先日、ウイルスバスターでおなじみのトレンドマイクロさんのイベント
“ヨッピー × ウイルス研究員がガチで悪質なサイバー犯罪について考えてみた! ~ガチでセキュリティな夜 2016 ~”
にお邪魔してきました。
以前話題になったあのテのウイルスやあの事件など、身近で経験したことのある内容も盛り込みつつ、最近のセキュリティ事情がどうなっているのかが聞けました。
登壇者
登壇者は
- “Web 界隈では知らない人が居ない”ヨッピーさん
- ギーク女優 池澤あやかさん
- トレンドマイクロ 六宮さん
- トレンドマイクロ 木野さん
の4名。
ヨッピーさんは最近いろんなところで記事を目にする人気ライターさんで、P◯ デポのあの件でも色々動いて記事書いたりされていました。個人的には最近読んだ転職エージェントは、本当にスゴ腕なのか!?── 偽エンジニアを見抜けるか試してみた| CodeIQ MAGAZINEが面白かったです。
池澤あやかさんは、女優さん。
池澤 あやか(いけざわ あやか、1991 年 7 月 28 日 – )は、日本のタレント、女優。本名、池澤 彩野花。
東京都出身。慶應義塾大学環境情報学部卒業。東宝芸能所属。 -Wikipedia より
女優でありながら、プログラミング本を出したり、週アスのサイトで連載されていたり(池澤あやかのガチでギークな日々)、売れないアイドルがキャラづくりのためにギークを自称しているのとは混同しちゃいけないガチなギークです。
(今回のイベント中も「dev/null が〜」って言って会場を沸かせていました。)
トレンドマイクロの六宮さんは有償サポート契約企業の専任担当、兼、社内 CSIRT(Computer Security Incident Response Team)の技術統括責任者という、ばりばりのセキュリティエンジニアさん。
木野さんはウイルスバスタークラウドのプロダクトマネージャーを担当されているそうです。
解析って何?からの、実際にやってみよう!
まずは導入的なお話から。
トレンドマイクロさんは「トレンドラボ」と「リージョナルトレンドラボ」の2つの研究開発機関を持っていて、それぞれ
- トレンドラボ:ウイルス解析と脅威動向の調査
- リージョナルトレンドラボ:世界13拠点で、地域ごとに特化した攻撃や脅威などの調査
を行っているそうです。
(13 と聞くとルートサーバのクラスタ数が思い浮かびますね。)
ここで気になるのが「地域に特化した」ってどんなの?という点。会場では池澤さんから質問が。
例えば日本に特化したウイルスというのは、日本の情報を狙ったり、日本を攻撃するために作られたウイルスのこと。サイバーテロとかそんなイメージですかね。
あとは日本で流行っているウイルスは日本人が作っているパターンもあるそうです。
その知恵をもっと世のため人のために役立ててくれればいいのに・・・とヨッピーさんも嘆き気味。
でもエンジニアの六宮さんはトレンドマイクロに入社して、悪い人と自分たちとの間の騙し合いとか化かし合いのように感じて、「面白いな」と感じたそうです。
もちろん実際に被害を受ける人が居るのは良くないことではあるのですが、お互いの知恵を総動員してやりあうというのは、何か知的好奇心を刺激する部分があるのかもしれません。工藤新一と怪盗キッドの勝負!みたいな。
そんな六宮さんたちが行っている「解析」って何?ということで、実際に六宮さんたちが用意した「悪いものが入ったノート PC」を使って、どれが悪さしているのか解析して突き止めてみよう!という企画に、池澤さんがチャレンジ。
時間の都合等もあり六宮さんから適宜ヒントが飛んでくる展開でしたが、池澤さんが解析ツールを使って怪しげなプロセスを探していきます。
このとき使用したツールが、
の2つ。
これらのツールを使って、怪しげなプロセスの実行ファイルの場所を見てみると、そこにはなんと身に覚えのないスクリーンショットが。
勝手にスクリーンショットを撮って外部に送信するプログラムが裏で動いていたのです。
今回はデモなのでスクショですが、ノート PC 等についているカメラをのっとって写真撮影 → 外部送信、なんてされたらたまったものではありませんよね。
このスクリーンショットを撮るプログラム以外にもデモ用に悪意あるプログラムが動いていて、そちらはシェルスクリプトで実行されるものだそうで。
このように、InternetExplorer とか Powershell など、正規のソフトウェアとして悪さをするプログラムが動いていることもあるそうで、そうなると素人には中々見つけるのが難しい。
トークセッション
池澤さんの奮闘に会場が暖まったところで、いよいよメインのトークセッション。
この日は
- なぜコンピュータウイルスは存在し続けるのか?
- あのよく見るサングラスの広告って?
- VVV ウイルスの真実
- ゆうちゃん事件の真相
の4つのテーマでのトークでした。
一つひとつ見ていくと相当長くなるので、私が聞いてて面白かったポイントについて、トークテーマをまたぎつつご紹介します。
大量に生み出されるコンピュータウイルス、狙うは「お金」か「情報」
まず驚いた数字が、コンピュータウイルスというのは1秒間に100以上の新しいものが作られていると言われているそうです。
そうです、というのは、トレンドマイクロさんも最初数えようとしたらしいのですが、多すぎてカウントできないということで諦めたので、細かい数字はわからないとのこと。
亜種とかも含めての数字なんでしょうけど、これは想像より大分多いです。
なぜこんなにウイルスが作られるのか。それは、主に「お金」か「情報」を入手するためだそうです。
昔だと、技術力を示す愉快犯みたいなイメージがあったコンピュータウイルスの犯人ですが、今時はそんなにいないそうで。。
特にお金のほうで衝撃的だったのが、犯罪グループがウイルスを使用してお金を奪う部分で、裏の社会でのビジネスモデルが成立してしまっているらしいのです。
悪いことやってるのにしっかり仕組み化されちゃってるんですね・・・。
ウイルスを使ってお金をとるだけでなく、ウイルスを作って悪い奴に売ったり、「ウイルスを作るツール」を作成して悪い奴に売ったりして儲けるパターンもあるそうです・・・。
そんな悪い奴らも、普通に考えると一番最後にどこかの口座から現金を引き出さなければいけないので、「お金の流れを追って捕まえられないの?」と思うところなのですが、
- 悪い奴グループが国をまたいで構成されていて、お金の流れが追いにくい
- ランサムウェアの身代金をビットコインで支払わせるなど、足がつきにくくしている
などなど、悪い奴も色々捕まらないように考えているそうです。
このように、一度盗られてしまうと取り返すのが難しいので、そもそもウイルス対策をして、盗られないようにするほうが、一般人としてもダメージが少なくて良いですね。
ウイルスバスターのランサムウェア対策が良さそう
ランサムウェアとは、
感染した PC をロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラムです。身代金要求型不正プログラムとも呼ばれます。 – ランサムウェアとは – 脅威と対策 | トレンドマイクロより
です。
PC を使ってると、あるとき突然「あなたの大事なファイルは暗号化してあげました。解除したい場合にはコチラのツールを購入して下さい!3万円です!」といったメッセージが出て来るという、なんとも失礼なプログラムです。
実際に被害も増えているそうで、トレンドマイクロさんはウイルスバスターにこのランサムウェア対策をしてくれています。
どうやるかというと、
- PC 内でファイルの暗号化や変更する動きを検知したら、暗号化前にファイルをバックアップ
- 暗号化を始めた不正なツールをランサムウェアと判定しブロック。暗号化されてしまったファイルをバックアップから復元
の2段構え。
2のランサムウェアと判定したものをブロックするだけだと、既に暗号化されてしまったファイルは戻せなくなってしまいます。
暗号化等を検知して事前にバックアップを取ってくれるというのはありがたいですね。
ただし、「念のため、暗号化されたらどうしても困るような大事なファイルは、自分でもバックアップ取っておいてくださいね」とのこと。これは当然ですよね。。
ウイルスバスターでは、こうしたランサムウェアをはじめウイルスを検知する際、挙動を見てウイルスかどうかを判定しているそうです。
昔のイメージだと、裏で膨大なウイルスデータベースを持っていて、怪しいものをデータベースと照合しているのかと思っていましたが・・・確かに毎秒100も新しいウイルスが出て来る現状、そんなことしてられないんだろうなとも思います。
なので、過去の攻撃手法やルール、一般的にウイルスが「やりたいこと」などをパターン化しておいて、そのパターンに似ているような「挙動のおかしい」プログラムをブロックすると。
よく考えられてるんですねー。と関心しきり。
まとめ:最新のウイルス対策ソフトでお金と情報を守ろう
イベント中で印象的だったのが、「一般の人が、朝起きて自分の銀行口座を見てみたらお金がなくなっている、ということが起こり得る」ということ。
大金が盗まれたり情報流出がーなんていうと、自分個人に関係があることのようには思えない部分もありましたが、「自分の貯金が盗られたら」と考えると、恐いですよね。
そうならないためにも、ウイルス対策はしっかりして、自分のお金や情報を守りましょう。