日本法人の設立が10周年を迎え、セキュリティ業界においてますます存在感を高めているのがエフセキュア・コーポレーションです。今回、同社のChief Research Officer(セキュリティ研究所主席研究員)であるミッコ・ヒッポネン氏が来日、インタビューする機会を得たのでその模様をお届けします。
――まず、現在のインターネットセキュリティの現状について、どのように見られているのか教えてください。
ヒッポネン氏:
2000年当時の状況と比べて、コンピュータウイルスの世界において大規模なシフトが起きています。これまでは趣味や自分の名前を広める、あるいは社会が騒ぐことを楽しむといったモチベーションでウイルスが作られていましたが、今では収益が目的になっています。
実際、オンラインの犯罪者は莫大な利益を上げています。一説には、年間で億単位のユーロが犯罪者に流れているとも言われています。こうした資金を背景に犯罪者は組織として行動するようになり、さらに投資を行う余力すら持ち得ています。
――オンライン犯罪が増える背景には、どういった要因があるのでしょうか。
ヒッポネン氏:
まず犯罪者にとってリスクが非常に小さいことが問題です。なぜならほとんど捕まることがないからです。さらに捕まったとしても、被害者側が世界各国に散らばっているため、法の下に罰するのが難しい状況も起こっています。また罰則も緩いケースが多く、軽い処罰を受けるだけで終わってしまうことも多い。こうしたリスクの小ささ故に、インターネット犯罪が悪化していくのを防ぐことができていません。
また、犯罪の展開が国際的になればなるほど、犯罪の内容の分析や捜査が難しくなります。こうした状況を犯罪者たちは熟知していますから、たとえば犯罪を起こす際にサイバーテロ関連の法律が緩い国のサーバを使ったり、あるいは自国のPCには感染しないウイルスを作るといったことが行われているわけです。
事実、最近爆発的に感染しているウクライナで作られたと思われるウイルスは、ウクライナ国外のPCにのみ感染するように作られていました。国内で被害が発生すれば、当然自国の警察が動き出す可能性が高いことを理解していて、あえてこうした仕組みを組み込んだと思われます。
――犯罪者がリスクが大きいと感じるような罰則が必要なわけですね。
ヒッポネン氏:
罰則を強化することにより、犯罪者たちにリスクが大きいというメッセージを送ることが大切だと考えています。また、できるだけインターネット上で暗躍する犯罪者を逮捕して裁判に引きずり出すといったことも、彼らに対するメッセージになるでしょう。
ただ、こうしたメッセージが現状で十分には伝わってはいません。このまま行けば、今後はインターネット犯罪は悪化の一途を辿るのみではないかとすら考えています。もちろんエフセキュアはあきらめていません。我々の研究所では、犯罪者たちを追跡して個人のレベルまで把握し始めていますし、逮捕に向けて各国の当局と連携して動いています。
――インターネット犯罪では国家間の連携も重要ですね。
そのとおりです。国際犯罪であるということは、力強い国家間の協力なしには対抗できません。ある国で犯罪が発生して、こういった犯罪者の追跡をして欲しいという依頼があった場合、他国であっても協力する姿勢が必要だと考えています。
ただ現状ではこうした国際的な協力が欠如していることに加え、インターネット犯罪に対してフォーカスが注がれていないことも問題だと考えています。インターネット犯罪は深刻な問題ですが、多くの場合、被害者は警察に話しても何もならないと考えて報告をしません。また企業のWebサイトがクラックされても、それを公開するのは恥だと考えてやはり公表が差し控えられるケースが多くあります。このように報告が少なければ、予算や人員の割り当ても限られてしまうでしょう。
Webサイトの管理者のセキュリティ意識の向上も重要
――これまでウイルスの大規模感染というとメールを利用したもの、あるいはネットワーク経由で感染するワームが目立ちましたが、最近はWebサイトを閲覧するだけで感染するウイルスが広まっています。
ヒッポネン氏:
問題は正規のビジネスを展開している一般のWebサイトがクラックされて、悪意のあるコードが埋め込まれるケースが増えていることです。5年くらい前であれば、フロントページをすべて削除して自分たちのメッセージを残すなど、明らかにクラッキングされたことが分かるように改変されていましたが、最近は見た目だけではクラックされたかどうか分からなくなっています。しかし実際には、Webブラウザやプラグインの脆弱性を突く不正なコードを挿入し、閲覧したユーザのPCにウイルスを感染させるわけです。
特に大規模なWebサイトを管理している人たちが学ばなければならないのは、自分たちのシステムに気を配るだけでなく、閲覧しているユーザのシステムにも注意を払う必要があるということです。Webサイトにアクセスしてきたユーザに対して安全な体験を提供するためには、変更管理やサイトの更新に利用しているPCのセキュリティを高めるなどといった努力をする必要があります。こうしたことをしていかないと、自分たちのWebサイトの評判が落ちることにもなりかねません。
――日本では予算不足やスケジュールの問題から、セキュリティ対策が不十分なまま公開されるWebアプリケーションが問題となっています。ほかの国ではどうでしょうか。
ヒッポネン氏:
そうした問題は日本だけではありません。Webサイトのプロジェクトは、予算がない、あるいはスケジュールが厳しいということで、セキュリティへの配慮を怠ったり、テストを十分に行わないケースが少なくありません。リスクの大きさや深刻さが理解されていないわけです。
コードにバグがあって誰かが不正アクセスしても、サイトそのものには重要なデータが入っているわけではないから問題にはならないと考えるWebサイトの管理者や開発者もいます。しかし実際には、不正なコードによってウイルスの感染源として利用したり、あるいは不正なコンテンツやフィッシングサイトをホストするといった用途に使われるわけです。このように、脆弱性が放置されたWebアプリケーションは、データが盗まれること以外にも、ユーザに深刻な被害を与える可能性があります。Webサイトの管理者は、自分たちのシステムだけでなく、エンドユーザのシステムに被害が及ぶことを阻止することも大切ではないでしょうか。
――ただ現状では、ユーザ自身がセキュリティを意識して対策を講じる必要があります。
ヒッポネン氏:
確かに、個々のユーザが自分のセキュリティに対して責任を持たなければならないのが現実です。しかしながら、多くの人に自分のPCのセキュリティを確保する能力を期待するのは現実的ではありません。だからこそ、エフセキュアはユーザが手軽に利用できるサービスとして、セキュリティを提供したいと考えています。
また我々リサーチチームは、増え続ける攻撃に対応するため、分析の自動化に多大なる投資をしました。現在では1日あたり10万件のサンプルを自動的に分析、分類分けして報告する能力を誇っています。今後もユーザに安全性を提供するべく、努力を続けていきます。
――本日はありがとうございました。