【元記事をASCII.jpで読む】

 テクノロジーの進化に伴い、さらに多様化し、凶悪化するサイバー犯罪。それに対抗していくには、最新のセキュリティソフトを用いるだけではなく、正しい現状認識を持ち、今現在の情報を絶えず取得していくことが重要だ。

 マカフィー米国本社のチーフコンシューマ セキュリティ エヴァンジェリスト兼マーケティング担当バイスプレジデントのギャリー・デイビス氏が来日。8月2日にメディア関係者の質問に答えた。デイビス氏は、進化するサイバー犯罪の現状を整理しつつ、それに立ち向かう人材を育成するため、ゲーマーを積極的に登用してはどうかという提案する。

リスクの少なさが、サイバー犯罪を助長している

 これまでの犯罪は、対象までの距離が近かった。例えば銀行強盗であれば、銀行へ行き、銃を向け、お金を取って逃げる必要があり、犯罪者のリスクも高かった。しかしサイバー犯罪では現場に赴く必要はない。離れた場所からの「リスクの低い犯罪」と言える。イギリスではすでに全犯罪の53%がサイバー犯罪と言われており、2021年には被害総額が6兆ドル(668兆円)を超えると予想されている。

 脅威レポートをみると、マルウェアの増加が顕著だ。

 McAfee Labsでは、パソコン向けのマルウェアを7億3400万サンプル、Android向けでは2600万サンプルを収集済みとのこと。そのMcAfee Labsの脅威レポートによると、ここ数年間で件数が急速に伸びたのはランサムウェアで2016年第2四半期に800万件弱だったものが2018年第1四半期には1600万件強と倍増している。しかし、ランサムウェアはその破壊的な行動から犯罪者にも嫌われ始め、セキュリティ業界も協力して対策を講じてきたこともあり、その伸びはとどまっていて、新規のランサムウェアの数は2017年の第4四半期に210万件あったものが、2018年第1四半期には150万件弱までへっていて、今後さらに少なくなっていくと予想している。また、実行したコンピューターを勝手に仮想通貨のマイニングのリソースに使用するマルウェアも急激に増加しており、2017年までは四半期で50万件に届かなかったものが、2018年第1四半期には300万件弱まで増えている。

 また現在120億がインターネットに接続しているとされる「IoTデバイス」をターゲットとした脅威も登場している。原因は、ほとんど企業がセキュリティへの配慮が不十分な状態で市場投入していることだ。口では「まずは製品を出して、後からセキュリティについて考える」と言いながら、実は対応をしない場合が多く、ユーザーが負うリスクが高くなっている。ある調査では、IoTのセキュリティに対しては75%の回答者(企業)が重要と考えているにもかかわらず、84%が対策を講じていないという調査結果も出ている(McKinsey「IoTサイバーセキュリティに関するグローバルエキスパートサーベイ(2017年)」)。

 デイビス氏の自宅にも28台のIoTデバイスがあるが、購入前によく調べ、導入後は必ず自分だけのパスワードを設定するなどの基本的なことは欠かさないという。もっとも攻撃されるのはデフォルトのID/パスワードを使っているときで、その2つを自分で設定するだけでリスクが低くなる。もっとも脆弱性の高いのはルーターで、機能や設定が複雑なデバイスであるために消費者が使いこなせず、侵入される可能性がもっとも高いという調査結果も出ている。

 最近話題となった2種類のマルウェアも紹介された。1つは「Mirai」。ボットネットとしてブルートフォースアタック(総当たり攻撃)を実施し、既知のユーザーパスワード使ってIoTデバイスにアクセス。侵入後にマルウェアをインストールする。このMiraiはオープンソースとなっており、その亜種によるSQLインジェクション攻撃(データベースシステムを不正に操作する攻撃)が派生している。

 もう1つは「Reaper」。既知の脆弱性を狙ってIoTにマルウェアを送り込むものだ。Miraiよりも早く浸透しており、ある報道では200万台のデバイスが感染。攻撃者が命令を出せば、感染したデバイスから一斉にDDoS攻撃が行なわれ、インターネットを停止する力を持ちうるとも言われている。

セキュリティ業界の人材不足は、ゲーマーの登用で解消できる!?

 サイバー犯罪が増える一方で、その回避をするための専門家の数は足りない。需要が供給に追いついていないという事実があり、2021年には200万人のサイバーセキュリティ担当者が不足すると予想されている(ISACA調べ)。人材育成がセキュリティ業界の課題になっているのだ。

 アメリカではSTEM教育があり、新しいカリキュラムで子どもたちに知識をつけようとしている。日本ではSTEMはプログラミングの授業だと思われているが、ITリテラシーを含む、理科系分野全般のスキルアップを図ることが目的だ。マカフィー本社でもインターンとして迎え、人材不足を埋めようと考えている。日本でもSTEM教育を重視する風潮があるが、情報テクノロジーの時代では単にパソコンが使えるとか、プログラミングができるということ以上に、サイバーセキュリティに立ち向かえる人を育成していく教育が必要だ。

 人材不足回避のもう一つの選択肢として「ゲーマーの採用がある」とデイビス氏は言う。大学を卒業して就職する人は一つの方向からで物事を考えるが、ゲーマーは、どうやって目的を達成するか、障害を避けられるかを、プロセスに対して複数の視点から考えていく。

 例えば、あるゲームでスナイパーがいるためにレベルアップができないときに、IPアドレスを調べてDDoS攻撃をしてスナイパーを消すといったことをする。ゲームの上ではサイバー犯罪だと認識せずにそのような行為に及んでいるが、その目的のために様々な方策から有効な手段を採用し、実行するという行動から考えて、ゲーマーはサイバー犯罪に立ち向かう基準を満たせると考えている人は多い。

デイビス 「サイバー攻撃では複数のテクニックを駆使してシステムに入り込む。ゲーマーはいろいろ工夫しながら、次のレベルに上がるための方法を試行錯誤する。どちらも従来の考え方に固執せずにいろいろな課題に取り組める点が共通している。

 もちろん楽にできるとは思っていないが、200万人もの人材不足になることはわかっているし、業界としても通常とは違う考え方をしていかないといけない。サイバー犯罪対策は成長中の業界であり、STEM教育は必要ではあるが、短期的な需要に応えるには時間が足りない。そのためにゲーマーを採用して人材を確保することも考える必要がある」

PCで20年かかった500万のサンプルが、モバイルでは5年で集まった

――ランサムウェアなど、今年前半の傾向について教えてください。

デイビス 現在、弊社の顧客への攻撃として毎日500億クエリーのデータが入ってきます。これはTwitterやFacebookなどのSNSに投稿される情報を足したものより多い数値です。毎秒3~4個の新しいマルウェアができている感じです。

――カテゴリ別に数字を教えてください。

デイビス さきほどの脅威レポートでは累計、PCマルウェアが7億3400万、モバイルマルウェアが2600万、ランサムウェアが1600万、仮想通貨マイニングのマルウェアが260万になります。

――IoT向けのマルウェアの現状は?

デイビス IoT向けのマルウェアはそれほど増加していないのですが、ほとんどの企業が不正にインストールされたこを把握できていません。そこが懸念事項になります。

――IoTデバイスの増加に伴い、マルウェアも増えていくと考えられそうですね。

デイビス PCではマルウェアのサンプルを500万集めるのに20年かかりましたが、モバイルではたったの5年でした。IoTは今後急速に普及していくでしょうし、2年で500万サンプルに到達しても驚かないと思います。悪事を働く機会は多く、目の前にあるわけですから。ただしIoTデバイスは、マーケットに出てからそれほど時間が経過していません。今はどうやったらIoTにマルウェアを埋め込めるか精査している段階でしょう。

 脅威の調査グループに聞いたところ、現在発見されるものの80%が過去のマルウェアの亜種で、新しいマルウェアは20%とのことです。IoT向けのマルウェアでも同じようなことが起こると思っています。Miraiのようなマルウェアが現れ、その亜種が生まれていきます。

――IoT向けのマルウェアのターゲットは?

デイビス 個人と企業の両方だと思いますが、犯罪者の興味は企業のほうが高いでしょう。個人のデバイスに攻撃できたとしてもたいして儲からない。サイバー犯罪の60%は金融機関を狙うというデータもありますが、個人と企業、同じ労力でアクセスできるとしたらやはり企業システムにアクセスするでしょう。

――仮想通貨のマイニングを勝手に始めるマルウェアも増えていきますか?

デイビス 業界のイベントなどに出席すると、もっと多く質問されるのが仮想通貨のマイニングをするマルウェアです。ブロックチェーンというテクノロジーは強固です。唯一ブロックチェーンを攻撃できるのは量子コンピューティングだけでしょう。しかし、その周辺のテクノロジーには脆弱性があります。日本でもコインチェックの例がありましたね。

――人材不足に対応するため、ゲーマーを起用してはどうかという提案がありましたが。

デイビス セキュリティ市場で働くエンジニアの不足は深刻です。2021年にはさらに200万人の不足が出ると言われています。現在の募集数に加えて、さらに200万人もの埋められない求人が発生するということです。1つの空きに5人しか応募がない。応募者のレベルも低く、採用できるほどのスキルを備えていない。ではどこで新しい人材を見つけるか? そこにゲーマーを入れるのが適切ではないかということです。

――学校でセキュリティの教育を受けた人ではダメなのでしょうか?

デイビス アメリカでもセキュリティ教育はまだまだこれからです。教育を受けた子どもたちが社会に出るまでには時間がかかります。しかしセキュリティ業界の人手不足は数年後には切実となり、とても間に合いません。

――セキュリティエンジニアの応募はなぜ少ないのでしょうか。

デイビス やはり華やかでないからでしょう。スポーツでもスターが生まれるのはディフェンスではなくオフェンスで、率先して守備をしたいと考える人は少なくなります。そして問題の大きさやどれだけのニーズがあるかを理解している人がほとんどいないという面もあります。

――その穴埋めとしてゲーマーを採用する場合、どのような課題がありますか

デイビス ゲーマーのスキルをサイバーセキュリティのスキルに仕立てること。たとえばゲーマーを採用して、脅威についての調査を担当させたとき、そのゲームスキルをどう実際の実務に変えていくかが重要だと思います。これが楽にできるとは思っておりません。ただ、200万人の人材が不足し、犯罪者はこれから増えていくわけですし、業界としては通常でない考え方をするべきです。いままでやってきたことを続けてもダメだと思っています。

――なるほど、ありがとうございました。

いっそゲーマーをサイバー犯罪と戦わせたらどうか、マカフィー重鎮語る