F-Secureはこの4月に、都内でパートナー企業向けのカンファレンスを開催した。F-Secureのチーフリサーチオフィサーであるミッコ・ヒッポネン氏が「セキュリティ脅威の最新状況」として、プライバシーの問題と、IoTでのセキュリティ脅威についてセミナーを行った。

フリーでオープンなインターネットには「セキュリティ」と「プライバシー」が欠かせない

F-Secure チーフリサーチオフィサー ミッコ・ヒッポネン氏

ミッコ・ヒッポネン氏は、F-Secureの顔とも言えるリサーチャーだ。寡黙な人が多いとされるフィンランド企業(関連記事:"Freedome"で安全・安心な通信環境を - 簡単にVPNを利用できる新アプリを投入したF-Secure CEOインタビュー)の中で、派手なパフォーマンスを入れながら、わかりやすくセキュリティ脅威・プライバシー問題を語るエバンジェリストとして、TEDにも登壇している。

そのミッコ・ヒッポネン氏が、F-Secure「パートナーカンファレンス2015」でセミナーを行った。まずミッコ・ヒッポネン氏は、1991年にF-Secureへ入社したころを振り返った。

「21歳の青年としてF-Secureに入社当初、マルウェア分析の仕事して最初にもらったのが、5インチのフロッピーディスクだった。当時から様々なマルウェアがあったが、大きく状況が変わったのはインターネット、特にWebの登場によるものだった。

ネット登場以前の犯罪は、自分の生活エリアだけの犯罪を心配すればよかったが、ネットにより距離がなくなり、世界中のどこからでも、誰に対しても被害を与えることができるようになった」(ヒッポネン氏)

そんな中、フィンランドの企業としてF-Secureは生まれている。ロシア・アメリカ・中国といったネットを支配する大国から独立した国であることをミッコ・ヒッポネン氏は強調している。

「フィンランドの法律はプライバシーに厳しいことで有名。加えて国連の汚職度ランキングでは、もっとも汚職が少ない国となっている。そしてフィンランド人は必ず約束を守る。セキュリティを預かる企業として、私たちはもっとも信頼できる企業だと自負している」

またミッコ・ヒッポネン氏は、フリーとオープンなインターネットを子孫に繋げていくには「セキュリティ」と「プライバシー」が欠かせないものだと語った。

「セキュリティでは、犯罪組織が敵。しかしながら、プライバシーの敵は合法に活動している企業だ。たとえばGoogle。Googleは、Gmail、Google Map、Youtubeを無料で提供している。しかし『There's no such thing as a free lunch』、つまり、無料の昼食などないのだ」

日本語なら「タダより高いものはない」ということだ。Googleは無料サービスを提供しながら、実際にはプライバシーの収集で大きく儲けていると指摘している。

Googleはユーザー1人あたり12ドルの売上

ミッコ・ヒッポネン氏は、厳しくGoogleのビジネスを指摘する。Googleは自社のデータセンターに、四半期ごとに20億ドルもの投資を行っているが、これはサーバーメーカーとして世界第4位の規模だとのこと。サーバーを販売しているわけではないのに、自社のデータセンターのサーバーを作るだけで世界第4位になっている。

「サーバーだけで世界第4位になるほど、極端に多い投資を行っているのに、ユーザーはGoogleに対してお金を払っていない。Googleの1年間の売上げは120億ドルもある。ユーザーが10億人だと仮定すると、1人あたり12ドルになるが、実際には誰もお金を払っていないのだ。

では、Googleはどうやって、収益を上げているのか。それは『プロファイリング』だ。ユーザーのプライバシーを分析し、その分析データを広告に使うことで1人12ドルの収益を上げている。私は無料であってもGoogleにプロファイリングされたくない。私が12ドル払ってでも、自分のプライバシーを守りたいと思う」

と激しくGoogleのプライバシー収集について批判した。またミッコ・ヒッポネン氏は、FacebookやTwitterでも、同様にプライバシーを侵害し、個人情報からユーザー像を分析していることでサービスが行われていると指摘した。

加えて無料のスマートフォンアプリについても危険性を訴えた。

「スマートフォンアプリを無料だと思っているが、実際にはあなたのプライバシーを集め、プロファイリングし、広告に利用することで儲けている。利用許諾にOKを押しているから構わないと言うかも知れないが、実際には誰も読んでいない。ブラウザのある拡張プログラムを分析したところ、110万人が使っていたが、利用許諾を最後まできちんと開いたのはたったの146人だった。利用許諾を誰もが読んでいないのが実態だ」

これらのプライバシーの問題に対し、独特のアプローチでプライバシー侵害を防止するのが、F-Secureの「FREEDOME(フリーダム)」という製品だ。スマートフォンやタブレットからの通信を、すべてエフセキュアのVPNを通して行うことで、追跡やプロファイリングを防ぐ。Wi-Fiでの通信を守る、クッキーを無効にする、仮想ロケーションで位置情報を隠すなどの手法によるプライバシーを守るサービスとなっている。

この「FREEDOME」の企業向けサービス「FREEDOME FOR BUSINESS」が、新たに発表された。企業向けに機密情報を守るツールとして販売していくとのことだ。プライバシー保護だけでなく、ウイルスチェック、フィッシングサイトのブロック、匿名通信などの機能を提供する。

スマートテレビを狙う詐欺がポーランドで登場

次にミッコ・ヒッポネン氏は、最新のセキュリティ脅威について解説した。まずヨーロッパで増えているランサムウェア(ファイルを暗号化して脅迫する身代金型ソフト)について、ビットコインが大きな役割を果たしていると指摘した。

「『CTB-Locker』というランサムウェアでは、企業でもファイルが暗号化されてしまう被害が出ている。バックアップを取っていなかったため、脅迫に屈してお金を支払わざるをえない場合もあったと聞いている。ランサムウェアの多くは、ビットコインでの支払いを求められる。犯人が追跡やプロファイリングされることを防ぐためだ。ビットコインそのものは悪いものではないが、犯罪者はビットコインを好む。現金同様にビットコインは匿名性が高いからだ」

次にIoTでのセキュリティ脅威の例を取り上げた。昨年10月にポーランドでスマートテレビでのマルウェアがみつかっている。

「IoTを狙うマルウェアは、すでに登場している。ポーランドで発見されたもので、LGのスマートテレビで『テレビ税(架空)を支払え』と脅迫する画面が出るものだ」

このマルウェアはブラウザのホーム画面を書き換える単純なものだったが、逆に言えば、Web表示ができるIoTであれば、どれでもターゲットに成り得る。ミッコ・ヒッポネン氏はスマートカーでのマルウェア犯罪についても解説した。

「スマートカーの犯罪というと、メディアは勝手にクルマが動くなど遠隔操作の想定をする。しかし犯罪者はそんなことはしない。お金にならないからだ。実際に起きるのは、クラッキングでキーを解除してクルマを盗む、エンジンをかけたらランサムウェアで警告表示を出して脅すといった手口だろう」

ミッコ・ヒッポネン氏は、今後のセキュリティ脅威として、国家によるサイバー攻撃も問題だと話し、「F-Secureではロシア政府が作ったと思われるマルウェアを3件発見している。スパイ行為のためのマルウェアで、ターゲットはウクライナだった。現実の紛争が、オンラインでも戦争となっている」と、政府によるマルウェアの実例を紹介している。

ロシア以外では中国の人民解放軍による「Medre(メドレ)」というマルウェアを取り上げた。AutoCADの3D図面を狙うもので、図面ファイルそのものに感染し、中国にあるサーバーに送るマルウェアだった。AutoCADによる製図データを盗み取るスパイ行為だと考えられている。

「中国は最近のGithubへの攻撃でも関与が疑われている。Githubに対するDDoS攻撃が行われたが、これは中国のグレートウォールに入り込んだJava Scriptによるものだと分析されている。Githubに対して大量のトラフィックを流して攻撃されたが、中国政府がGithubをイジメているようなものではないかと考えている」

また、日本に関係した話では、東京オリンピックでのセキュリティ対策について、「東京オリンピックのチケット販売のフィッシングサイトや、大規模なDDoS攻撃が起きる可能性がある。混乱を起こして開催国に恥をかかせるためにサイバー攻撃することも考えられる」として、2020年の東京オリンピックでは、サイバー攻撃に対する備えが重要だと語った。

F-Secureはビジネス向けのソリューションを強化していくとともに、パートナー企業と協力し、個人向けの販売も行っていく。ミッコ・ヒッポネン氏は「歴史のあるセキュリティ企業としての信頼が、F-Secureの最大の強みだ。日本でもセキュリティ対策のお手伝いをしていきたい」とまとめた。