続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

『THE ZERO/ONE』編集部

December 31, 2018 18:41
by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。

一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で、そして何よりも人間らしい感性で高度なプログラムを開発しているという事実が判明した。

なかでも、マルウェア(悪意のあるツール)が、必ずしも「悪意によって生み出されるものではない」「その考えは誤りだ」という証言は衝撃的だった。悪意のあるツールが、悪意から生み出されるわけではない。しかもそれには依頼主がいて、開発者の主体的な意図ではなく、外部からの委託によって製造されているという。

依頼主を追って

我々取材班(※THE ZERO/ONEを運営しているのはセキュリティ企業のスプラウト)は、その依頼主について質問したが、開発者らは頑なに口を閉ざし、依頼主に関する情報の証言はとれなかった。そこで、日本人マルウェア開発の実態に迫るため、取材班はもう一方の当事者である、「依頼主」の調査を進めた。

まず前回の女性マルウェア開発者が勤務していた会社を調べたところ、会社は10年以上前に解散し、事業はバラバラに売却されていた。我々は、解散に関わった弁護士を訪ね、その協力を得て、彼女が所属した事業部が、事業譲渡を繰り返しつつ、現在も国内中堅ファンドの傘下で企業活動を継続中であることを突き止めた。取材班はその企業の責任者と会い、粘り強く交渉を行った。その結果、女性マルウェア開発者の在籍当時、その事業部と取引のあった数人の人物名を得ることができた。

我々は今回、そのひとりに接触した。現在、ある銀行関連団体の役員を務めるその人物を、ここでは仮に「S氏」と呼ぼう。情報工学のエキスパートとして業界内外に知られている人物だ。S氏は15年前、女性(マルウェア開発者)がその事業部にいた頃、取引相手側となる企業の担当者だった。またS氏が前回の「産業スパイのたまり場」とされた居酒屋に出入りがあったという証言も別に得た。

ただそれ以上の接点は見いだせず、けっして万全とはいえない準備で私たちはインタビューを申し込んだ。S氏側は我々を門前払いすることなく、逆に取材班のスタンスについて慎重に尋ねてきた。

取材班は「マルウェアが悪意に基づかないケースを調べている」「(仮に違法行為があったとしても)誰かの行為をあばく・糾弾する目的はない」ことを説明した。

S氏側は、
・当時ならびに現在の具体的な業務内容については一切触れない
・あくまでS氏の個人的な印象として答える
・インタビュー内容は録音し、証言意図と異なる表現でインタビューを公表したとS氏が判断したときは、録音内容に基づき直ちに訂正すること
という条件で、S氏と複数の人員の陪席により、2017年12月に東京都内のホテルでインタビューを行った。

このように書くと、物々しい印象があるかもしれないが、実際のインタビューは笑いの絶えない和やかなものであった。S氏はユーモアをまじえて、率直かつ平易な語り口でインタビューに応じてくれた。

セキュリティの裏をかいてくる人

編集部:インタビューに応えていただき、ありがとうございます。取材を申し込んだ立場でこの質問をするのは変ですが、なぜ話に応じていただけたのでしょうか?

S氏:あなたたちが余計なことを知っていて、それを外で好き勝手に書かれたら困るという判断だ(笑)。 答えられる範囲で正直に答えるので、正しく書いて欲しい。

ありがとうございます。今回のインタビューではお名前と組織名は伏せてよいのでしょうか? Sさんは、他誌の取材で同様に率直なコメントを出されているのを拝見しました。

今回は匿名でお願いしたい。金融機関がハッカーを利用した、ひいては取引があるという事実について、顧客がどのような受け止めかたをするかわからないからだ。

賛成する人もいれば、脅威と考える人もいるだろう。中にはけしからんという人もいると思う。それぞれに道理があるのだし、私はそれぞれの立場を理解したいと思う。名前を出してそれらの人と対立するつもりはない。公開して得られるメリットがあるというなら考えるが。

現在でもハッカーと取引があるということでしょうか?

これまで何らかの形でハッカーが我々のシステム維持に関わったことがあるのは事実だ。

ハッカーとは、「ホワイトハッカー」。つまりセキュリティ担当者ということでしょうか

セキュリティじゃないよ。ハッカーだ。セキュリティ技術者なら、他に大勢いる。それとは別だ。

Sさんにとって、ハッカーとはどういう人ですか?

(今回の話なら)セキュリティの裏をかいてくる人だよ。それ以外に定義できるのかな。

マルウェア作者は、ハッカーだと思いますか?

セキュリティの裏をかいたマルウェアを作るのなら、ハッカーだと思う。

Sさんは、かつて(マルウェアを開発していた)〇〇と取引があった××社の担当者だとうかがっていますが、(マルウェア作者であり前回登場した)Tさんはご存知でしょうか?

具体的な個人名には答えられない。ただ、その事業部との取引で私が担当者だったのは事実だ。取引というか事実上「(ハッカーの)雇用」だったと記憶している。

雇用ですか?

半分ほどは雇用だったと思う。だから誰を雇ってたかなんて、私は答えられないわけ。業務内容に関係なく、被雇用者のプライバシーに関して答えることはできないよ。

ハッカーを雇用していたということですか?

そうなる。

何人ほどですか?

総数は答えられない。いない時期もある。

それは現在も雇用しているということでしょうか?

そうだ。

ハッカーを雇う理由

コンプライアンスとして問題は生じないでしょうか?

そのへんはね。解決しているはずだよ。そのたびごとに。

マルウェア作者のTさんも同じような表現をしていました。受注のたびごとに法的にはクリアにしていると。どういう意味なのでしょうか。

それは、それぞれだろうがね。そうだね、仮の話として「自動機」(編集部注:現金自動預け払い機)の話をしようか。

CDやATMはプロプライエタリ(非公開・ブラックボックス)の部品同士を組み合わせて作るんだ。だから一社ですべて作って納品するケースと、複数のメーカーが各パーツで統一の仕様を決めて組み立てて設置するケースがある。いずれの場合も、銀行側の審査・検収に高度なノウハウを要されるが、あまりに高度過ぎるノウハウには、属人化や形骸化などのリスクがある。いずれも頭の痛いことだ。それらのリスクはすべて数値化されているが、ハッカーを検収過程に入れることで、そのリスク値が改善されるんだ。

CDやATMの開発にハッカーが入るということでリスクが下がる?

結果としてそうなることが多い。ただ自動機の本体は各メーカーが主導して開発している。仕様や検査項目も法律や省令でがんじがらめだし、技術的には適度に枯れ始めているから、そこにハッカーが入る余地はいまはないかもしれない。しかし自動機を検査する器具・工具や、管理する機器にWindowsやOSSが関わっていることはよくある。それらの二次的な周辺機器が汚染された場合、どのような影響を起こすかは、実際に試す必要がある。

マルウェアを組織内で独自開発してそれらの機器に投入するということでしょうか

そういう使いかたもあるかもしれないね。

仮に検収や定期検査でマルウェアが役に立つとして、それをハッカーに開発させる理由はなんでしょうか。

奇妙な話だが、マルウェアの仕様と期日を切れる人が他にいない。どんなシステムで、どのような仕様のマルウェアが効果的に影響を及ぼすかを事前に判断できるのは、横断的に思考できる熟練したマルウェア作者だろう。 一般のデベロッパーに見積もりやコンペを依頼しても、良い返事がきこえない(笑) 。

マルウェアであっても法的な問題はクリアになっているということですか?

いわゆる「ウイルス作成罪」のことであればあたらないはずだ。それに悪意の有無で定義したマルウェアという表現もいかがだろうねぇ。我々はアグレッサーと呼んでいる。

日本国内のマルウェア作者は、そういった法的に免責された問題のない仕事をしているということでしょうか?

それはわからない。本当に我々の仕事だけで、マルウェアの開発技術を維持できるかは、私もわからない。

グレーゾーンの人を雇用する不安はないですか?

その人物の近年に前科前歴や違法な団体との関係がなければ原則まったく問題ない。それより黙って入ってきてる連中のほうがよほど危険だ。表沙汰になっていないだけで、ずいぶんと危険な状態だったことは、これまでに何度もあった。

ハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

Sさんは、多くのハッカーに会ってきたのですか?

多いのかな……、十数人だ。

積極的に活用してきた、と感じますか?

自分ではそう思う。何と比較するかによるが。

セキュリティ技術者ではなく、ハッカーを活用するのはなぜですか?

決してハッカーを重用するということではない。双方の役割は異なるし、相互に代替もできないということだよ。数としてみればセキュリティ人員が多数だ。ただセキュリティ人材を人員(あたまかず)で代替しているため肥大しているという側面はある。

セキュリティ技術者とハッカーはどのように違うのでしょうか?

まったく違うよ。「文明」と「文化」ぐらい異なる。まず現代のセキュリティ技術者は「文明」側に属してる。だからセキュリティ技術者は、ハッキングの多くを「学術的」なアプローチで解こうとする。

しかし、たとえばビートルズの名曲を「出現させないように」「流行らせない」ように企図したとしたよう。学術的にそれらの曲を解析して新たな出現や流行を防ぐことはできるのだろうか?

私はセキュリティだけではハッカーを防ぎきれない理由がそこにあると思っている。

ずいぶん昔に、ある場所で、何人かのハッカーという人たちに出会い、彼らは学術的な筋道では防げない、防げるはずがないと衝撃を受けた。ハッカーに会う機会があれば、ハッカーが画家・彫刻家のような「文化的」な存在であり、文明には属さないことを誰しも理解するだろう。

文明と文化の違い……語彙の違いはわかりますが、それが人間性のこととなると、漠然としてピンときません。セキュリティ技術者が学術的アプローチを用いる、とはどういうことでしょうか?

私自身、しばらく研究畑だったから、特にそう感じるのかもしれないがね。

学者ってのは悪い癖があって、 a=b、b=c、c=dならa=d のようなことを言って自論を主張する。直線的(リニア)なんだね。

セキュリティの議論についても同じ傾向がある。最初に前提(フレーム)があって、その前提の中で安全性を論じる。前提の外については、文字通り「論」「外」として考察から外す。セキュリティ技術者や研究者は、その行為があたりまえすぎて、それによって生じる死角に気づかない人もいるかもしれない。

他方「文化」は、そのような文明の制約を受けない。そしてハッカーのいる世界もそこだ。前提という概念が薄く、フレームワークを与えても、すぐにフレームの外を使おうとする。結果として、たえず前提をくつがえす存在だ。

ひるがえって、私たちの現実の世界はどうか。ほとんどが不等式とその標本空間だ。文明と文化の両方の影響を受けている。我々は「事象」だけでなく「余事象」に備えなければならない、なぜならハッカーはその余事象を起こすことや扱うことに慣れているし、それが目的だからだ。

学者は「abcdが存在する条件で」と言えば問題ないが、実務はそれで済まされない。我々実務家は「事象」「余事象」の双方に備えることが終始問われる、というのが私の考えだ。

だから、セキュリティだけでは不十分だし、だからといってセキュリティの重要性が低いとは思わない。

セキュリティ技術者が「文化」を吸収することは困難ということでしょうか

それは違う。セキュリティ技術者かどうかは関係ない。誤解があるようだが、職名によって個々の能力や将来性を決めることはできないと考えている。日々攻撃にさらされ、数年持ちこたえたネットワーク管理者に対し、外部のセキュリティ技術者が助言できることは少ない。むしろ教えを請いたいのはセキュリティ技術者のほうではないか。

困難な業務を遂行するにあたって、どれができる、なにができる、どちらができるというのは「個人の素養」の問題であって、職名によって決まることではない。ならば何を信頼するかというと、どの条件でその人が役に立ち続けるかだ。

セキュリティ技術者であれ、ハッカーであれ、ネットワーク管理者であれ、それらはその人の「立場の名前」であって、実務家が評価するのは職務遂行能力だ。コントロール可能な能力であればなおよい。それ以外にはない。

しかし、一般の企業・団体ではハッカーを求人する方法がありません

バグバウンティはどうだろう。あれは潜在するハッカーを活用する社会実験だと思う。成果がはっきりするにはいま少し時間はかかるかもしれないが

ハッカーをホワイトハッカー(セキュリティ技術者)と認定せず、セキュリティと分離した存在にしてしまうと、スタッフ同士のマッチングが問題になりませんでしたか?

多少の工夫は必要だった。現在は問題ないと思う。

セキュリティを目指すなら

もし、ハッカーやセキュリティ技術者に憧れる10代・20代がいたら、どのようなアドバイスをしますか?

なんのハッカーなのか、なんのセキュリティかによる。ただ金融機関のネットワーク管理に携わることは、他では得られない財産になるだろう。金融機関のネットワーク管理を学ぶと、一般のインターネットセキュリティが、たいへん偏ってることに気がつくし、深い理解もできる。転職でも役立つだろう。

なぜ金融機関のネットワーク管理なのですか?

ネットワーク犯罪……ネットワーク攻撃は 金のあるところで最も多く起きる。ただ各行・各社はその本当の数を公表しない。これは金融業界の体質とも関係しているが、この先も本当の数が公表される日は来ないかもしれないね。その実態を知り、鍛えられることは、いい経験になるだろう。

だから最近増加している仮想通貨取引所っていうのがね。どんな攻撃にあっているか、考えるだけで怖いね。(編集部注:インタビューは2017年12月に行われた)

インターネットセキュリティが、たいへん偏ってることに気づく とおっしゃいました。どのように偏っているとお考えなのでしょうか。

現行のIT関連法は、さかのぼれば金融機関の影響で作られた例が多い。PCやインターネットが当然に存在する時代でネットワークを学んだ人には、意識していない人もいるだろう。

たとえば、ネットワーク上のデータ盗聴は「セキュリティの領域」と考えるのがインターネットセキュリティ技術者の大勢ではないか。だが金融機関の多くはデータ盗聴を「監査の領域」ととらえ、実務上はセキュリティからは分離している。金融機関ではセキュリティを「技術面」に限定し、ヒューマンファクター(人為的要因)は、内部監査やシステム監査でチェックを行っていることが多い。この体制について議論がないわけではないが、30年以上の有意な実績があることもまた事実だ。

Sさんは、最初、ハッカーは、セキュリティではないとおっしゃられました。つまりそのお話だとハッカーは監査に所属するということですか?

ううん。口がすべった(笑) 。そうともいえるが、業務内容は必ずしも監査に限定はしない。

パスワードの強度とは

話を戻しましょう。IT関連法が金融機関の影響で作られているとは、どういうことでしょうか?

国内でのネットワーク盗聴が初めて事件になったのは、1982(昭和57)年だ。電電公社の職員が、H銀行の預金口座データを盗聴し、キャッシュカードを偽造して計133万円を引き出し逮捕された。それまでも磁気データの破壊や偽造はあったが、さほど表沙汰にならなかった。金融機関側が小細工していたからだ。だがその事件を契機に、いよいよまったなしで、5年後の1987年に電磁的記録不正作出及び供用罪の成立に繋がる。以来、IT基本法を含めた通信・電子商取引関連法は、お金の業界団体…… まぁ「なんとか協会」とか「なんとか所」という名前の団体が「うん」と言わない限り成立しないことになっている。

国内のインターネットよりも古い法的・歴史的背景から現在の法制・組織運用に繋がっているということですね。そうなるとSさんらと一般の認識にはズレも生じていると思いますが、そういった点でお気づきのことなどはありませんか?

それはたくさんあるが。そうだなあ、個人的に違和感があるのは、「パスワード強度」って言葉がそれかな。お客様窓口経由できた意見にもパスワード強度についての質問や声がある。

パスワードの定期変更の是非などでしょうか

あぁそれもね。よくくるんだ。定期変更やめろって。中には論文みたいなのがね、送られてくるんだ。だけどね、うちの銀行、パスワードの定期変更の推奨はしていないんだ (一同笑)。

そういう意見はどう対応されてるんですか?

住所書いてたらボールペンを送っている (一同笑)。

強度が上がる・下がるという表現が悪いのでしょうか。それとも強度という概念に違和感があるのでしょうか。

いや強度という言葉を使ってもいいんだ。ただ、いかにももっともらしいことを言っているが、「強度」というからには、何かと較べた強さの度合いということだ。この言葉はきわめて相対的だ。この場合の相対的とは、5W1Hにさらされているということだ。つまりパスワード強度が下がるというなら、それはなぜどのように下がるかだけでは足りない。誰の・何人の強度が下がるのか、それはいつなのか、それはどこでなのか。因子としては6因子、すなわち6次元もあるということだよ。そんな複雑なことを、これこれこういう理由だから下がるという直線的な論理で言われても、我々に対して説得力を持たないんだな。なぜなら金融機関のセキュリティは、そういった相対的な因子を排除することに重点を置くのだから。

「パスワードの強度」といった相対的な考えは、金融機関のセキュリティにはそぐわない、ということでしょうか?

考えを排除するのではない。因子を排除するのだよ。あまねく防衛手段は、物理的であれ論理的であれ、その他の手段と併用して功を奏する。またそのようにしなければならない。

この連携において、それぞれの手法の何と何が結びついて功を奏しているかを、たえず我々は明確にして考えているということだ。そうすることで相対的因子に依存しないし影響もされなくなる。仮に鉄壁と呼ばれるセキュリティ手法があったとしても、それが他と結びつけようのないものだとしたら、役には立たない。パスワードの定期変更ひとつをとってもそうだ。否定にせよ肯定にせよこの手法が、他の何と結びついていて、何の接続が絶たれているか。そういう説明でないと、我々のみならず、すくなくともハッカー「文化」には食い込めないといえるだろう。

特にパスワードは簡単そうに見えて、非常に奥が深い。パスワードを識別符号として解釈するのであれば、推測・漏えいリスクの議論は銀行では50年前から世界中でされてきた。ISO/TC68(国際標準化機構・金融専門委員会)もそのひとつだ。日本ではそうした議論に数学者だけでなく人類学者や物理学者まで交えたスタディグループもあった。そうして何十年もかけて得られた結論が支持されここまできたといっていい。その支持は現在に至るまで広範なチャレンジを連日受けて得た我々の膨大なデータでも実効性が裏付けられている。

そこに新たな理論や反論を試みるのであれば、相応の覚悟や真摯さが必要だろう。

寿命があるものはセキュア

相対的な因子を排除するというなら、絶対的な因子とはなんでしょうか。具体的なものはありますか?

わかりやすく言えば、たとえば期限。寿命ともいえる。10年ほどまえから、やっと導入できるようになった。

「寿命」の因子とは、どういうことでしょうか

クレジットカードには有効期限があるが、銀行口座番号やキャッシュカードには期限がなかった。つまり更新ができない。30年前のキャッシュカードと口座番号がいまでも使える。この縛りがあらゆる犯罪を断ち切れない大きな理由のひとつだ。同時にシステム側の更新をも難しくしている。世界的に、セキュリティの強化やその法制が進んでいた1990年代にいたっても、日本国内の銀行のセキュリティや法制が遅々としたのも根は同じだ。それで、どうしたかといえば、そういった犯罪は「ない」ということにし続けた。キャッシュカード偽造で顧客に被害があったとしても、そもそも補償しないから、被害届も出さない。被害は、顧客の個人的な問題としていた。だから統計も持たない。

ひどいですね

本当にひどかったものだが、2005年6月に金融庁が研究会の報告という形でキャッシュカードの有効期限の設定を提言した。そして同年8月に預金者保護法が成立するなどして、顧客に持たせるあらゆるものに寿命を設ける動きに本腰が入った。IC式キャッシュカードは偽造防止のイメージが大きいが、キャッシュカードに有効期限を持たせる余地が加わったことのほうが大きい。

トークンによるワンタイムパスワードも本質はパスワードの短寿命化だ。トークン自体に寿命もある。パスワードの定期変更も、パスワードに寿命を導入した結果だ。他にパスワードに有効期限を設ける方法はないだろう。トークンと同じで相対的な因子を排除しようという試みとも言える。将来は口座番号にも有効期限がつくだろう。

多重認証(二段階認証)についてはどう思われますか?

業界としては始めているが、厄介だ。メールアドレスや電話番号に寿命がない。携帯機(携帯電話)であればIMEI(端末識別番号)があるから紐付けるし、そのうち故障もするが、固定電話はそれがない。考えなしに導入すると、キャッシュカードの二の舞になる。

なるほど、知りませんでした。こうした具体的な話が、これまで出てこなかったのはなぜでしょうか?

出てるさ。みなさんがあまり読みそうにないところにね。(一同笑)。それに金融機関がいま顧客保護に対する理念をつまびらかにすることは、これまでの金融機関が決して顧客ファーストでなかったことを認めるということだ。口を開く人は少ないよ。

そのような中、私たちのインタビューに応じてくださり、ありがとうございました。

できるだけわかりやすく述べたつもりだが、そのぶん正確性に欠いた言葉も多いだろう。その点はご容赦願いたい。

インタビューを終えて

前回の「マルウェア開発者」インタビューでも感じたが、我々はセキュリティやハッカーといった「分類」を賢明な視点で行ってきたのだろうか? そんな問いを、常につきつけられているような心持ちで話を聞いた。

「彼ら」の持つ言葉には、彼らがその身で体験して得た「気づき」に基づく凄みがある。

セキュリティ分野では、時折、技術的な有効性を巡る「争点」が話題になる。それらの争点についてハッカーは、いかにも些末な問題として受け止めている、そんな印象を今回のインタビューでも持った。

取材班は、引き続き、国内マルウェア開発の実態について調査を進めている。

※本稿は、THE ZERO/ONE編集長の故・岡本顕一郎が生前に手がけていた企画で、未掲載になっていたものです。THE ZERO/ONE休刊前の最後の記事として掲載します。

5FBB319580E294EE5E04A70430616071C32B7A2A7A04319BF2D5D6BEC59327C0

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…