSベンダーやソフトウェアを開発してる会社によって改善はされてきつつあるものの、どこかのタイミングで2038年問題に起因するようなソフトウェアのバグや問題点が出てくる可能性がゼロとは言い難い状況です。トムがコメントしている通り、メディアが2038年問題を大きく取り上げ、注意喚起することは決して悪いことではないと私は思います。アンッティさんはこれをどう見ますか？

トゥオミ:
そうですね。Y2Kの頃、私もティーンエイジャーぐらいでしたのでちょっとそちらの事情はよく覚えてます。2度と起きるのはなかなか面白いと思ってますね。確かにまだ少し時間がありますが、例えばソフトウェア開発とかそういう簡単に技術がわかってる人として、簡単に新しいバージョンとか何か32ビットのsigned integer (符号付数値表現) じゃなくて、64ビットのやつにしましょうとか、そういう、あの簡単に思ってしまいますよね。ただ、コンパティビリティ考えてみますと、古いシステムと連携できなくなるとか。あとはファイルシステムもかなりタイムスタンプとか使ったりしますので、ファイルシステム全体的に新しくしないと難しいとか、こういうちょっと想定外に簡単に考える時にちょっと思いつかないタイプの問題も多いかもしれないですね。なので、特にこれからこの問題をしっかり事前に直すのを忘れて大変なことになる可能性もありますよねと思ってます。
それにもう1つのポイントですが、やっぱり最近はこの例えばIoTシステムとか、かなり安くて作られてるものとか、今のところIoT機器にそもそも例えばシステムアップデートとか、ファームアップデートの機能が付いてないものも多いですよね。そういう場合で、このネット上に、インターネットに繋がってるシステムの古いバージョンは今もアップデートできないですが、さらに10年間経ったらこの問題をどうやって対策しますか？っていうことは少し気になりますね。Y2Kの頃はですね、COBOLとか昔のプログラミングLanguage、COBOL言語で修正する必要がありましたが、ちょっとこちらの考えは多分もしかしたら甘かったですが。2038年はですね、もうCOBOL言語で動いてるプログラムは相当ないですよねと思ってしまいましたが、今改めて考えてみたら、いやもしかしたらまだ動いてますよね、と気づきました。なので、これからもうCOBOL言語専門家、頑張ってください。

河野:
アンッティさんが今COBOLの話してくれたんですけど、今月の頭、11月の終わりに、AWSのCloudのカンファレンス『AWS re:Invent』に行ってきたんですね。基調講演だったりブレークアウトセッションだったりの中で、AWS環境でCOBOLを動かしますよ、メインフレームのバイナリーをこういうふうに動かしますよ、みたいなトピックと2022年の今でもブレイクアウトセッション技術セッションがある、イコールお客さんが求めていることなんだろうなって思ったんですね。なので今アンッティさんが言ってくれた、今もう2022年だからCOBOLで動いてるものとかって、22年前、Y2Kの頃に比べるとだいぶ減ってるよね、ほとんどないんじゃないかな、に関しては、営業の僕の立場、あと、この間行ったカンファレンスの感じからすると、まだまだ需要があるんだろうなと思っているので。ちょっとこの辺りはあれですね、Linuxやオープンソースの会社の人とか、その辺の所ゲストスピーカーに呼んで2038年問題について喋ってみてよ、というふうに聞いてみたいところもありますね。

トゥオミ:
なるほどですね。じゃあ、引き続き頑張りましょうね。

河野:
では、今日最後のトピック。ウィズセキュアといえばこの人。チーフリサーチャー、日本語で言うと主席研究員ですね、ミッコ・ヒッポネンによるコメントです。

「マルウェアによる攻撃キャンペーンは、人間のスピードから機械のスピードへと移行する」

本文どう書いてるかといいますと、

「最も高い能力を持つサイバー攻撃グループは、単純な機械学習技術を使用して、私たちの防衛手段に対する自動的なリアクションを含め、マルウェアキャンペーンの展開と運用を自動化する能力を獲得するでしょう。マルウェアの自動化には、不正な電子メールの書き換え、不正なウェブサイトの登録と作成、検知を回避するためのマルウェアコードの書き換えやコンパイルなどの技術が含まれるようになると考えられます。」

ミッコ・ヒッポネンは、このポッドキャストを聞いてる方もご存知かと思いますが、長年マルウェアを研究している旧エフセキュア、現在ウィズセキュアで一番有名な方ですね。世界最古のマルウェアを訪ねて、といったところでも有名な人です。その人がこういうコメントを出しているのは非常に興味深いと感じました。みなさんが使ってるパソコンに普通に動いてるアンチウイルス、エンドポイントプロテクションに加えて、高度な攻撃に対応するEDRと呼ばれるようなソフトウェアを利用することが一般化されてきましたが、さらに高度な攻撃として不正な電子メールの書き換えとかWebサイトの登録、マルウェアキャンペーンの展開と運用を自動化する能力。言ってしまうと、今行われている、現在残念ながら被害に遭ってるのは攻撃の第一歩としては、やはりマルウェアランサムウェアといったものから始まるところに対して、これがさらに悪質になってしまうといったことをミッコ・ヒッポネンはコメントしています。これにどう対策すべきかっていったところで思い出したのは、ウィズセキュアの企業ポリシーの文章でした。

「セキュリティにおける課題は誰も単独で解決することはできません。パートナー様、ユーザー様、情報セキュリティコミュニティが一丸となってパートナーとして協力し合うことで、セキュリティの課題がビジネスの成長を妨げることがなくなるのです。ウィズセキュアとともに歩む誰もがサイバー攻撃によって深刻な被害を受けることのない未来をつくる。それが私たちのビジョンです。」

ぜひミッコが予測するマルウェアによる攻撃キャンペーンがさらに高度化したとしても、今引用した企業ポリシーのように、様々なステークホルダーたちと協力し合い、サイバー攻撃の深刻な被害から守る活動を続けていきたいなと思うわけです。アンッティさんはいかがですか？

トゥオミ:
そうですね。確かにAIを使った自動化とか、こういうことは悪用の目的にも、マルウェアなどにも使えることは確かにありうると思います。私の個人的な意見として、おそらく一番難しいのはやはりどうやって、そのアーティフィシャルインテリジェンスをどうやってトレーニングするかですね。大体AIを使うときに何かのモデルとかサンプルとかが必要ですし、それからサンプルに基づいてトレーニングを行って、それでそのモデルを活かしててマルウェアとか、新しいものを作るという流れになりますよね。こういう攻撃者の観点から見ると、例えばそのマルウェアの実行とかマルウェアの作成の分は攻撃者にも見えますが、じゃあこのメールキャンペーンがクリックされなかった、じゃあこちらはダメでした、とか。それからどうするかっていうことをどうやってトレーニングするかは、かなり興味深いですね。その一方でですね、やはり守る側もAIを同じく使えるようになるでしょう。もう既に弊社もいろいろな製品の中で、この分析の中で、アーティフィシャルインテリジェンスを使っていますので、そういう観点で守る側も同じくこういうAIを使ってキャンペーンを検知するとか、最近立ち上げたドメインを、悪用ドメイン、自動化のスピードで動いてるキャンペーンも防止するようになるんではないかと思ってます。ここでもどうやって運用するかとかどうやってそのモデルを作るかとか、そういうことも同じく守る側もかなり苦労するでしょうと思いますが、決して守る側でも、もう武器がないという状態にはならないと思います。

河野:
そうですね。確かに、ウィズセキュアのEDRもそうですが、攻撃側がAIや機械学習の技術、テクニックを使うのと同じように、我々のようなサイバーセキュリティの会社、ウィズセキュア以外の会社も含めて、AIや機械学習のテクニックも使っていくので、攻撃側がそういったことを使ってく上でそれに対して防御側、我々サイバーセキュリティ企業は、お客様を守るために使っていくという局面もあるんだなというふうに思いました。

ということで今日は「ウィズセキュア、2023年のサイバー脅威に関する予測を発表」のプレスリリースから3つのトピックを取り上げて、アンッティさんと河野でディスカッションしました。

2022年に始まった『Cyber SecurityサウナJapan』、おかげさまで5つのポッドキャストをお送りいたしました。来年2023年もぜひ、サイバーセキュリティに関するサウナのようなホットなトピックをお届けしたいと思ってます。

あと、2022年はテントサウナ使ったポッドキャスト収録があまりできなかったので、ぜひやらなければ。テントサウナでポッドキャスト収録！といつも告知してますが、テントサウナと一緒に『Cyber SecurityサウナJapan』ポッドキャストへ参加したいという方は、ぜひTwitterからメッセージをください。

というところで、『Cyber SecurityサウナJapan』第4回は

トゥオミ:
アンッティ・トゥオミと

河野:
河野真一郎でお送りしました。みなさま、良いお年を！

トゥオミ:
みなさん良いお年を！

Cyber SecurityサウナJapan エピソード#4はYouTubeでもご覧いただけます。
https://www.youtube.com/watch?v=D5my0TieVZ0