エキスパートに聞く:ヴィタリー・カムリュクがマルウェアとセキュリティ問題を語る

2015年7月16日

ヴィタリー・カムリュク(Vitaly Kamluk)は、ITセキュリティ業界で10年以上の経験を積み、現在はKaspersky Labでプリンシパルセキュリティリサーチャーの職に就いています。専門は、マルウェアのリバースエンジニアリング、コンピューターフォレンジック、サイバー犯罪捜査です。カムリュクの現在の住まいはシンガポール。インターポールに出向中で、Digital Forensics Labのメンバーとして、マルウェアの解析や捜査の支援に携わっています。

Kaspersky Daily(当ブログ)は、読者の皆さんからカムリュクへの質問を募集しました。非常に多くの質問が寄せられたため、このインタビュー記事は何回かに分けてお届けします。今回カムリュクがお答えするのは、セキュリティ全般の問題と解決策に関する質問です。

マルウェアに対抗できるシステムを開発することは不可能でしょうか?

可能ではありますが、おそらくFacebookのようなものは使えなくなるでしょう。私たちはアップグレードや拡張を簡単にできるシステムにすっかり慣れてしまったので、これまでと根本的に違うシステムは、セキュリティが大幅に強化されたとしても、受け入れられないのでは、と思います。そんなシステムは「いいね!」されないでしょうね。

サイバー攻撃に対して一番の弱点はどこですか?また、その弱点はどんなふうに利用されるのでしょうか?

僕の同僚がよく言っていたのですが、最も脆弱な部分とは、コンピューターの画面と椅子の間にあるものだそうです。ソーシャルエンジニアリングを使ってうまいことやる攻撃は多いです。ユーザーが自らの意思でコンピューターシステムへの入り口を開くように仕向けるのがソーシャルエンジニアリングです。悲しいことですが、統計がこれを証明しています。

企業で「BYOD」(私物デバイスの業務利用)制度を導入するに当たって、どんな危険が考えられますか?そのような危険を避けるためには、何をすればいいか教えてください。

BYOD制度で何をするかによって、答えは変わってきます。利用を禁止するのか、それとも部分的に認めるのか。個人のデバイスを使用禁止にするのは一見特に問題はなさそうですが、社員がストレスを溜め、禁止事項のある職場環境に不満を感じるようになるでしょうね。これを大きな問題だと捉える社員もいるかもしれません。

そうならないためには、便利で仕事がはかどり、現代的で快適な職場環境を整備することが大切です。個人デバイスの利用を禁じているのは社内に厳格なセキュリティポリシーを設けているからだと、きちんと説明してあげましょう。利便性とセキュリティのバランスを、社員にとってわかりやすくて受け入れられるものにすることも大事です。社員に我慢させるのではなく、尊重されるような方針にしてください。

システムの利便性とサイバーセキュリティの両方を維持するためには、どんな対策を考えるのが一番大事なのでしょうか?

どんなシステムも、「完全なセキュリティ」と「束縛のない自由」を結ぶ線の中間辺りにある。セキュリティに近い位置にいるほど、システムの利便性は下がる

こんなモデルを検討してみてはいかがでしょう。どんなシステムも、「完全なセキュリティ」と「束縛のない自由」(僕は柔軟性という言葉の方が好きです)を結ぶ線の中間辺りにある、というイメージです。セキュリティに近い位置にいるほど、システムの利便性は下がります。

「完全なセキュリティ」に向かって突き進むと、システムの利用者を失ってしまいます。利用者は、使い慣れた機能を取り上げられる覚悟ができていないかもしれませんから。でも、どういった対策を取ったとしても、人は適応するものです。なので、完全セキュリティ型に向かうつもりなら、システムを利用する人が困ったりショックを受けたりしないように、ゆっくりと穏やかに事を進めてください。

インターネットにはまだ秘密のチャネルがあるのでしょうか?

何をもって秘密のチャネルとするか次第です。一般的なツールや分析手法では認識されないプロトコルを使って、ひそかに情報を送る手段はあります。たとえば、YouTube動画を使って、暗号化された情報をビジュアルデータの形式で送信することができます。他にも想像がつかないくらいたくさんの方法があります。

Facebookが利用者をスパイしているのは、本当ですか?

Facebookが利用者にスパイ行為を働いているというより、利用者の方がよっぽど自分自身をスパイしているのではないでしょうか。Facebookに対する僕の意見を一言で言うと、こんな感じです。

FacebookとメールのIDを守るのに一番いい方法を教えてください。

セキュリティの強化に役立つ簡単なルールをご紹介したいと思います:

  1. 強力で他にはないパスワードを、パスワードが必要なあらゆる場所で使用する。
  2. パスワード復元用の質問と答えを単純なものにしない。
  3. ログインIDとパスワードは自分のコンピューターだけで入力し、友達のコンピューターではログインしない。誰でも使える公共のPCでは、絶対に入力しない。
  4. 信頼できるセキュリティ製品を使って、パスワード泥棒から身を守る。

政府は特殊なシステムを使って通話を録音しているのでしょうか?それとも、通信会社がそういうことをやっているのですか?

僕は政府の代表でもなければ関連機関の人間でもありませんが、個人的な印象として、政府はカスタムプロトコルの研究やビックデータストレージの維持管理、効率的な検索エンジンの導入といったことより、命令を出す方がいいと思っているように思えます。ご質問の答えになっているといいのですが(笑)

Kaspersky LabHDDファームウェアに埋め込まれたスパイウェアを発見しましたね。Kaspersky Labのオフィスから遠く離れた職場では、会社のデータストレージデバイスをどうやってチェックすればいいですか?このスパイウェアはどうやってファームウェアに埋め込まれるのでしょう?デバイスを保護する方法は?

ええ、確かに当社はハードディスクのプログラムを書き換える埋め込み型マルウェアに関する記事を公開しました。残念ながら、Kaspersky Labのオフィスの隣に住んでいたとしても、問題が解決するわけではありません。今のところ、HDDファームウェアがウイルスに感染しているかどうかを調べるのはほぼ不可能です。

最新のファームウェアのコードを受け取るソフトウェアツールを使ってHDDファームウェアのマイクロコードに自分自身のコピーを生成させてみると、マイクロコードが改ざんされていても悪質コードの形跡が一切なく、誤った結果が返ってきます。現時点では、Windows OSをウイルスから保護するには予防的手段に頼るしかありません。

そうはいっても、見かけほど悪い状況でもありません。安定したファームウェア改ざんプログラムはそう簡単に作れませんし、費用もかかります。同じような大規模な攻撃が近い将来に起きることはないでしょう。

コンピューターの感染や不正アクセスが疑われる場合は、何をすればいいでしょうか?

まず、疑いを持つのは良いことですが疑心暗鬼にはならないようにしていただきたいと思います。マルウェアの有無をチェックするには、繰り返しになりますが、以下のような方法が効果的です:

  1. 信頼できるアンチウイルス製品を使ってシステムをスキャンします。これでかなり時間が節約されますが、自動スキャンを100%信頼できるとは思わず、常に注意してください。
  2. プロセスリストをチェックして、不審なゲストや招待していないゲストがいないか確認します。コンピューターを利用する人は、自分のシステムで実行されているプロセスをすべて知っておくべきだと僕は思います。
  3. 自動起動されるアプリのリストをチェックします。Windows向けにはSysinternalsのAutorunsという無料のアプリケーションがあります。
  4. 最後に、さらに詳しいチェックを行います。使用しているコンピューターを(インターネットに接続されている)別のコンピューターに接続して、双方のネットワークトラフィックをすべて記録するのです。これで、不正侵入されたシステムからは認識されない不審な活動が明らかになるはずです。

脆弱なWindowsファイルはどれですか?

大きくて太ったファイルも、小さくて痩せたファイルも、どちらも脆弱かもしれません。という冗談はさておき、Microsoftはベストを尽くしていますが、Windows OSは巨大なので、隅々まで徹底的にテストすることはほぼ不可能です。その上、サードパーティの開発者が設計した信頼できない製品が、状況をいっそう悪化させています。

Microsoftがパッチをリリースする前にGoogleWindowsの脆弱性を発表しました。この件について何かコメントはありますか?

水面下で何が起きていたか詳しいことは知りませんが、誰もが時々、共通の敵という存在を忘れてしまうようです。MicrosoftとGoogleの共通の敵は、この脆弱性を利用して罪のない人々を攻撃するかもしれないサイバー犯罪者たちです。両社は内輪もめしている場合ではなく、互いの懸念を理解して合意点を見いだし、協力してサイバー犯罪と戦うべきです。

PCやモバイルデバイス内のデータ、特にメールとブログをウイルスから保護したいのですが。

保護手段を講じることはできても、100%の保護は難しいものです。シンプルなルールを5つご紹介するので、参考にしてみてください:

  1. 使わないアプリやソフトウェアは削除するかロックして、攻撃される可能性のある範囲を狭める。
  2. OSとその他ソフトウェアを1つ残らずアップデートする。
  3. 他にはない信頼できるパスワードを、パスワードが必要なあらゆる場所で使用する。
  4. 新しいソフトウェアをインストールするときは十分に用心する。アプリの開発元、入手先(開発企業の公式サイトか、怪しいサードパーティのサイトか)、ユーザーの評価をチェックする。また、セキュリティ製品の推奨事項に従う。
  5. ファイルが添付された不審なメールを開く場合のために、ネットワークに接続しない仮想マシンをセットアップする。