(レポート) Mikko Hypponen「State of the net」 #FsecureInBali

はじめに

本記事は、現在インドネシア・バリにて開催されているF-Secure APJ Partner Summit 2018で行われたセッション、「State of the net」のレポートです。

スピーカーはF-SecureのChief Research Offcer、Mikko Hypponen。PC World誌による50 Most Important People on the Web 2007に選ばれたこともある、セキュリティ界の伝説的な人物です。

レポート

1991年からF-Secureに在籍している。
 しかし、今、激しい変化が起きている。
かつて私はフロッピーディスクを使っていた。
 今では誰も使わない、大きな保存媒体が他にある。
変化のスピードに合わせてセキュリティリスクも大きく変化している。

今一番大きな課題。
 情報漏洩、データ漏洩。
 「データはオイルと同じ」ということわざがあるくらい、データは重要。
 オイルと同じように、データは大きな繁栄も、大きな課題ももたらせている。

何故データを収集するのか?
 データによってシステムを改善する。
 マシンラーニングへの活用のため。
 データは捨てられない。保存するだけの価値がある。
 しかしデータがあれば必ずセキュリティもバックアップも、バックアップのバックアップも必要。
 データを持ち続けるためには Reliablity は非常に重要になっている。

データのリスク。
 ヨーロッパでも大きな漏洩事件が多数起きている。
  ヨーロッパでは個人情報保護規制 (GDPR) に関する取り組みが非常に厳しくなる。
  2018年5月からGDPRの適用が始まる。
  グローバルカンパニーはヨーロッパの個人情報も持っているため、GDPRの影響を受ける。
 グローバルカンパニーから情報漏えいした事件も多い。
 米国企業からの漏洩も多い。
  何故米国企業のニュースが多いのか?
  米国では法律で、情報漏洩時には必ず周知しなくてはならない。
  だから私達が目にする機会が多い。
 ヨーロッパではクレジットカードなどの情報が漏洩しても、情報漏洩の周知の義務がない。
  しかしGDPRの適用で今後は周知義務が発生する。

レボリューション。
 レボリューションは発生し、そして普通になる。
 皆さん、インターネットが無かった時代を覚えていますか?
  今の若者はインターネットが無かった時代を知らないし想像出来ない。
  しかし私達はその時代を知っている。
  私達が初めてオンラインを経験した世代だ。
   オンラインとオフラインを両方知っているのは私達だけ。
  これからはオンラインしか知らない世代になっていく。
 あらゆるデバイスが繋がっていくレボリューションも今始まっている。
 かつてPCはインターネットに繋がっていなかった。PC同士も繋がっていなかった。
  だからデータ交換はフロッピーディスクを使っていた。
  今は大きく変わった。ほぼ全てのPCがインターネットに繋がっている。
 オフラインのPCはなかなか見ることがない。オフラインの理由はセキュリティのことが多いだろう。
 PCがオンラインになるのが1stレボリューション。
 全てのデバイスがオンラインになるのが2ndレボリューション。つまりIoTだ。

ゴードン・ムーア。ムーアの法則の考案者。
 ムーアの法則の通り、チップの集積密度は2倍になっているが、反比例して価格は半分になっている。
 トラディショナルなデバイスからスマートなデバイスへ。
  小さく、安く、オンラインにコネクト可能。
  極端に言えば、スマートなデバイスが2セントになれば、全てがオンラインになる。
  トースターにオンラインいる?アプリいる?でもオンラインになる可能性が高い。
   何故か?2セントなんて安いから。
 データはオイル。トースターからだってデータを求めたくなる。
  デバイスが安価になればデータ収集できるようになる。
  カスタマーは、デバイスがオンラインになっても分からないかもしれない。
  カスタマーのためではなく、マニュファクチャリングのためにオンラインが求められる。

IBMのスーパーコンピューター、Deep Blue。
 1997年、チェスの世界チャンピオンだったガルリ・カスパロフにチェスで勝った。
 でも今のスマートフォンはDeep Blue以上の性能を持っている。
 20年後どんなコンピューターが存在するのか分からない。

私はインターネットが大好きだ。
 私の人生において最も素晴らしいものだ。
 その反面、悪いところ、問題点もある。
 インターネットによって、悪意ある者が何時でも何処でもあなたをリーチすることが出来る。
 インターネットによって犯罪率が高くなることも考えられる。
 それでもインターネットのメリットが大きいためにオンラインにならざるを得ない。
 ロシアのハッカーが作ったAvalanche等有名なツールがある。
  作成者のGennady Kapkanovは昨年逮捕されたが、その際に警官を銃撃して逃亡。
  ハッカーはオタクではない、シリアスな犯罪者だ。

スパイとは?
 スパイはデータ収集するのが目的。
 かつてデータは紙だった。スパイは現地に行って紙を物理的に複製し持ち去る必要があった。
 今のデータはコンピュータの中にある。
  ハッカーはオンラインでデータを収集する。
 みんな騙されないと思っている。
  しかしメール等を使った標的型攻撃の被害は拡大している。
  例えばアダルトサイトのMLのUnsubscribeを騙ったアタック。
  アタッカーは頭が良い。アタッカーのイノベーションはすごい。驚くほどだ。

ビットコインについて。
 5年前、ビットコインを初めて発見した。
 あるボットネットワークを分析していたが、何ら悪意ある行動を取っていなかった。
  ビットコインのマイニングが行われていた。
 ビットコインはマルウェアのメインストリームになっている。
  オンライン通貨は大流行している。
 ビットコインには良い側面もあるが悪い側面もある。
  例えば車のタイヤにチェーンを付けて、外して欲しければビットコインを振り込めとか。

 今のムーブメントはモネロ。
  ビットコインはトレースできるがモネロは非常に難しい。
 ライトニングケーブルにSIMを差し込んでいる例。
  PCに接続されると電源が供給されSIMで通信を行う。

IoTはファクトリーオートメーションから始まっている。
 IoTはファクトリーからホームに遷移している。

スマートには脆弱性がある。
 スマートカー、スマートカード、スマート家電。
 オフラインだとハック出来ないから安全。
 オンラインになってしまうとハック出来る可能性がある。
 オンラインにすることで脆弱性が生まれてしまう。

スマートカーには沢山のデバイスが積まれている。
 クライスラーがスマートカーの脆弱性によって10万台以上の車をリコール。
  リコールすることでコストがかかる。
 スマートカーの脆弱性によって何が出来るか?
  もちろん事故を起こすことも出来る。ハンドルをロックするとか。
   ハンドルを動かすなんてどうやってできるのか?
   スマートカーではハンドルにもモーターが付いている。
   もちろん制限もある。しかしハックは出来る。
  しかしそのようなハックはされないだろう。
   ハッカーは人を殺したいわけではない。
   ワイルド・スピードという映画では車がハックされて武器として使われていたが、あくまで映画の話。
  動画での脆弱性の例。
   車の盗難。ドアをオープンするが鍵が無いのでスタート出来ない。
   アンテナの電波を探して、リモートロックを解除、スタートさせる。
  つまりハッカーの目的は車の売却によって得る利益。
 今後、自動運転の車が脆弱性をつかれて盗まれるケースも出てくると思う。

ブロックチェーンの活用。
 ブロックチェーンのトランザクションは発生すると変更出来ない。
 中古車の走行距離メーターをハッキングして、新車のように売る詐欺行為。
  ブロックチェーンで管理すれば変更出来ないので詐欺行為が出来ない。
 車の寿命。かつてと比べてどんどん長くなっている。
  例えばBMWのサーバがあったとして、15年後そのサーバがそのままあるかは分からない。
  ブロックチェーンのデータは恒久的。100年後でもデータは残せる。
  データがパブリックとなり永遠に変更できない。
 ブロックチェーンは誰が作ったのか分からない。
  サトシ・ナカモト?
  事実として、既に多くの活用が行われている。

オンラインになっていることで脆弱性を検知した場合。
 実際に見つけたら、そのデバイスの作成会社に電話する。
  ミッコ「オンラインで脆弱性のあるデバイス見つけたよ」
  作成会社「オンラインになるはずがないです」
  ミッコ「でも実際になっています。ボタン押しちゃいますよ?」
 オンラインが前提に作られていない。最初はオフラインになっている。
  誰かが設定を変えてしまったら簡単にオンラインになってしまう。
  ダイレクトに接続されていなくても、ルーティングを介して予想しない経路からオンラインになることもある。

IoTでの脆弱性の例。
 ドイツの家電メーカーMieleの脆弱性。オンラインであれば侵入できてしまう。
 Amazon S3にアクセスできなくなったことで食洗機が動かない例。
 かつてのデバイスは電源がオンされると時間が初期化されていた。
  手動で設定してあげる必要があった。
  今のデバイスは何も設定しなくても勝手にオンラインで設定されてる。

人とロボットの戦争。
 ゴミ箱IoTの例。
  ゴミ箱にIoTデバイスが付いていて、オンラインでゴミの量やゴミ箱の箱を報告する。
  このソリューション自体は素晴らしい。
  しかしこのデバイスがすぐ壊れてしまう。
  セキュリティカメラを調べてみたら、ゴミを集めるトラックドライバーが手動で壊していた。
   何故か?トラックドライバーの仕事が減ってしまうから。

 自動運転で誰か困るか。トラックドライバーは困るだろう。
  将来、トラックドライバーとスマートカーで戦争があるかもしれない。
 500年前、蒸気機関という発明があった。
  それで仕事が無くなった人もいたが、蒸気機関は世界にとって必要だった。
 IoTイノベーションは必要な変化。
  IoTによって影響を受けるのはあらゆる会社。
  全ての会社はソフトウェアを使う会社。

全ての会社、つまり社会をセキュアにしていかなければならない。
 セキュリティはコンピュータを守るんじゃない、社会を守っているんだ。  

さいごに

素晴らしいセッションでした。