AI研究分野で中国がアメリカを追い抜くか
2017年7月、中国政府が意気込んで公開したポリシーペーパーによれば、中国は2030年までにAI分野の牽引役を担う目論見だ。しかし、この目標を達成するために中国が行ってきた実績はというと、計画よりも10年遅れている。
影響力のあるAI研究報告の発表という点において、中国は現行世界一位であるアメリカの報告をまもなく追い抜くことが新たな研究で判明している。この研究結果は、中国政府が教育機関と民間企業の両方に対して膨大な投資援助を行い、AIの機能を拡張する計画が結実したことを示唆している。
毎年発行しているAI研究報告書の量において、中国は2006年にはアメリカに勝っているのだが、批判家から「量で勝っても質が伴うとは限らない」という指摘を受けた。中国は科学分野での不祥事が証明されているのだが、AI分野においても同様の悪評が噴出している。このようなことから、研究報告の量がAIの実績の有意な指標に結びつかないとする向きもある。
しかし、シアトルに拠点を置くAllen Institute for Artificial Intelligence の新たな研究は、研究報告量だけではなく研究が引用される頻度を加味した計測方法でAI研究の実績を計っており、有効かつ手軽な手法として幅広いコミュニティに影響を及ぼした。
2018年末までに発行したAI研究報告200万超を解析した結果、中国は「今年中に『最も引用された研究の上位50%』でアメリカを追い抜き、来年には上位10%、そして2025年までに『最も引用された研究の上位1%』でアメリカを追い抜くことになる」ことがAllen Instituteの研究で明らかになっている。
研究者たちによれば、最も引用された研究の上位10%において、アメリカのシェアは1982年の47%をピークに、2019年には最低の29%に下がった。その一方で中国のシェアは「急激に上昇」し、去年は最高26.5%にまで達した。
コンピューターサイエンス学の教授であり、Allen InstituteのCEOを務めるOren Etzioni氏がVerge記者に語ったところによると、この研究は中国のAI分野への貢献における悪評を徐々に「否定する」ものである。
「明らかに中国のAI研究は高品質であり、更に改良し続けている。もちろん、中国の研究者たちが引用し合うことが増えたために被引用統計に影響したとも言えるのだが、Best Paper Awardsの一覧には正真正銘の傑作である中国のエントリーがいくつも載っている」とEtzioni氏はメールで述べている。
しかしAllen Instituteはこうも指摘する。Best Paper Awardsのコンピューターサイエンス分野は、様々な分野のトレンドや注目の盛衰によるところが大きいという「特徴的な」評価方式であり、その量でアメリカは現在も「確実に先行」している。
以上の研究はアメリカ政府にとって興味深いものであるはずである。分析研究は世界全体のAI研究を計測する一つの尺度でしかないのだが、アメリカが牽引役に留まるためには更なる実績が必要であると、学問と産業の専門家たちは何年も警告している。
先月、トランプ大統領はAI分野への投資促進を主旨とする大統領令にサインしたが、その内容は不明瞭であり、具体的な目標は乏しく、更に研究への融資はゼロであった。一方、他国の国際AI戦略には政府による投資が2,000万ドル(オーストラリアとデンマーク)から約20憶ドル(韓国)まで含まれている。
更に重要なのは、トランプ大統領が発した大統領令は、AI分野の最大の課題として大勢の人達が認識している「世界的に優秀な人材を惹き付ける」問題を解決しないのだ。最先端のAI研究者の数は限られており、現在アメリカが行っている移民へのアプローチは、求められることとは逆なのである。
Allen Instituteが公開した新たな情報が示すように、最先端AIの発展は今まさに世界的な出来事になっており、孤立主義では誰も得をしないのである。「私達は更に融資が必要です。そしてそれよりも一層重要なのは、才能ある学生達をアメリカ国内に集めたり、滞在させたりすることを、管理者が阻害している点です」とEtzioni氏は語った。
なぜか「ji32k7au4a83」が一般的なパスワードである理由
「Patriots69Lover(パトリオッツ69番のファン)といったワードの数字部分をいじくれば強力なパスワードになる」と考える人はあまりにも多い。それならば「ji32k7au4a83」なんて複雑なワードであればかなり強力なパスワードのように思われるだろう。しかしデータ流出リポジトリ「Have I Been Pwned」(以降HIBP)によれば、このワードが想像を越えるほど使用されているのだ。
このトリビアを紹介してくれたのは、自己記述型ハードウェア及びソフトウェアエンジニアのRobert Ou氏で、同氏はツイッターのフォロワーから「なぜHIBPでは適当に見える文字列が何百も載っているのか教えて頂けますか」と最近質問された。
Have I Been Pwnedはセキュリティ専門家のトロイ・ハント氏が創設した情報収集サイトであり、大規模なデータ流出事件が発生した際に電子メールや個人情報が流出したかどうかの判別に利用できる。そのサービスの一つがパスワードサーチであり、セキュリティコミュニティが観測したデータ流出事件の中に自身のパスワードを含む件が存在したかを調べられる。HIBPによれば、今回の「ji32k7au4a83」はこれまで141回流出している。
Ou氏のフォロワー数名が今回の謎を迅速に解き明かした。このパスワードは注音符号(中国語の発音記号)をマンダリン(中国語の標準語)に訳したものだった。これがデータ流出リポジトリに繰り返し登録されていたのは「ji32k7au4a83」を英語に訳すと「my password.」になるためだ。
状況を解明しようと、私は友人のBen Macaulayに助けを求めた。Macaulayは言語学部を卒業した親台派で、消滅に瀕する言語の記述に詳しい人物である。また彼は今回の謎に関わる注音符号キーボードを日常的に使用している。Macaulayによると、台湾では最もポピュラーなタイピングシステムであるとのこと。音声制御はUnicodeとして認識され、翻訳時の文字対応を一般的かつ簡潔に表すと下記のようになるという
ji3 -> 我 -> M
2K7 -> 的 -> Y
au4 -> 密 -> PASS
a83 -> 碼 -> WORD
上記のことから得られる結論として「台湾の人々はダメなパスワードを使用する習慣がある。我々と全く同じように」といえるかもしれない。しかし実際のところはどうだろう。もしかしたら彼らはジョークのつもりで設定した可能性もある。また私達は、HIBPデータベースでパスワードの設定習慣を簡単にチェックしておくべきだろう。一見ランダム文字列のようでも、別の意味を有している可能性を排除しておこう。何はともあれ、広大な世界が我々を陥れようと待ち受けているのだから。
AIへの投資:AI投資を考慮すべき理由
人工知能は加速度的に進歩しており、これまでに数多くの他業種の開発にも影響する利益の高い分野として投資家たちを惹き付け、我々のような機関投資家こそ、AIのポテンシャルと、人口知能関連銘柄の収益性を如実に示す指数なのではないでしょうか。
AIによって自動車業界はより安全に、より効率的に、時間をかけて堅実に変化し、同時に医療業界ではIoTを利用して、異なる機器同士を接続し、データ収集・記録することでより良いイノベーションをもたらしました。
もはやAIはSFの世界に登場するだけのものではなくなり、数多くの投資家たちが業界を支持することでこの技術的革命に参加しているのです。
最低でも1以上のAI企業銘柄の保有を検討すべき理由
まず始めに自動車産業では、セルフドライビングカーの設計・製造に確固としたAIの応用が既に確立されています。AI分野のテクノロジーと自動車業界を融合した可能性を踏まえると、セルフドライビングカーの販売台数は2040年までにおよそ3,300万台となり、業界全体に数十億ドルの利益を見込んでいます。Alphabet社の子会社、たとえばWaymo社は既に700万マイル(約1100万km)をAI搭載のセルフドライビングカーで走行しています。
Tesla社などの企業もAI関連事業によって収益をあげており、セルフドライビングカーの製造においても、投資家たちはAI業界の存在を無視できない数字になっている。
更には、自動車両などのAI関連製品と、アレクサやsiriなどのバーチャルアシスタントを合せたAIの市場規模は2019年から2030年の今後十年間のうちに、グローバルGDPを14%伸ばすようになる。
PwC社の報告によると、この成長がAI業界に1570万ドルという爆発的成長をもたらし、長期的には素晴らしい成長率を誇る収益性の高い業界になるという。
日本を標的にするトロイ「Ursnif」の新種が見つかる
日本を標的にするトロイ「Ursnif」の亜種が2019年初頭から発見されるようになった。日本はUrsnifの主な標的であるが、Beblohが発信している最新のバージョンでは、日本人だけを狙っていたタイプよりも幅広い標的を狙うようになっている。
Ursnifの新種は2015年にソースコードが知られるようになって以来、珍しいものではなくなったのだが、今回のバージョンはブラウザに格納されているメールクライアントや電子メールクレデンシャルからデータを盗む、データ盗難モジュールの改良版も含んでいる。他に新しく見つかった機能として、Cybereason社の研究によると、新たなステルス性のパージステンスモジュール、暗号通貨及びディスク暗号化モジュール、対フィッシュウォール(日本国内のセキュリティ関連商品)モジュールを含んでいる。
感染拡大の発端は、有害なOfficeドキュメントを使ったBeblohの発信である。これがアクティベートになると、ドキュメントに仕込んだVBAマクロが、まず広範囲のロケーションテスト群を実行する。この一連のテストは前バージョンまで網羅・修正され、更に難読化する。しかし、今年の一連の攻撃にはイタリアを標的にした技術も見られる。
ターゲットになるコンピューターがロケーションテストをパスすると、ファイナルIP位置チェックも含めたPowerShellペイロードがアクティベートする。
imgurやpostimage.ccといった画像共有サイトから画像をダウンロードし、更にステガノグラフィーで隠蔽したBeblohをダウンロードする。Beblohはexplorer.exeに侵入し、C2サーバーからUrsnifローダーをダウンロードする。
Ursnifローダーは更にテストを行い、感染者が本物のユーザであり、ユーザを装った研究者でないことを確認する。他にもXeon CPUチェック、仮想化ベンダーチェック、VM exitを強制するタイミングチェックも行う。これらのいずれかが検出されると、ローダーはエラーを表示してプロセスを終了する。しかし全てパスすると、explorer.exeのメインプロセスにUrsnifのcore DLLが挿入される。
このペイロードの外見はGozi ISFB v3となっている。編集日は2019年の2月22日であるが、Cybereasonが発見した同種の前サンプルのタイムスタンプは2018年7月となっており、同種は2018年には存在していたことが伺える。
コード解析で今回のバージョンはUrsnifの「Dreambot」種と関連性が見られるが、一部の機能が除かれ、一部の機能が加えられている。例としてTorクライアントとVNCモジュールは取り除かれた。新しく追加または修正した機能には、シャットダウン直前のパージステンス機能(Dridexに使用していたものと同様のもの)、 IE、Outlook、Thunderbirdから抽出する新しいデータ盗難モジュール、暗号通貨及びディスク暗号化ソフトウェアモジュール、対フィッシュウォールモジュールを含んでいる。
「パージステンス」はシステムシャットダウンの直前に作成されるもので、システムが再起動する際にパージステンスがアクティベートされ、Ursnifが再実行される。その後、検出の可能性を低くするためにパージステンスは削除されるが、シャットダウンの際に再度作成される。
この新種のメール窃盗能力は強化・拡張している。たとえばOutlookスティーラーはMicrosoft Outlookís .PSTおよび.OST拡張子を探知するよう強化している。 Thunderbirdログインのクレデンシャル情報と個人用アドレス帳を盗む新たなモジュールが追加されている。新しいInternet Explorerモジュールはオートコンプリート機能で入力したURLと、クレデンシャルやIEブラウジング履歴を含むデータを盗む。
また、暗号通貨を盗むように設計されたと思われる追加機能もあり、 Electrum Bitcoin wallet、Bitcoin wallet、 Multibit-hd、Bither Bitcoin wallet、mSigna Bitcoin wallet、Jaxx multi-currency digital wallet、Bitcoin Armory walletがその対象に含まれている。
このバージョンのUrsnifにはセキュリティ対策ソフトPhishWallとRapportを無力化するように、対セキュリティ対策機能が加えられている。PhishWallは日本では人気の高いフィッシング対策およびバンキングトロイ対策ソフトであり、以前から他のトロイでも対PhishWallモジュール(ShifuやBeblohなど)は使用されてきた。
対RapportモジュールはIBM Trusteer社のRapport製品を無力化するよう設計されている。これは目新しいものではないが、日本を標的にするマルウェアに使用されることは多くない。このコードのベースになっているのは、GitHubで公開されているCarberpの対Rapportコードである「if not copy/pasted from 」だ。CybereasonによるとPhishWallモジュールとRapportモジュールのどちらもテストを行っていないため、このモジュールの効果を証明することはできない。
Ursnifの新バージョンを使ったデータ盗難手法について、Cybereasonには驚くに値しないもののようだ「バンキング顧客がどんどんモバイルバンキングに移行し、金融システムのセキュリティが向上し続ける中で、これまでと違った金融データ以外の、マネタイズ可能なデータの詐取にトロイの矛先が向かい始め、エクスプロイトすることは何ら驚くことではありません」と研究者は記述している。
しかし一連の攻撃で目立っているのは「日本ユーザを標的とする脅威因子の作成に強力に注力していることです。標的ユーザが日本人であることの特定に複数回チェックを行っており、ネット広範に散布している感染力の高いトロイや情報スティーラーとは被害が対照的です」
データ研究者たちがブロックチェーンテクノロジーに魅了されているのはなぜなのか
ブロックチェーンは業界と企業の在り方に徐々に改革を起こしてきたが、データ研究者たちも利益を享受することがあるのだろうか。
データ研究分野は企業の管理局から地方や国際政府にいたるまで、あらゆるものの実質的な中枢になっている。その核心とは、組織が円滑に運営できるように行うデータの管理と収集である。
データ研究者たちは相当な期間、データの共有や、その整合性の保護や認証ができなかった。しかしビットコインが過熱し、その基盤となっているブロックチェーン技術から後押しされ、データの専門家たちに注目が集まった。ビットコインは分散型の台帳であり、堅牢な暗号処理に保護されたオープンソースかつ透明性の高いネットワークであると謳っている。
ビットコインに関するブロックチェーンを見れば、データ研究は廃れていくように思われることだろう。しかし、ブロックチェーンを公共の分散型台帳として捉え、契約システムと恒久的な記録に使用するものとすれば、ビッグデータ解析との関係も見て取れる。
なぜデータ研究者たちはブロックチェーンに魅了されるのか、いくつもの理由のうちいくつかを以下に記述した。
データトレーサビリティの醸成
ブロックチェーンは、ピアツーピアの関係を醸成するシンプルなソフトウェアである。たとえば、公表されているアカウントがその取引方法を十分に説明しなかった場合、ピアは誰でもそのプロセスをレビューし、その結果が産まれた経緯を理解できる。
この台帳が持つ透明化チャネルが役に立ち、どのデータが使用に耐え得るか、どういった経緯があるか、どのように格納されているか、誰がアップデートしたか、その用途は、すべて道徳的に誰もが知れる。簡単に言うと、分散型デジタル台帳上のデータを、エントリーポイントから出口まで追跡できるかもしれないのだ。
リアルタイム解析
銀行や他のフィンテック組織はリアルタイムでのデータ解析に手を焼いていた。リアルタイムの変化を監視できる機能は、詐欺の検知に最適な方法として考えられる。
これは長らく実現不可能と思われてきたことだが、ブロックチェーンが備えている分散という性質によって、多くの企業がデータベース内の例外的変化を即座に探知できるのだ。
リアルタイムにデータの変化を観測できるというのは、私たちの誰もがスプレッドシートで経験していることだろう。前述した方法の通り、ブロックチェーンでも誰かが操作している情報に複数の人間が手を加えることができる。
信用の形成
近頃、判断基準としての「信用」は低質のものとなりつつある。特に多くの責任がバイアスのかかった認証局に任されている状況である。SPOF(単一障害点)を持つ一握りの機関に権力を集中させすぎると危険なのは世の常である。
数多くの会社は、他の会社が信用できないので自社の情報を使わせない。そうなると情報の共有というのはほぼ不可能である。信用が存在しないブロックチェーンの運用方法ならば、企業は自由に情報源を共有し、難なく他社と協働できる。金融業界を越えて、ベネズエラなどの一部国家はブロックチェーンを使う選挙をいち早く取り入れ、八百長を防ぎ、参加型民主主義を醸成している。
手軽なデータ共有
手軽で円滑なデータフローはセットバックを最小化したり、企業の営業停止を防ぐことさえあるだろう。いくつかのオフィスで現存する紙媒体の記録と付き合うのは非常にうんざりする、必要な重要データがどこかにしまわれている場合は猶更だ。しかも、そういったファイルは他部署に送られていることもあり、長々と不満が募らせたあとに、一部が編集された上に紛失していることもある。
データ研究者たちがブロックチェーンに熱くなっているのは、大勢の人々が同時かつリアルタイムでデータにアクセスできる機能にあるのだ。このデジタル台帳を例えるならば、個人がアクセスする小さなプールをいくつも持つ大きなプールであり、しかも小さなプールから別のプールへとジャンプできるのだ。全箇所に対して情報が自在に流れるようになれば、管理プロセスは円滑になる。
ブロックチェーンはデータの整合性を改善
この数年間、多くの企業はデータストレージキャパシティに注目してきた。そして2017年末には、データストレージはもう問題にされなくなった。そして今度の注目はデータ整合性の保証と保全にシフトした。
この問題はデータを複数のセンターから抽出するようになって以来、数多くの組織や企業で大きな問題になっている。それが社内から抽出したデータでも、政府組織から得たデータであっても、不正確な場合がある。付け加えるならば、ソーシャルメディアといったソースからのデータなどは完璧にデタラメなことがある。
現在データ研究者たちはチェーン全箇所のデータの追跡と認証を、ブロックチェーンを使って行っている。成熟していないセキュリティが採用に至る要因の一つである。分散型台帳が複数の署名を防ぐため、データの漏洩やハッキングの予防策に繋がるのである。
情報にアクセスする人物には正確な署名が必ず通知される。そんなシステムが2015年に完成していたら、1億人あまりの患者記録が盗まれるハッキング事件は防げていたのかもしれない。
状況をより詳しく説明するため、データエントリーに関するブロックチェーンのセキュリティ機能の一部を以下に記述する。
・エンコードトランザクション: ブロックチェーンは全トランザクションの暗号化に複雑な数理アルゴリズムを採用している。このトランザクションは二者間の不可逆的デジタル契約であることが通常である。
・データレーク:通常、データ研究者たちは企業の情報をデータレークに格納している。データの由来の追跡に分散型台帳を使用すれば、特定の暗号鍵で専用のブロックに格納される。これはデータを使用する人物がデータの作成者から正しい鍵を受け取っていて、その情報は本物かつ正確であり、良質のものであることが分かる。
確認されたデータ品質
ブロックチェーンの情報は暗号化された上で複数の、官民両方のノードに格納される。記録は他のブロックに足される前に、エントリーポイント時点でクロスチェックと解析を受ける。これが備え持っているデータ確認方法である。
総括
データ科学は進化を続ける一つの分野であり、これからも企業や組織が効率的な経営を探求するに沿って進化していくだろう。堅牢なセキュリティと透明性のある記録保持により、これまで不可能と思われてきたマイルストーンをデータ研究者たちが踏破するのに、ブロックチェーンはその足掛かりに使えるようになった。分散型デジタル台帳はまだ黎明期のテクノロジーであるが、IBMやウォルマートなど、このテクノロジーを試した企業が先行して産みだした結果は、その性能を証明している。
サイバー音痴はどうやすれば直るのか
コンピュータセキュリティにおいて、もっとも弱い継ぎ目となるのは往々にして人間である。そこで、サイバー犯罪の思惑に陥らないようにミスを食い止めるにはどうしたらいいだろうか。
ITサポートに電話をかけると、電話の向こう側のオタクがあなたをバカだと思いこんでいる。深くため息を吐きつつ横柄な口調で、投げやりな言い方をする。
実際に彼らは私たちを「PEBKAC」と呼んでいる。Problem Exists Between Keyboard And Chair(問題の発生源はキーボードと椅子の間)、つまり私たち自身のことである。
ただ傲慢に怒り散らす前に自問してみよう。最後にバックアップを取ったのはいつだったか、同じパスワードを使用しているオンラインアカウントの数はいくつか、送信者をしっかり確かめずにメール内のリンクをクリックした回数は何度あるか。
ポルノ好きなアメリカの役員が政府のネットワークにマルウェアを拡散
毎年、私たちはパスワードの選び方がどれほど杜撰だったのか思い知らされる。分かりやすくダメな例として「123456」や「パスワード」から、ほんの僅かに改善した「12345678」や「管理者」まである。
これまで侵入事例から抜き出したリストによると、他に人気があるのは 「letmein」「iloveyou」「welcome」「monkey」がある。
こんなパスワードを使っていたら、二歳児が数時間、キーボードをオモチャのハンマーでたたいている内にアカウントに侵入できてしまうだろう。
事実、私たちは無知なのである。
「多くの人々がパスワードを忘れ、IT部署に発行してもらった一時的なパスワードを使い続けます」と語るのは、認証およびアクセス管理会社のonelogin社のIT部tp氏である。
「問題なのは一時的なパスワードが一ヵ月以上使用されるケースです」
つまり、大規模の企業では数百人の人々が同じパスワードを使用している危険性が潜んでいるのだ。
「これが原因でパスワードスクレイプ攻撃(代表的なパスワードを集めて、数百万のアカウントに対してログインを試行する手法)に弱くなります」とp氏は語る
「ハッカーたちは5000~6000回のうち1回はログインに成功します」
ひとたびシステムに侵入すれば、ハッカーは暴れ回れるようになる。
パスワード弱者にならない方法
・自身が扱える最長のパスワード(最低でも八文字以上)を使用する。
・記号と数字を含めた大文字と小文字を織り交ぜる。
・推測しやすそうな言葉は避ける。子供や配偶者やペットや好きなスポーツチームの名前など。
・他の人とパスワードの共有を避ける。
・サービスやサイトごとに異なるパスワードを使用する。
・二段階認証を使用する。
・Dashlane、Sticky Password、Roboformといったパスワードマネージャーソフトの使用を検討する。
イギリスの全英サイバーセキュリティセンターでも、効果的なパスワードの選択と運用方法について豊富なアドバイスを公開している。
大きなデータ侵入事件はほぼ週間ペースで発生するようになっている。この数か月のうちにFacebook、Cathay Pacific、British Airways、Reddit、Wonga、Dixons Carphoneが被害企業の長い一覧の一部に入った。
・BBCニュースが報道するサイバーセキュリティ例だけではない
二段階認証(ログイン機構の最前に、手持ちのスマホやドングルを使ったもう一層のセキュリティ層を構える方法)はだんだんと一般的になり、特に声、指紋、顔面を認識する生体認証を使用するものが目立つ。
しかしこれらを企業内で導入するには不向きである。通常のデスクトップパソコンに指紋リーダーやビデオカメラは組み込まれていないからだ、とp氏は指摘した。
また必要もなくリンクをクリックして、コンテンツのダウンロードをする点などは、私たちはまるで愚かである、と語るのはサイバーセキュリティ会社Bromium社の共同創設者であるIP氏である。
数多くのリンクが、企業のセキュリティシステムを無視して侵入するように設計され、データを盗んだり、コンピュータの遠隔操作さえ行うプログラムを指すマルウェアと共に読み込まれている。
「99%以上(の悪意のあるリンク)はターゲットを意図しない、汎用的な犯罪用マルウェアで、乱暴に拡散を試みるものの、特別に精巧な仕掛けを施されているわけではありません」
マルウェアは簡単な仕組みで効果をあげているのだ。
「弊社に寄せられた侵入例の70%以上が、一台のパソコンを使用している不用意なユーザによるクリックなどの操作で、攻撃主をネットワークに侵入させています」とp氏は語る。
そして苦境に立たされてきたIT部署は、近年は仕事だけではなく、プライベートにも使用する携帯電話、ノートパソコン、タブレット端末が大量に増えたことで、更に厳しい環境に身を置く事になっている。
以上のことから、大企業の多くはデスクトップパソコンの機械音痴対策に焦点を当てているのだ。
Bromium社のテクノロジーは各パソコンと、その機能のすべてを独立させること(専門用語ではサンドボックス化という)で効果をあげている。
「各種問題の大半を効果的に解決するには、自身のコンピュータを買うことです。そして作業を完了した直後に、ノートパソコンを投げ捨てて新しいパソコンを取り出すのが効果的です」とP氏は語る。
こうすれば悪意のあるリンクをクリックしたとしても、マルウェアが孤立して、ネットワークの他の端末に感染する逃げ道がなくなるのである。
しかし広大なITネットワーク中で、常に注意し続けながら使用するのは非常に難しい。そう語るのはBarclaysの元最高技術責任者であり、現在はセキュリティ企業Veracodeのコンサルタントを務めるPF氏である
保有しているIT資産の範囲と内容を把握できていない大企業は「ごくありふれている」とも語る。
Veracode社が主要市内のある銀行に対して実施したプロジェクトでは、同銀行が持つ1800のウェブサイトが記録されていないことを確認した。
「実態は彼らが想定していたよりも50%大きかったようです」とF氏は語る。
そして彼らの無知は企業のネットワークに接続しているコンピュータ(専門用語では端末という)の数にも及ぶ、と語るのはセキュリティ会社ECSの創立者であり代表を務めるND氏である。
同氏のとあるクライアントは管理しているコンピュータが40万台以上あり、他にも同規模のクライアントをいくつか受け持っている。
「そのコンピュータには相当な量の情報と、顧客データや内部システムのパスワードといったありとあらゆる情報が、ローカルでクレデンシャル情報をキャッシュしている、簡単なシングルサインオンアプリに格納されている」と同氏は語る。
言い換えれば、ハッカーにとって、数十万台のパソコンの中の一つが財宝の隠し場所になるということだ。
「一回の攻撃が通れば、企業全体が陥落します」とD氏は語る。
マルウェアPlaedを使ったサイバースパイ手口とは
サイバースパイを行うハッカー達は盗んだデジタル認証使ってデータを盗んでいます。ハッカーたちはどのようにして一連の攻撃でPleadマルウェアの署名を行ったのか、専門家のマイケル・コブがその手口をお伝えします。
あるスパイグループは盗んだデジタル認証を使ってPlaedマルウェアに署名して、東アジアでの攻撃にも使用されたパスワードスティーラーコンポーネントを使っていました。今回の攻撃の手口とは、また、どのようにデジタル認証を盗んだのでしょうか。
ユーザがインターネットからダウンロードするソフトウェアの信頼性の保証求める機運がだんだんと高まっています。コード署名認証がコンテンツのソースを承認することで、開発者はダウンロード・インストールされるソフトウェアに対して、ある程度の保証を加えることができます。誰がそのソフトウェアを公開しているのか、そしてソフトウェアの内容の完全性について、署名された時点から改変されていないことを証明して担保します。これはいわばソフトウェアを仮想的に梱包する仕組みであり、署名された後にコードに変更があるとデジタル署名は失効します。
ウェブサーバのTLS認証とは違い、コード署名認証は無料ではありません。CA(認証局)が詳細な検査を行い、開発者または開発企業が提供する情報が正しく、信頼できるものか確認します。
コード署名認証ではコード開発者を特定する情報は確認できるものの、彼らが信用できるのか必ずしも保証するものではありません。しかし悪意のあるコードを配布している開発者の特定と追跡がとても簡単になるので、CAへの登録義務は攻撃主たちの回避に非常に有効なのです。しかしそれはまた、盗んだコード署名認証の魅力を高めることにもなります。盗まれたにも関わらず有効な認証署名を使って、ハッカーは悪意のあるコードを外見上信頼できるものに仕立てられます。
こうして署名を受けたマルウェアは、ユーザとウイルス対策ソフトといったセキュリティ管理の両方から認証されているように見えるため、ダウンロードされて使用される見込みが格段に増します。2010年に発見されたあのStuxnetワームには台湾に拠点を置くテクノロジー会社のRealtek社とJMicron社から盗まれたデジタル認証がいくつか使用されていました。
盗まれたデジタル認証は台頭しているフィッシング攻撃の一部に使用され、遠隔操作でバックドアを仕掛けるPleadマルウェアと、Google Chrome、Microsoft Internet Explorer、Microsoft Outlook、Mozilla Firefoxで保存されているパスワードを収集するように設計されたパスワードスティーラーの拡散に繋がっていることをESET社の研究者たちが発見しました。
Pleadマルウェアは小さく暗号化されたバイナリ・ブロブを遠隔のサーバからダウンロードしたり、ローカルディスクから展開したりします。このバイナリブロブはシェルコードを含み、完全なバックドアモジュールをダウンロードし、それを実行することで感染したシステムのパーシステンスを維持します。
PleadがダウンロードしたファイルはD-Link Systems社および Changing Information Technology社のコード署名認証を使って、有効なデジタル署名がされていました。なので、D-Linkは悪用されたデジタル認証を取り消し、さらにChanging Information Technology社の認証も2017年7月4日に取り消されました。
Plead攻撃の背後にいると思われる、卓越した技術を持つサイバースパイチームBlackTechグループは、取り消された認証を使ったマルウェアの署名を引き続き利用可能にしています。一部のプログラムはただコードが署名済みか否かをチェックするだけで、本当に妥当なコード署名認証なのかをチェックしないからです。
本物の企業によるコード署名認証を盗むには相当な技量が要求されます。そしてTrend Micro社は韓国の企業群を狙ったサプライチェーン攻撃を明らかにしました。攻撃主はまずサポートソリューションプロバイダの認証を盗んだ後に、アップデートプロセス内で主要なターゲットに遠隔アクセスツールを仕込めるよう、マルウェアに署名します。
始めに小規模の企業に攻撃・侵入することで、攻撃主は署名済みマルウェアで厳重に保護されたネットワークに侵入して、狙いとする評価の高いコード署名認証を盗み出します。
