インターポール
ヴィタリー・カムリュク(Vitaly Kamluk)は、31年前にベラルーシで生まれました。人生の約3分の1にあたる10年以上もの間、Kaspersky Labでセキュリティリサーチャーの職に就いています。そしてこの半年ほどは、先ごろ開設されたIGCI(INTERPOL Global Complex for Innovation:シンガポール総局)のあるシンガポールに赴任しています。ネイピアロードに建つこの巨大な未来型ビルの中で、世界各国から来た警察官が日々サイバー犯罪の捜査と防止に取り組むのを支援しています。
地理的にはモスクワ本社から遠く離れた場所にいるものの、カムリュクは現在もKaspersky Labの社員であり、並行してインターポールでも仕事をしています。
民間企業または学術研究機関のエキスパートでありながら、インターポールチームの内部で勤務するという、なかなか特殊な立場にあります。
「他にも2タイプの職員がいます。そのうちひとつは請負契約のもとで働く現地職員たちで、世界各国から来た警察官とともに仕事をしています。このように違うタイプの職員がいるのには、意味があります。さまざまな人々が集まって日常的に接触を持ち、直接会ってコミュニケーションをとることで難しい案件を迅速に解決する、というIGCIの基本理念にとって不可欠なことなのです。」カムリュクはこのように説明してくれました。
そのためには、IT業界のセキュリティエキスパートが警察職員と密接に連携し、形式的な手続きに煩わされることなく情報や専門知識を交換できるようにする必要があります。
ブラックボックスでの1日
シンガポールは車社会ではありません。ここでは、よほどの理由がなければ車を買ったり借りたりしません。国土の小さいシンガポールでは、買うのも借りるのも大変高くつきます。交通問題を緩和するために、政府がそのようにしているのです。その代わり、快適で迅速な公共交通機関が用意されています。
サイバー犯罪との戦いは重要な任務であり、ときには急を要することもありますが、カムリュクはできるだけ徒歩で移動したい方です。
「車はほとんど必要ありません。オフィスまでは30分くらい、エアコンの効いた快適なバスの中で過ごしています。このバスの良いところは、専用の番号に運転手の名前をSMSで送って評価を伝えられるようになっていることです。評価されることで、運転手は乗客に感じよく丁寧に接しようという気になります。うまくできています!」(カムリュク)
毎日午前9時30分に、カムリュクはIGCIの出入口前で、民間からのスタッフ全員が必ず受けることになっているセキュリティチェック(金属探知機によるチェックもあり)を受け、自分の働く場所に向かいます。インターポールで働くカムリュクの場合、デスクのある場所は1つではなく、3つあります。
「1つの席は、普通の会社のデスクと同じように、インターネットやメールなどに接続されたPCが置いてあります。主に、業務上の連絡やイントラネットへのアクセス、それから日常業務に使います。もう1つはDigital Forensic Labの中にあって、進行中の捜査に関連するマルウェアの解析とデジタルフォレンジックを行うときに使います。それから、時々作業する3つ目の場所が、Darknet Research Labです。そちらは完全に研究開発の部門で、僕たちはそこで、インターポールのリサーチャーや他社から来ているリサーチャーと協力して、これから起こり得るサイバー犯罪の防止と捜査に役立てるためのさまざまな…いってみれば実験的なプロジェクトに取り組んでいます。ダークウェブ関連、仮想通貨関連、P2Pネットワーク関連、などがあります。とまあ、こういう感じで「死ぬほど退屈」なんてことはまずないですね」(カムリュク)
Kaspersky Labのエキスパートであるヴィタリー・カムリュクは、シンガポールにてインターポールの仕事に携わっています。そんなヴィタリーが、インターポールに関する質問に答えました。https://t.co/UJoQaDL3sz pic.twitter.com/0blPR9Yxwt
— Kaspersky Labs Japan (@kaspersky_japan) July 2, 2015
オフィスで働く一般的な人の1日はメールチェックで始まりますが、カムリュクの1日はレクチャーで始まります。IGCIまたは母国の警察機関でサイバー犯罪の捜査に携わるインターポール職員を対象に、毎日トレーニングを開講しているのです。
カムリュクは次のように述べています。「研修は、マルウェア解析、ネットワーク解析、OSアーキテクチャなどについての、純粋に技術的なトレーニングです。ディスアセンブラーとは何か、デバッガーの仕組み、ネットワークデータの解析方法、プロトコルや暗号化技術の仕組みなどのトピックを取り上げるようにしています。参加は任意ですが、毎日数名は参加者がいますから、やはり警察にはそのような知識が必要とされているのでしょう。」
トレーニングの後は、リバースエンジニアリングの時間です。出向社員という立場上、自分の通常業務もこなさなければなりません。カムリュクがシンガポールで行うマルウェア解析やサイバー犯罪捜査は、Kaspersky Labの仕事でもありインターポールの仕事でもあります。
「IGCIは稼動を開始したばかりで、本格的に機能するにはまだまだ整備が必要です。そういう状況もあってか、現時点ではインターポール側からの仕事はそれほど多く来ていません。主にKaspersky Labのための解析をやっています。といっても、解析結果をインターポールが利用することはよくあります。たとえば、先日のSIMDAボットネット壊滅作戦のときもそうでした」(カムリュク)
各国機関の連携のもと、Simdaボットネットが閉鎖されました。まだリサーチ継続中ですが、 #Simda とはどんなもの?Simdaに感染していないかのチェックも可能です。https://t.co/ygaHmdzdNv pic.twitter.com/Ztu6LBMiSv
— Kaspersky Labs Japan (@kaspersky_japan) April 16, 2015
カムリュクの1日は人との会話から始まりますが、マルウェア解析の時間になると、一転してコミュニケーションを断ちます。そのような行動をとるのには、理由があります。
「コードを見るときは、メールをチェックしないようにしています。それから、可能であればですが、誰かが僕の気を散らすようなことをするのが難しいような状況を作ります。リバースエンジニアリングというのは、トランプで巨大な家を作るような作業なんです。家の設計図は自分の頭の中にしかありません。気が散ると家は崩れてしまって、もう一度最初からやり直さなければならなくなります。急に邪魔が入って猛烈に怒る人がいますが、そういう理由です。」
マルウェア解析が終わると、オフィスワークのスタートです。それが午後4時くらい、ちょうどモスクワのオフィスが動き出す時間なので、会社からたくさんの業務が回ってきます。
「午後4時を過ぎると、また人と話をする時間です。ヨーロッパ、それから米国が朝になって仕事が始まるので、この時間には電話会議が集中します。実際、ここでの仕事では交渉や調整が数多く発生します。SIMDAボットネット壊滅作戦の準備をしていたときは、世界中の関係者と何度も電話会議を行いました」(カムリュク)
また、カムリュクはシステム管理者の仕事も兼務しています。当社からただ1人出向する社員であることから、Kaspersky Labとインターポールの提携関係の枠内にある仕事をすべて担当することになります。たとえばKaspersky Labは、マルウェア解析専用のワークステーションを設定し、Kaspersky LabがIGCIとの間で脅威の情報を可能な限り速く共有できるようにするサーバーとネットワーク機器のリモート設定を支援することになっています。
「すべてを適切に、効率的に設定することがとても重要です。自分のメインの職務ではありませんが、不満があるわけではありません。他の重要な業務が落ち着いているときはいつでもできるだけ手助けするようにしていますし、環境が本格的に展開された後にIGCIの業務がどのように変わるかを見るのがとても楽しみです。」
とはいえ、IGCIでの仕事の中でカムリュクが得た新しい経験として一番大きなものは、「あちら側での仕事」です。
「以前、GReATチームが数回の捜査に携わっていたとき、警察機関と一緒に仕事をする機会がありました。情報を集めて警察機関に渡しましたが、その後、何の音沙汰もありません。何週間経っても、何か月経っても。ブラックボックスと仕事をしているみたいでした。情報を入れたら、その後はアウトプットをひたすら待つだけ。情報が”あちら側”でどのようになっているのかまったくわかりません。どこかで歯車が止まってしまったとしても何もできないのです。今は、自分もブラックボックスの中にいます。仕事の進行が止まることがあるのはなぜか、今の僕にはわかっていますし、歯車が再び動き出すようにする手助けをすることもできます。これは得がたい経験で、大きなチャンスに恵まれたと思っています。」
ヒント