フィンランドのセキュリティ企業のF-Secureで最高リサーチ責任者を務めるMikko Hypponen氏は、1991年から同社でマルウェアなどの調査研究に携わり、サイバーセキュリティ業界では長らく活躍している著名な専門家の一人である。キャリア30年の節目を迎えて、セキュリティ脅威の歴史を振り返りつつ、現在の動向などについても見解を語ってくれた。
F-Secure 最高リサーチ責任者のMikko Hypponen氏。サイバーセキュリティ業界を代表する著名なマルウェア研究者の一人だ
Hypponen氏のF-Secure入社は21歳だった1991年6月。当時の社名はData Fellowsといい、6人目の社員だった。
「10代の頃からコンピューターに興味があり、プログラミングに携わった。フィンランドには徴兵制があり、16~21歳は軍に従事し、21歳で入社した。最初は顧客向けのデータベース開発を担当したが、1年ほどしてマルウェアをリバースエンジニアリングなどで解析するようになり、リサーチラボの設立や調査、解析の作業、組織のマネジメントを長らく担当してきた。10年ほど前から今の役職にある。現在は自身の範囲で研究や情報の発信などに取り組んでいるが、とても有意義な仕事だと感じている」
サイバーセキュリティは、システムやアプリケーションなどを開発、構築するといった「ものづくり」の要素が大きいIT業界において、それらを脅かす側に対峙にする特殊な領域と言える。中でもマルウェアの解析は、素性の分からないプログラムの正体を突き止めるだけでなく、それを仕掛ける攻撃者の狙いなどを暴き、マルウェアがもたらす影響や対策にまで関係する極めて重要な仕事だ。
「この世界は、常にダイナミックに変化し続けており、そのこと自体がとても魅力的だ。守るための研究のテーマが常に変わる。それがこの仕事のモチベーションになっている」「この30年は、目には見えない状態でさまざまな相手とチェスをしているような感覚だ。解析し、コーディングなどを見ていると、マルウェア作成者にある種の才能を感じる時がある。だからこそ、なぜマルウェアを作るようなことをしているのだろうと思う」
30年間のマルウェア研究の中で、同氏にとって特に印象深いものが、1990年代前半に流行した「MtE」、2003年頃に流行した「Slammer」、2010年に出現した「Stuxnet」だという。
「MtEは、コーディング自体が変異していくという性質を本格的に備えた初めてのマルウェアであり、セキュリティの検知を迂回する工夫がなされていた点が興味深い。Slammerは、データサイズがわずか376バイトしかないにもかかわらず、SQL Serverの脆弱性を突いて40分程度で大規模に拡散する高速性が注目される。Stuxnetは、従来のマルウェアの概念を変えた全く異なる存在だ。それ以前のサイバー犯罪は愉快犯的だったが、国家が標的を破壊する目的で巨大なリソースを投じてマルウェアを開発するという、現在も続いている重大な脅威を顕在化させた」
さまざまな手法を複雑に組み合わせて展開される現在のサイバー攻撃においてマルウェアは、攻撃を構成する要素の一部に過ぎない。例えば、近年に日本でも流行した「Emotet」について同氏は、次のように見解を示してくれた。
「Emotetが(攻撃者にとって)成功を収めた要因は、テクノロジーというよりそのビジネスモデルにあると考えられる。マルウェア・アズ・ア・サービスのようなサイバー攻撃をサービスとして提供するビジネスの成功例であり、過去最大規模で成果ではないだろうか」
そして現在、同氏が注目している研究テーマは、Android OSに対する脅威と、クラウドランサムウェア攻撃だという。
「Android は、この5~6年ほどの間にOSとしてのセキュリティレベルが大幅に強化された。これによりAndroidは、WindowsやmacOSと並ぶプラットフォームになり、攻撃者側も注目している。今はまだAndroidを狙うランサムウェア攻撃などは少ないが、今後増えていくのではないかと注視している」「クラウドランサムウェア攻撃は、比較的新しい種類の攻撃手法だ。特にiCloudが狙われている。攻撃者は、iCloudユーザーのクレデンシャルを盗み、ユーザーがバックアップしているデータを奪う。iCloudのデータワイプを悪用し、ユーザーにデータを消去されたくなければ身代金を支払うように脅す」
同氏によれば、サイバーセキュリティにおいてフィンランドは比較的安全な国だという。日本についても比較的安全だと語る。
「フィンランドも日本も言葉の壁によってセキュリティの脅威から守られていると言えるだろう。フィンランド語を日常的に話す人々は約500万人であり、英語の詐欺メールなどを受信しても、すぐに不審だと気づく。日本は教育水準が高く、パッチ適用などもしっかりと取り組んでいる」
とはいえ、危険性は存在する。
「日本が注意すべきは、政府の機密情報を狙うスパイ活動やハッキングなどの脅威だろう。また、世界的な経済制裁を受けている北朝鮮は、資金を得るために暗号資産(仮想通貨)の民間の取引所を常に攻撃している。日本で起きたコインチェックに対する攻撃が代表的だ。この事件を超える規模の攻撃はまだ少ないが、常に起こり続けている状況だ」
