作り話を足しても事実にはならない

Kaspersky Labをめぐる疑惑が報じられていますが、それらの内容がいかに事実とかけ離れているのかをご説明します。

※この記事は2017年2月2日に公開された英語記事の日本語版です。

Kaspersky Labを取り巻くある種の雑音については、すでにお気づきかと思います。2017年は、当社にとって前代未聞の年でした。さまざまな報道機関からKaspersky Labを糾弾する記事がこれほど多く発表されたことは、過去にありませんでした。非難の対象としてさまざまな不適切行動が挙がっていますが、いずれも実質的な証拠がありません。

この雑音の背後にいるのが誰なのか、当社に害を与えたいという欲求がどこから来るのか、私たちには分かりかねますが、一つの目的をもってなされていることは明らかです。世界で知名度が高く信頼されているサイバーセキュリティ企業としてのKaspersky Labの評判を傷つける、という目的です。

発表された記事の大半は、内容が偏っており、別の立場からの意見が含まれておらず、ファクトチェックをしようという意図が一切ないように見受けられます。このような報道は独立系ジャーナリズムとは無関係であり、むしろプロパガンダに似ています。記事の主張の約80%は、匿名の情報筋による情報または虚偽の非難に基づいており、正しい情報はわずか20%ほどです。その20%は、話に見かけ上の信憑性を与える役割を果たしています。

そうした記事が何をどのように書いているのかをご覧いただくため、Kaspersky Labに対する虚偽の非難や偏った意見のうち特に広まっているものをまとめました。一部のジャーナリストがこうした話を頻繁に利用し、互いに借用し合っています。その話とは以下のようなものです。

作り話:カスペルスキー製品を使用して、他人のコンピューターを検索してファイルを盗み出すことが可能である

事実:製品利用者のコンピューターからファイルがアップロードされるのは、極めてまれなケースであり、新しいファイルが不審な動作をするときに限られます。脅威検知のルールは、そうしたアップロードを可能にするルールも含め、全世界で共通ですので、定義データベースの更新を見ればルールを詳しく調査することができます。

Kaspersky Security Network(KSN)は、新しい脅威や悪質なものである可能性のあるファイルに関するデータを蓄積する、クラウドのナレッジベースです。KSNのテクノロジーは、解析のために、不審なファイルを当社のお客様のコンピューターから当社のサーバーにアップロードすることが可能です。しかし、だからと言って、KSNをリモートアクセスツールあるいは検索エンジンとして使用できるということではありません。誰かアナリストが製品利用者のデバイス上でひそかにファイルを検索するなど、不可能です。発行済みの検知ルールは、お客様をマルウェアから保護するという唯一の目的のもとに、誰でも見ることができるようになっています。

もう一つ申し上げたいのは、市場に出回っている多くの他社製品とは異なり、カスペルスキー製品では製品利用者がデータ共有を自分で管理できるという点です。KSNに参加するかどうかは利用者の自発的な意思で決定することであり、脅威関連データの送信はいつでも無効にすることができます。

KSNの実際の仕組みを最も分かりやすく示すのは、「Equation」関連のマルウェア(NSAと関係していると言われています)のソースコードが当社のサーバーにアップロードされた事例でしょう。その件の全容についてはこちらの記事をご覧いただくとして、かいつまんで説明すると以下のとおりです。

  • あるコンピューターにインストールされた当社製品が、当社にとって既知であったEquationマルウェアを検知。
  • プロアクティブな保護技術により、当社製品は7-Zipアーカイブに含まれていた別の悪意あるファイル(それまで未知であった)も検知。
  • 当社製品は、その7-Zipアーカイブを解析のために当社のリサーチャーへ送信。
  • アーカイブには、マルウェアの実行ファイルの他に、新しいEquationマルウェアのソースコードも含まれていることが判明(保護技術の開発に必要なのは実行ファイルのみであるため、ソースコードは削除された)。

重要なのは、当社がそのコンピューター上を検索したわけではなく、ましてや特定のドキュメントに狙いをつけたわけでもないという点です。検知機能が作動し、その後ファイルがアップロードされるきっかけとなるのは、悪意あるファイル、またはその可能性のあるファイルの存在だけです。KSNがこのとおりに機能するということは、近い将来、独立機関による検証によって確かめられるでしょう。

最後になりますが、当社製品内の脅威検知ルールはすべて一般公開されており、誰でも見ることができます。したがって、関心のある第三者は誰でも、先に述べたようなルールを確認することが可能です。

作り話:Kaspersky Labの米国オフィスはまもなく閉鎖され、残るのは少人数のチームだけとなる

事実:米国マサチューセッツ州ボストンの北にあるウーバンに位置する当社の北米本社は今年、オフィスのリニューアルを終えました。250人以上に及ぶ北米チームのスタッフは現在、新しくなったオフィスで、またはカナダを含む北米各地でリモートワークの形で働いています。

加えて、北米チームのメンバーは先日、年次キックオフイベントに集結し、2018年の北米地域での戦略計画について話し合ったばかりです。

作り話:Kaspersky Labはロシア語使用者によるサイバースパイ活動の調査を行わない

事実:Kaspersky Labがこれまでにロシア語使用者によるいくつもの脅威の調査を行ってきたことは、簡単に証明できます。Targeted Cyberattacks Logbook(英語サイト)には、当社のグローバル調査分析チーム(GReAT)が調査したAPT(Advanced Persistent Threat)の情報がすべて集約されています(大多数のAPTはサイバー諜報活動と関係しています)。このWebサイトにあるフィルターのうち[Language behind the APT]をクリックし、ドロップダウンメニューから[Russian]を選択すると、ロシア語が使用されたAPTを表示できます。

Logbookにあるとおり、当社のエキスパートはこれまでにRedOctoberCloud AtlasEpic Turlaなど、コードにロシア語が使用されているAPT攻撃に関するレポートを17件以上発表しています(いずれもリンク先は英語)。

また、当社のリサーチャーがこれまで調査したアラビア語、中国語、英語、フランス語、韓国/朝鮮語、スペイン語が使用されたAPT活動についても確認できます。当社では、サイバー犯罪者が何語を使用し、誰のために活動しているのかによって区別することはありません。当社は、サイバー犯罪者がどこの出身か、どのような意図を持っているかに関わらず、あらゆるサイバー犯罪者からお客様を保護すべく全力を尽くしています。Kaspersky Labのこのような方針を快く思わない人もいるかもしれませんが、だからと言って当社がこの方針を変えたことはなく、今後も変えるつもりはありません。

作り話:ロシア国内の企業はすべてソ連国家保安委員会(KGB)/ロシア連邦保安庁(FSB)の支配下にある。Kaspersky Labはロシアの会社であるから、やはりKGB/FSBの支配下にある

事実:当社はしばしば、ロシアの諜報機関と関係しているかその支配下にあると言われる活動やハッカーグループ(かなり重要なものも含む)を阻止しています。当社が過去数年間に調査したAPTには、ロシア語話者が関与したとみられるものがいくつもあります。中でも、CozyDuke(別名CozyBear、APT29)とSofacy(別名Fancy Bear、APT28)は、ロシアの諜報機関とつながりがあると考えられています(いずれもリンク先は英語)。当社は、両グループに関するレポートを2015年に発表しています。

CozyDuke/CozyBearについてのレポートを発表したのは、当社が最初でした。

その1年後の2016年、米民主党全国委員会(DNC)に対するサイバー攻撃(英語)を調査する過程で、DNCの複数コンピューター内で、これとまさに同じグループが作成した悪意あるツールが見つかりました。調査報告によると、攻撃が始まったのは2015年でした。

仮にKaspersky Labがロシア諜報機関の支配下にあるとしたら、ロシア諜報機関とつながりがあるとされるAPTが米国の選挙をハッキングしていたと言われている(英語記事)まさにそのときに、当のAPTに関するリサーチを発表することがなぜ許されるというのでしょうか?

改めて明言します。Kaspersky LabはFSBの支配下にはありません。

作り話:Kaspersky Labの経営陣はKGBであり、KGBとの間では「元〜」という関係はありえない(KGBと一度関わったらその後関わりがなくなることはない)

事実:Kaspersky Labの経営陣とKGBの間につながりがあるかのように報道されるとき、名前が挙がることが多いのは、最高経営責任者(CEO)ユージン・カスペルスキー(Eugene Kaspersky)、最高法務責任者(CLO)イーゴリ・チェクノーフ(Igor Chekunov)、最高業務責任者(COO)アンドレイ・チーホノフ(Andrey Tikhonov)の3名です。

第1に、ひとくちにKGBと言っても、関わり方はそれぞれ違います。たとえばユージン・カスペルスキーは、KGBほか3つの国家機関が出資する暗号専門高等学校(現在のInstitute of Cryptography, Communications and Informatics)の出身ですが、KGBの職員に(FSBの職員にも)なったことはありません。また、カスペルスキーが育ったのがソ連時代であったことも重要な事実です。当時、教育機会のほぼすべてが、何らかの形で政府の援助を受けていました。

イーゴリ・チェクノーフは、当時KGBの一部門という位置づけだった国境警備隊で兵役を務めました。アンドレイ・チーホノフは、KGBではなくロシア国防省と関係のある研究機関に勤務していました。

第2に、カスペルスキー、チェクノーフ、チーホノフは、当社が「アンチウイルスセキュリティ」という非常にニッチな分野の小さなスタートアップだった頃からの古参メンバーです。サイバーセキュリティが主要産業となる時代より10年から15年も前のことであり、当時クレムリンも、ルビャンカも、その類いのどの機関も、サイバーセキュリティに関心を持ってはいませんでした。ロシアのスパイがKaspersky Labの業務に影響力を持つようにする目的でこの3名が経営陣に送り込まれた、などと考えるのは筋が通りません(まったくの誤りです)。

作り話:Kaspersky Labは捜査でロシアの法執行機関に協力しているのだから、ロシア政府のために仕事をしている

事実:確かに当社はサイバー犯罪の捜査で法執行機関に協力していますが、ロシアの機関だけにとどまりません。他の国々においても積極的な協力の用意がありますし、実際、世界各地の法執行機関、またユーロポールやインターポールといった国際機関に協力しています。当社のエキスパートは、サイバーフォレンジックに関して豊富な経験を有しています。一方でKaspersky Labにとっても、連携を通じて当社リサーチャーが最新の脅威に関する情報をより多く収集できる、ひいてはあらゆる人を保護することにつながる、というメリットがあります。

作り話:Kaspersky Labに実際にロシアのスパイとつながりがあるのでなければ、これほど多くの非難が集まるはずがない

事実:Kaspersky Labがロシアの(または他国の)諜報機関に不適切な形で協力しているという主張を裏付ける、信頼に足る証拠は提示されていません。なぜかと言えば、単純に証拠が存在しないからです。証拠が存在しないのは、Kaspersky Lab(およびそのCEO)と政府との間に不適切なつながりがないためです。

当社は、当社製品の利用者に対してスパイ行為を行ったことはなく、今後も行うことはありません。そうした非難は常に、隠れた意図を持つかもしれない匿名の情報筋による情報に基づいています。さらには、古い情報に基づいて新たな記事が次々に書かれていくことで、こうした虚偽の非難が、事実ではなく今後も事実となることはないにもかかわらず、証明済みの事実であるかのような印象を与えてしまっています。

これがプロパガンダというものです。火のないところに煙は立たないと言うではないか、裏付けや証拠や論理など誰が必要とするのか、と言わんばかりに、同じ話を何度も何度も、人々がそれを真実だと思いこんでしまうまで繰り返すのです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?