[レポート]基調講演：スマートならば脆弱である – CODE BLUE 2023 #codeblue_jp

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2023で行われた以下のセッションのレポートです。

基調講演：スマートならば脆弱である

つながることが想像力に新たな機会をもたらすとき、それはオンラインからの攻撃者にも新たな機会をもたらすこととなる。今、注視すべき脅威とは何だろうか？ われわれは未来に目を向け、AIがいかにして世界を良い方向に、そして悪い方向に変えているかを知るべきだろう。

Presented by : ミッコ・ヒッポネン - Mikko Hypponen

レポート

• ミッコ氏
  • グローバルサイバーセキュリティの専門家
  • どうやって専門家になるか？
    • フィールドを選んで、その分野で働き続ければ誰でも専門家になれます
  • 私のことをサーバーセキュリティサラリーマンと呼んでもらってもいいよ
• 私はこれを持ち歩いています
  • フロッピーディスクを掲げて
  • 昔のUSBと言ってもいい
  • これはマルウェアに感染している
  • 私のキャリアの初期に分析したもの
  • 私達は今でも同じことをしています
  • 問題は変わっていません
• 昔はウイルスを人が運んでいた
  • しかしインターネットのおかげで数分で感染するようになった
  • インターネットは地理的な境界を消した
  • いいことでも悪いことでもある
  • 新しい犯罪ももたらされた
  • アップサイドよりダウンサイドが多い
  • インターネット革命ではより多くのメリットを確保できたが問題も大きい
• 実際に世界が変わった
  • 我々が住んでいる国は比較的安全である
  • 日本やフィンランドは犯罪発生率は低い
  • インターネットが一般的なものになると、世界はより恐ろしいものになる
  • 我々にとっては
  • 犯罪者は日本にはいない
  • オンラインだと犯罪者に近いところにいることになる
  • 犯罪が多い国からするとオンラインは変わらないが日本では違う
• ある映画の予告編映像
  • オーシャンズイレブンのもの
  • ラスベガスで大金を盗み出す
  • これが古き良き時代の犯罪
  • 2か月前、同じホテルが攻撃されたが映画ではない
  • 犯罪者は現金を盗もうとしたわけではなく、その場にいたわけでもない
  • お金はバーチャルのもので現金ではない
  • 犯罪は変化した
  • 地理的な観念がなくなった
  • 国は自国に入ったことがない犯罪者の被害を受ける
  • 攻撃者はアルファで大規模な集団
  • カジノの機能が停止して損失を負った
  • これが現代の犯罪
• 経営者の会議に参加することがある
  • 我々はなぜ攻撃を受けるのか、と聞かれる
  • lockbitの被害企業一覧を見てみてください
  • 非常に沢山の企業が影響を受けている
  • 公表されている企業だけでこれだけある
  • 様々な国の様々な業態の会社が影響を受けている
  • もちろん日本の企業も
  • 国も規模も場所も違う
  • つまり我々も対象になることがある
  • 攻撃されている企業に共通点はない
  • オンラインでランダムに銃で発泡したようなもの
• なぜ攻撃されたのか？
  • よくある話は脆弱性があったから
  • 犯罪者は情報を買い侵入を試みる
  • ツールを作って特定のエクスプロイトが利用できるか確認していく
  • 多数のアドレスをスキャンして特定していく
  • だから世界中のあらゆる場所で影響を受ける
  • インターネット上では安全な場所はない
• 犯罪者はパワフルになっている
  • あまりにも大きな金を手にしているから
  • サイバークライムユニコーンという言葉を作った
  • 非常に資金力を持ったギャングが生まれている
  • 仮想通貨を使って富をためてきている
  • 過去5年もこれを保持していると価値はものすごく上がっている
• 彼らは実世界のギャングのよう
  • 給料があり弁護士もいる
  • ビジネスアナリストもいる
  • なぜそれが必要なのか？
    • どのようにして適切な身代金を特定するのか
    • その被害者からどれくらいの金額を払ってもらうのか
  • 一番最初に彼が盗むのは財務情報
  • ビジネスアナリストがそれを使って金額を叩き出す
  • 企業の資金を調査して、一夜で出せる金額を算出する
  • 交渉のやり方が変わってくる
  • もう一つブランディングもやっている
    • ランサムウェアギャングには名前があり、Webサイトがあり、ロゴもある
    • 犯罪集団なのにブランディングしている
    • みなさんに自分たちの存在を知ってほしい
    • 朝オフィスに出勤してランサムウェアに感染してしまっている
    • アルファに攻撃されてしまった！
    • 有名なギャング集団の名前を知っている
    • そしてその攻撃を受けたくない
    • とても恐ろしいということがわかっている
    • バックアップが削除されEメールもコピーされ、アーカイブが取得されている
    • そして身代金を払えば適切に対応してくれることがわかっている
    • 2度目の攻撃がないこともわかっている
    • ギャングは正直な犯罪者であることを世界に知らしめている
    • それがうまくいっている
  • もちろん身代金を払うことは推奨されない
    • しかし払わないことが難しい状況になっている
    • 元々は払いたくない企業が多かった
    • しかし払わないと問題があることもわかっている
    • 個人情報がたくさん漏洩する事がわかっている
    • 身代金を払わない選択が難しくなっている
• 最初のランサムウェア
  • Bitcoinが使われたのは10年前
  • 最初はホームユーザーを狙っていた
  • 感染させやすいから
  • すべての写真を暗号化し、少額の金銭を要求した
  • 10年経って状況は大きく変わった
  • 今狙われるのは企業だけ
  • もはやホームユーザーはランサムウェアの標的ではない
  • より多くの身代金をもらえるから
  • ホームユーザーではテクニカルな問題ではなくフィッシングなどだった
• 悪意のあるインターネットトラフィックを観測している
  • 3年前に気づいた
  • Linuxから攻撃が出ている事が多い
  • これは驚くべきことだった
  • 殆どはWindowsの問題だと考えられていた
  • LinuxがNo.1の悪意のあるトラフィックだった
  • Linuxは一番よく使われているOSである
  • ただそれだけでは説明がつかない
  • コネクテッドデバイスが多くなっていることが要因
  • ヒッポネン法というものを作った
  • コネクテッドデバイスが作られるとより様々なものが繋がり、攻撃しやすくなる
  • 例えば私が持っているメカニカル時計は22年使っていて、CPUがない
  • コードもない。攻撃できますか？
  • 攻撃はできない
  • Apple Watchを使っていますか？
  • よく出来ているが、それはハッキングできる
  • プログラムで動いていたらそれはハッキングできる
  • 我々の使っているものが繋がっていると、スマートであると脆弱性がある
  • それがヒッポネンの法則
  • 日本で本を出した
  • インターネットの敵とは誰か
• 最近見つかったマルウェア
  • Mirai
  • それがまさに日本語の未来
  • この世界が未来である
  • LinuxはIoT機器で動いている
  • 機能性の高いデバイスはLinuxのkernelが入っている
  • Miraiは過去5年使われており非常にシンプル
  • 元々IoT機器を見つける場合にはパブリックIPをスキャンしてアクセスする
  • Telnetを使って
  • なんとTelnet！
  • 30年も使われている
  • そしてusername/passwordがブルートフォースで試行される
  • これで拡散していく
  • しかし我々は冷蔵庫にセキュリティをかけることは考えない
  • しかし攻撃はボットネットから始まる
  • 攻撃者はこれを使って攻撃する
• イタリアの何処かの工場の管理画面
  • 誰でもアクセスできてしまう
  • 医療システムでも公開されているものもある
  • X線システムも公開されている
  • 以前私の仕事はコンピュータにセキュリティをかけることだと思っていた
  • 徐々に、しかし確実にそれは私の仕事ではないことに気がついた
  • サイバーセキュリティの世界で働いている人は社会をセキュアにしていく必要がある
  • これはかなり大きな責任である
  • まさにそれをやらないといけない
• 今新しい車はどうなっているか
  • これは1つのデータセンター
  • 複数の機器、ネットワーク、色々繋がっている
• 重大インフラも繋がっている
  • 電気は完全に必要なものになっている
  • 電気が止まることになったら、80億人が生きられなくなる
  • 不可欠なものになった
  • 電気によるメリットも大きいが、いまや完全に依存している
  • 今インターネットが止まっても社会がすべて止まるわけではない
    • まだ大丈夫
  • しかし10年後、15年後はそうなる
  • すべてのデバイスはコネクティビティが必須になっている
  • その結果インターネットが止まると電気が止まるようになる
  • 逆になる
  • 起きないかもしれないが、起きる
• 次の革命は人工知能
  • インターネットがすべてを変化させたようにAIは全てを変化させる
  • 30年前にインターネットを無視した企業に明るい未来はなかった
  • 今AIを無視すると同じことになる
  • AIや機械学習がどうなっているか
  • AIによるディープフェイクのデモ
  • これは新しいものではない
  • しかし、これは家で作られた
  • ホームコンピューターで、NvidiaのGPU一つで作られている
  • AIでもはやここまできている
  • 何でも作り出せる
  • テキストも音声も
  • なぜこれが2023年に来ているのか
  • 我々はこれを数十年待っていた
  • 私がこのことを知ったのは、1983年4月号の雑誌、13歳のときに機械学習の未来について読んだ
    • ある日全ての人の記憶がデータになる
    • ずっとAIを待ち続けていた
  • 最初の革命はインターネット革命
    • すべての知識がデータに変換されていった
    • 以前は知識が欲しかったら紙の媒体が必要だった
    • 今はデータで40年前の雑誌が読める
  • 機械学習ではデータが必要
    • それがクラウドに保存されるようになった
  • 重要な革命はコンピューティングパワー革命
    • iPhone15を持っている人はいますか？
    • 3nmのテクノロジーが使われている
    • 魔法のような仕組み
    • 工場でこれらのチップが作られるときにプラズマを使って3nmの穴からCPUを描画する
    • 世界で一番むずかしいこと
    • 宇宙に人を送って月に着陸させることよりも
    • それを我々は何気なくポケットに入れている
    • こういったことができる人は世界にもなかなかいない
    • 数十年前ならそれはトップコンピューターであった
• 生成AI
  • 生成とはここではどういうことか
  • テキストを生成できる
  • スピーチも学習できる
  • 画像を使って学習させれば画像を作れる
  • そしてそのテクノロジーをあわせる
  • 私の写真をバービーの画像とあわせる
  • 私がケンになれる、こんな感じ
  • 生成アルゴリズムを使っていればこれができる
  • こんなディープフェイクも作れる
    • 3か月前に出てきた
    • イーロン・マスクの映像で音声だが詐欺
  • 他にもYoutuberのディープフェイクで、iPhoneを$2でプレゼントするとURLがシェアされる
  • まだ致命的な問題にはなっていない
  • 政治的なところで利用されるディープフェイクもある
  • リアルタイムのディープフェイクもこれから使われるようになる
  • 本物のような人でお金を送ってくれと詐欺をする時代がくる
  • この時代はかならず来る、技術があるから
  • 技術はいいことにも悪いことにも使われる
• OpenAIを使ったワームが見つかった
  • OpenAIにコードを書かせている
  • 毎回違うコードになる
  • 次は自動化されたキャンペーンになる
  • 悪いAI vs 良いAIとなる
  • 今後数ヶ月で状況は変わるだろう
• サイバーセキュリティテトリス
  • システムを防御することはどういうことか
  • テトリスはご存知ですよね？
  • やるべきことも知っている
  • 4列を同時に消したい
  • サイバーセキュリティも同じ
  • 失敗はどんどん蓄積していく
  • 成功は見えない、失敗は見える
• 今回話した内容は著書にも書いてあるのでぜひ読んでね
  • 「インターネットの敵」とは誰か？

感想

昨今の動向もそうですが、セキュリティを生業にするものとして、何を考え、何をなさないといけないのかを考えさせられるセッションでした。

社会をセキュアにしていきたいですね！