Pages

Mar 26, 2017

今更だけどCountdown to Zero Dayはいい本だよ

help 米国人ジャーナリストキム・ゼッターのCountdown to Zero Dayという本は力作である。2000年代後半にイランのウラン濃縮施設がStuxnet(スタックスネット)と呼ばれるコンピュータウイルスによって攻撃された事件について、圧倒的な情報量でその実態を暴いていく。

Kim Zetter, “Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon",Crown,2014.

私は、「A国が関与するサイバー攻撃が発覚」などという報道があれば必ずA国の知人に「ほんとにやったの?」と聞くことにしている。そういう馬鹿な質問にたいしては記事の全体あるいは一部がでたらめであることを強調する回答が返ってくるのがお決まりだ。
そんな中、本書については「よく調査して書かれた本だと思う(ため息)」という反応があった。でたらめと否定したくとも、できないくらいに事実を積み重ねた。キム・ゼッターの類まれな才能と執念の成果である。脱帽するしかない。
部外者から見ても、本書が素晴らしい点はいくつかある。
  • 技術的な記述の細かさと正確さ。ウイルスの動きについて、実際に解析をおこなった当事者の多くにインタビューし、実に事細かく記載している
  • これまでのサイバーセキュリティ界隈でのStuxnetの解説は何が起きたかに焦点があてられていた。本書はなぜそのような攻撃が行われたのか動機を明らかにするためにイランの核開発の歴史、それに対する国際社会の苦慮の歴史などの政治的な背景についても細かく解説する。
  • Stuxnetにとどまらない調査。筆者の調査の直接のきっかけはStuxnetであるが、同じく米国の情報機関が関与しているとみられるいくつかの攻撃キャンペーンについても本書は詳しい。そしてその比較からStuxnetのより深い闇をあぶり出している
逆に本書の欠点は今のところ邦訳の刊行予定がないところだ。数年前に著者に連絡したところ、日本の出版社と交渉していると言っていたが、今日まで何も動いていないところを見るとお蔵入りしたのだろう。
というわけで、その内容の一部を私という余り精度の良くないフィルターを通して紹介するのが本記事の目的だ。 本書の内容は膨大なので、最初に私自身の発見というか今後のための教訓を紹介したい。

教訓

今後日本国内において同様のウイルス感染による被害があった場合の教訓として考えられるのは以下のとおり。
  • 破壊活動は機器の誤動作と見間違えやすい。問題発生時の第一報は監督省庁や警察のような公的機関にもたらせるというの幻想。制御製品ベンダーに「最近おたくの製品調子悪いんだけど」という形でもたらされる可能性が高い。製品ベンダーから気軽に相談してもらえる信頼関係が重要
  • 核処理施設がターゲットの場合、運営会社、部品のサプライヤー、保守会社などの周辺企業に足がかりが作られる。守りたい本丸があるのであれば、その周辺に起きる事象をみないといけない
  • Krebs on Security、カスペルスキーのブログは情報収集の対象として価値が高い。少なくともStuxnetについて彼らは何かを忖度して沈黙することがなかった
  • 少なくともペイロードの解析には個別の制御製品に関する深い知識もしくは制御ベンダーの協力が必要である。一方、Stuxnetでシーメンスが沈黙したように大手ベンダーは各国政府やアセットオーナーとの関係で情報を公開できない可能性がある
  • Stuxnet規模のインシデントが発生した場合、オンサイトでのインシデント対応は生命身体の危険を伴う。機器やデザインも施設ごとに大きく異なり、部外者が乗り込んでいっても事態をかっこよく収束できないばかりか、現場の足手まといになる可能性すらある。
  • 汚染の対象としてPC,スマホ,ネットワーク機器以外にPLCやUPS(無停電電源装置)を検討する必要がある
  • Stuxnetが公になったのが2009年春、Operation Olympicが立ち上がったのが2005年。Stuxnet規模の攻撃には少なくとも準備に少なくとも4年の期間を要する。誰かが誰かに高度なサイバー攻撃をしかけようとして、その結果が出るのは4年後
  • サイバー攻撃を行う側にとって、独自の技術開発をすればするほど、コードを書けば書くほど、自身の正体を特定される危険性を高める。暗号機能や通信機能など足がつきやすい部分を減らし、非効率でもオープンソースツールや既存のコードの改変を行うというトレンドはしばらく続くはず。
  • 本書に登場するワシントンD.C.の安全保障系シンクタンクは、米情報機関の独自につかんだ情報の情報源を隠したまま、国民に知らせて危機感を高めたい際の代弁者として機能している。シンクタンクの発表は「そういうものと思って」受け取る必要がある
是非、一人でも多くの人に原書を手にとって読んで欲しいと思っている。
以下は"CountDown to Zero Day"に記載の内容の私的なメモ。2年前くらいに作ってそれから更新してないので、重ねて原書を手にとることをお勧めする。

イラン核開発の歩み

1950年代

  • 1957 イランにおける核開発プログラムが正式承認。イランは米国との合意書にサインする
  • 1968 イランが核不拡散条約に署名
  • 1974 Iran’s Atomic Energy Organization(イラン原子力庁、AEOI)設立。20の原子炉をドイツ、米国、フランスの援助によって建設する計画であった
  • 1974 当時のイランの指導者シャーが「中東情勢によっては核技術の兵器転用を考慮する」という含みをもった発言をしたとの報道
  • 1975 シーメンスの子会社Kraftwerk Unionが43億ドルの契約を受注。2器の原子炉建設が始まる
  • 1979 イスラム革命。核施設はシャーと西側諸国の蜜月のシンボルとして攻撃の対象となる。米国は支援を打ち切り。ドイツはKraftwerkに引き揚げを勧告

    1980年代

  • 1980年代 IAEAは「イランが欧州企業よりウラン濃縮の遠心分離器の部品を購入している」という情報を得る
  • 1981 2つの原子炉の建設完了(という文書が残っている)
  • 1982 Farewell Dossierとよばれるシベリアのガスパイプラインが爆発事故発生
  • 1980-1988 イラン・イラク戦争時期 イラク軍はイランの各施設を空爆目標にしていた。この戦争中にイラン政府より軍に対して核兵器開発 の命令が出された。 イランの研究者はパキスタン人の技術者カーン博士(Abdul Qadeer Khan)に支援を求める。カーンは欧州で原発の遠心分離器開発などに関わっており図面などを盗み出し、母国に持ち帰っていた。2010年になってカーン は「イスラエルとの勢力均衡を保つため」としてイランの核開発に協力したことをTVインタビューで認めている。
  • 1987 イランはパキスタンの核施設建設の主要なサプライヤーとして知られるドイツのブラックマーケット企業に接触。ドバイにて1000万ドル と引き換えに、ウラン濃縮開始に必要な情報と材料をえる。この中に15ページの"濃縮ウランをUranium metalに成形し、 Hemispherを作成するため"のマニュアルが含まれていた。
  • 1988 イラン・イラク戦争が終結。ウラン濃縮に新たな資金が投入される。イランは2トンの天然ウラン(六フッ化ウランガスを含む)を中国から輸入した

    1990年代

  • 1991 イラクにおいてIAEAが予測していなかった核開発が行われていたことが戦後に発覚した教訓から、より細かい状況把握が必要とする声が強まる。結果IAEA加盟国からIAEAに対してより詳細な報告を求めるAdditional Protocolが制定される
  • 1992 IAEAはある情報機関より、イランが核兵器生産の準備を行っているという情報を得る
  • 1994 イランが持つ一つの核反応炉で「ほぼフルスピード」運用に成功する
  • 1995 イランはロシアとの間で核施設建設に関する総額8億ドルの契約をする
  • 1995頃 ヨーロッパの輸出規制強化をうけて、またIAEAなどの査察をさけるため、政府が直轄していた核開発施設を隠す動きはじまる。テヘラン大学などのわかりやすい場所から国内の軍用地などへの移転が行われる
  • 1999 小規模のウラン濃縮実験が初めて成功する。

    2000年代

  • 2000 ナタンツで施設の建設が始まる。建設の主体は"Kala Electric"あるいは"Kalaye Electric Company"という名の企業が請け負った。これはカバー企業でありイラン原子力庁とSupreme National Security Councilが主体であると見られている
  • 2000 この頃からCIAはイランが核開発のためにトルコの企業から調達している機材(バキュームポンプや無停電電源装置)に不正な動作をするよう細工を施した。
  • 2002/8/17 NCRI(National Council of Resistance of IRAN)がプレスカンファレンスを開催。その中でISIS(Institute for Science and International Security いわゆるイスラム国とは無関係)がイランの核処理関連の2つの機密サイトの存在を暴露する。Bushehrの北に位置する重水生産設備、そしてナタンツとKashan の中間に位置する核燃料処理施設である NCRIがこの情報をどこから得たのかは不明であるが、イスラエルもしくは米国の情報機関がリークしたという説がある。
  • 2002/1 ブッシュが一般教書演説で北朝鮮、イラクとともにイランを"Axis of Evil"と批判
  • 2002/10頃 米国人研究者がDigitalGlobeのアーカイブでナタンツ周辺の衛星画像(分解能16m)を購入する。同地点の画像は既 に何度か取得されており、画像購入費用は安く抑えられた。これはそれ以前に第三者がDigitalGlobeの衛星に同地点の撮影をリクエストしていたこ との証左である。画像からはU字に建設された回廊、6-8フィート(182cm-240cm)の厚い壁などから、空爆への備えが見てとれた。
  • 2002/12 衛星写真がCNNで報道される。
  • 2003/2 イランのモハマド・ハタミ大統領、イランがウラン濃縮工場を建設していることを公式に認める。一方でウラン濃縮は平和目的であり、兵器開発ではないことを強調した
  • 2003/2 イラン大統領の兵器開発の意思を否定する発言の2週間後、IAEAのOlli Heinonen他2人が査察に訪れる。ナタンツなどの施設を訪れる。NCRIが秘密工場と目していたKalaye時計工場の立ち入りを求めるもイラン当 局に拒否される。環境サンプル取得も許されなかった。ウランの秘密貯蔵庫への立ち入り調査依頼に対し、イラン側はウランは存在しないと否定した。ウラン濃縮を 行っている疑いが強まる
  • 2003春 環境サンプルテスト実施をイランが承諾。イラン国内で低濃度と高濃度のウランが確認される。イラン政府はこれをうけて国内で濃縮を 行っていることを認めた。一方で濃縮は平和利用のためであり、1.2%までの濃縮しかしておらず(核兵器に使用されるような)高濃度のウラン濃縮は行って いないと弁明。観測された高濃縮ウラン(36%ー70%)は購入した遠心分離器に付着して持ち込まれたものであるという説明をした
  • 2003/5 NCRIがLashkar Ab’adにレーザーウラン濃縮施設があると公表。イラン政府はこれを追認。その2ヶ月後NCRIはさらに2つの核処理施設があると指摘。うち一つはテヘ ラン郊外のWarehouse地区にあり、自動車のスクラップ工場を装っているという。
  • 2003/6 ナタンツで六フッ化ウランガスを10の遠心分離機にかけ、ウラン濃縮の実験が始まった
  • 2003/10 EU3(仏、独、英)の反発などもあり、イランはウラン濃縮の一時停止に合意。また「根拠の無い疑いを晴らすため」にイラン核開発の歴史を公表すると約束
  • 2004年 米国テネシー州にあるオークリッジ国立研究所にP-1遠心分離器が運びこまれて破壊実験が行われた
  • 2004/4 イランがイエローケーキ(ウランOreの俗称)を六フッ化ウランガスに変換する実験をすると宣言
  • 2004/5 CIAがIAEAの査察チームに接触。イランの核開発について情報を提供した。内容はイランのプラント建設会社ではたらく通称”Dolphine”がドイ ツ情報機関BNDに提供したもの。イランの内部文書にはイラン南部のウラン鉱山の採掘にはじまり、自国内でイエローケーキを作り、四フッ化ウランと六フッ 化ウランガスを生成するという野心的な計画が描かれていた。IAEAはこの文書についてイランに説明を求めるも、充分な解答をえられなかった。
  • 2004後半 イランがエスファハーンおよびその他の施設でのウラン加工を一時的に止めることを合意
  • 2005年 この頃アメリカの情報機関はイランが核兵器開発に充分な濃縮ウランを得るまでの時間を6-10年という予測をする。イスラエル当局は5年ほどではないかという、より悲観的な推測をした
  • 2005 Stuxnet開発を含む作戦Olympic Game Operationがこの頃から準備されはじめた
  • 2005/6 テヘラン市長であったマフムード・アフマディーネジャードが大統領に当選。この頃から核開発は「イランの防衛に欠かせないものであり、国際社会との協調は弱腰」とのイラン国内の世論が形成されはじめる
  • 2005/8 イランが2004後半のウラン加工停止合意を破棄することを宣言。エスファハーンのIAEAが封鎖した施設を再び解禁する
  • 2005/12 アフマディーネジャードが「ホロコーストは神話」と発言。ユダヤ人コミュニティとイランの間の緊張が高まる。
  • 2006/1 (アメリカの外交当局によると)クェートが放射能監視の施設をイランとの国境付近に設置。周辺国におけるイラン核開発への懸念が高まる
  • 2006年前半 イランはナタンツの試験プラントでのウラン濃縮を再開。イスラエルはイランの核兵器開発能力は2-4年で成熟するとの再評価をし、警戒を強めた。一度濃縮の手順をマスターすれば、遠心分離機は設置が容易なため、国内のどこでも濃縮が行えるとみられていた。
  • 2006 イラン政府筋が最初のバッチで164機の遠心分離器を使い、3.5%濃縮ウランを得ることに成功したと公表。3000機の遠心分離器を 設置すべく準備がはじまったことも公表された。 なおこの実験について翌年イラン原子力委員会のトップは「技術者は遠心分離器50機を設置した。しかしある夜遠心分離器に電力を供給するUPSが誤動作を おこし、全ての遠心分離機が爆発した。後にUPSを調べたところ、細工がされていたことがわかった」と語った。2000年からのCIAの作戦の結果と考え られる。IAEAは米国からのかねてからの要請もあり、イランを”Noncompliance”国であると宣言
  • 2006/7 国連安保理は8月末までにウラン濃縮をやめないない場合制裁を行うことを決議。アフマディーネジャードは強硬な発言で安保理決議に従わないと明言。 この頃、西側情報機関はイラン(と関連企業)が遠心分離器の部品、およびミサイル部品を大量購入していることを把握していた。また米国によるイラン核処理 施設への空爆の噂があったが、ライス国務長官はIAEA事務局長のモハメド・エルバラダイ(エジプト)に対して、「空爆を検討していない」という趣旨の発 言をする
  • 2006末 国連安保理はイランへの制裁を可決する。この制裁には核兵器開発につながる素材や技術のイランへの輸出を禁じるというものであった。その約一月後に核プログラムに関連するイランの個人資産を凍結する追加制裁が可決された。
  • 2007 ナタンツでのウラン濃縮がはじまった年。イスラエル首相のエフード・オルメルトはイランをけん制する発言をしている
  • 2007/2 イランはIAEAにナタンツの地下施設に遠心分離器の設置を始めたと通告
  • 2007/6 地下施設に1400の遠心分離器の設置が完了。この時設置されたのは全て旧式のIR-1型。同時期にパキスタンからシリアに伝えられた高性能のIR-2型遠心分離器の生産が開始されていた。またIR-4という新型の開発も並行していた。
  • 2007/10 米国民の73%がイランの核の脅威に対して、空爆などの直接的な手段よりも、経済制裁や外交による解決をのぞんでいるとの世論調査結果がでる
  • 2007/12 米国のNIE(National Intelligence Estimate)が発表される。本報告書ではイランの核兵器開発について「イランが兵器開発プログラムを持っていたことは事実であるが、2003年秋に 計画はストップしている。イランの核兵器開発の意思は低い」という分析が確度高として記載されていた。この分析に対しては楽観的すぎるという批判が寄せら れた。ドイツやイスラエルの情報機関はイランの核兵器開発の脅威はNIEに記載されているより高いとした。
  • 2007年末までにイランは3000機の遠心分離器をナタンツに設置し終えた。さらに2008年に6000機までに遠心分離器を増設する計画が あった。3000機のP-1遠心分離器がフル稼働した場合1年以内に核弾頭を作るのに充分な濃縮ウランが得られる、という専門家の分析もあった。
  • 2008/4 ウィキリークスによるとエジプトのムバラク大統領がイランの核開発を地域全体の脅威と米外交官にかたる

2009年前半以降 (Stuxnet拡散期)

  • 2009/6 (後のカスペルスキーの調査によれば)最初のStuxnet関連ウイルスが拡散された時期。第一波。
  • 2009/7/16 ウィキリークスのジュリアン・アサンジがイラン筋からのリーク情報をもとに、近くナタンツで大きな事故が起こるであろうという予測をWebサイトに掲載。 同月Gholam Reza Aghazadeh(イランIAEAの長官で副首相)が突如辞任。理由が明らかにされず
  • 2010/3 (後のカスペルスキーの調査によれば)ウイルス拡散の第二波
  • 2010/4 (後のカスペルスキーの調査によれば)ウイルス拡散の第三波
  • 2010/7/12 ベラルーシのセキュリティ企業VirusBlockAdaがブログで .lnkファイルのゼロデイ脆弱性をつくウイルスの存在を公表。このウイルスは感染後にルートキットをコンピュータにインストールする。ルートキットとなるドライバはRealtekによって署名されている。コード署名の日付は2009/1。
  • 2010/7/15 NCCIC(DHS)が問題を把握。
  • 2010/7/17 ESETがJmicronの署名付きルートキットについてブログで発表。この検体のコード署名は2010/7/14のもの。リアルタイムでStuxnetのビルド・配布が行われていたことがわかる
  • 2012/7/20 シマンテックが2つのドメイン名への通信を自らのシンクホールに曲げる。この時100か国に100,000台のPCが感染していることが判明。この内、最 初の38000を調査したところ、22000台がイラン、6700台がインドネシア、3700台がインド、400弱台が米国という結果であった
  • 2012/7/20 ICS-CERTが制御システム所有事業者向けにシーメンスStep7を狙ったマルウェアについて注意を喚起。当時のNCCIC局長Sean McGurkによればこの時までにExploitの解析はほとんど完了していたという。
  • 2010/8/17 シマンテックがペイロードの部分的な解析結果をブログで公表。PLCの入力出力を書き換える機能が備わっていることから、Stuxnetの目的は情報の収集ではなく、PLCで制御されている機器の破壊であることを示唆
  • 2010/8/22 イランからシンクホールへの通信が突如減少した。(イラン国内で何らかの対策がとられたか、Stuxnetが動作を変更したとみられる。)
  • 2010/9/13 Langner ResearchがStuxnetは戦争行為であるというブログ記事を掲載
  • 2010/9/21 Langnerがメリーランドで開催されたControle system Security Conferenceで講演
  • 2010/9後半 イラン政府がBushehrの核施設でStuxnet感染が確認されたが、制御系への影響はなかったと発言。ナタンツへの言及はなかった。
  • 2010/10上旬 シマンテックはStuxnetのExploitがS7-315PLCとS7-417PLCを探索し、PLCのブロックデータ の中に”2C CB 00 01”,”7050h”,”9500h”の3つの値をもつ機器を探していることを突き止めた。Stuxnetには2つのExploitが含まれていた。 Exploitはx86上のC/C++で書かれていたが、ペイロードはSTLというシーメンスPLCに固有の言語を使ってかかれていて、コンパイル後に MC7というバイナリ形式に変換された。数キロバイトのMC7バイナリをデコンパイルすると、S7-315PLCのExploitは4000行、 S7-417PLCのExploitは13000行にのぼることがわかった PLCに感染すると以下の動きをする
    1,約13日間待機する
    2,ステップ1終了後2時間待機
    3,15分間だけPLCの動作停止
    4,PLCを通常動作に戻して5時間待機
    5,1に戻る (2回目のループでは1のステップで倍の26日待つ。2回目のループでは3の動作を50分とめる)
  • 2010/11 Profibusプロトコルの専門家Rob Hulsebosがシマンテックにメールを送る。Profibusのネットワークカードは製造元によって決定された16bitの識別IDを持つという情報が提供される。 9500hはFinland Vacon社の周波数変換器、もう一つは公開リストにはなかったがProfibusに問い合わせたところイランのFaroro Paya社製の周波数変換器であることが判明する。 結果StuxnetはPLCの先に186未満の周波数変換機が接続され、動作周波数が807Hzから1210Hzまでの間の場合のみExploitコードを動かすことが判明する
  • 2010/11/12 シマンテックはS7-315PLC向けExploitについてブログで詳細を公表する
  • 2010/11/16 ナタンツで遠心分離機がすべて停止された
  • 2010/11/22 6日の停止の末、遠心分離器稼働再開
  • 2010/11/29 7:45 イラン原子力庁の技術者Majid Shahriariが通勤途中に接近したバイクに車側壁に爆弾を設置され殺される。同様に襲撃されたFereydoon Abbasiは重症をおったものの一命を取り留める。Shahriariは核兵器開発に携わっていると見られていた。Abbasiはイランで唯一のウランアイソ トープの知識を持つ人物で、イラン防衛省のアドバイザーで、Iran Revolutionary Guardの重要人物Mohsen Fakhrizadeh-Mahabadiと親しかった。イラン政府はこれをテロ行為と即座に非難した。Abbasiは回復後イラン原子力庁のトップに任命された。白昼の襲撃の後イラン関係者に衝撃が広がり、何人かは(病気のためとして)業務をはなれたとされる。襲撃の日、イスラエル首相はモサド長官の Meir Daganの引退を発表。暗殺はDaganの最後の仕事ではないかとの観測が広まった。
  • 2010/11/29 イランのアフマディーネジャード大統領は声明を発表。イランの核施設へのウイルス攻撃を認めた上で、「影響はごく一部の遠心分離器」と説明した
  • 2010/12 ISISのDavid AlbrightがIAEAの四半期毎の査察報告書に含まれる、ナタンツで設置された遠心分離器とカスケードの数、濃縮を実際に行っている遠心分離器とそうでないものの数に注目した。2007-2008の間、設置数は着実に増加していた。しかし2009年中盤から後半にかけて少なくとも1000台の遠心分 離器が故障したことが報告書からよみとれた。 この時Albrightは初めてFaroro Payaという会社の名前を聞き、またイランが周波数変換器を内製していることを知った。Albrightは周波数1064Hzで稼働する遠心分離器は IR-1しかないと、2008年に米政府関係者から知らされていた(パキスタンでは既にIR-1の後継となる遠心分離器を使用しており、周波数も違った) 一方で1064hzより少し低い周波数(1007Hz)で動作しているとも聞いていた。
  • 2011/1 ニューヨーク・タイムズの記事が公開される。開発は米国とイスラエルによるもので、イスラエルのNege砂漠にあるDimona Complexで実験が行われたという。リークした人物は不明。

Stuxnetそのものについて

ペイロード部分

  • Step7かWinCCをインストールし、S7-315もしくはS7-417のPLCを使用していないと動かない
  • 32bit Windows上でのみ動作
  • ルートキットによってファイルの存在を隠せないタイプの検知ソフトがインストールされている場合、動作をとめる
  • SIEMENS製Step7がインストールされているマシンでは、細工したDLLを保存する
  • DLLが再読込されるまで(OSもしくはStep7アプリケーションの再起動)まで待つ、マシンがS7-S7-315PLCに接続されると内部にもつコードをPLCに流し込む
  • S7-S7-417PLC向けの攻撃コードは難読化が施され、S7-315PLC向けのExploitとは別のグループが作成したことを伺わせた
  • シマンテックが解析した検体は3つであり、バージョン番号の抜けなどから、イラン当局の5種類確認しているという言葉は正しいとみられる
  • ペイロードの解析にはシーメンスPLCの知識が不可欠であり、シマンテックは真相に切り込めていなかった。Langnerがその部分を補完した。
  • 通常サイバー攻撃は初歩的なものから徐々に高度に進化する。したがってLangner含め制御セキュリティの専門家は、最初に起こる制御システム 関連インシデントのシナリオとして、特定のプラントで使用されるPLCがDDoS攻撃により動作を止めるという予測をしていた。しかしStuxnetは最初に確認されたICSへの攻撃でありながら、PLCを欺く高度な機能が備わっていた。

Exploit部分

  • 4つのゼロデイ脆弱性が使用された。しかし、それらのゼロデイ脆弱性は後に調べると既にフォーラムなどで共有されていたものが多いことがわかった。
  • プリンタースプールの脆弱性は2009/4にポーランドのセキュリティ雑誌に公表されていた。
  • シーメンスのハードコードされたパスワードが利用されたが、これも2008/4にシーメンス製品のユーザフォーラムで話題になっていた。
  • .LNKファイルの脆弱性については、類似の攻撃手法が2008/11にZlob(トロイの木馬)をインストールするのに使われていたことをMSが確認している。
  • 感染後21日間だけUSBメモリ経由での感染を試みる
  • プログラムが生成するTempファイルをリネームし、痕跡を隠す
  • 感染後レジストリの特定箇所に0x19790509という値を書き込む。このレジストリキーがStuxnet感染のしるしとして使われる。もしこれが1979年5月9日という日付だとすれば、これはHabib Elghanianというユダヤ人ビジネスマンがテヘランで処刑された日と一致する。
  • コードの中に開発環境のファイルパスが残っていて"b:¥myrtus¥src¥objfrew2kx86¥i386¥guava.pdb”とあった。このネーミングルールについていくつかの推測が可能である。
    • 単純にMy RTUsの省略である可能性
    • MytrusはGuavaの祖先の植物である
    • ユダヤの歴史においてQueen Estherの改名前の名前はHadassahであった。Hadassahはヘブライ語で英語ではMyrtle(Mytrus)を意味する。

不可解なちぐはぐさ

  • 全体的に高度な技術、オペレーションが行われているにもかかわらず、DLL自体の難読化などについては技術水準が低い
  • シマンテックの解析者は、少なくとも3つのグループが分担して作成したとみている。
    • 1)PLCを欺くペイロードを作ったエリートハッカーグループ  
    • 2)プログラムの拡散と感染部分を作った中間レベルのグループ 
    • 3)C&Cサーバとの通信やDLLの暗号化を担当した技術水準の低いグループ
  • また1)のペイロードについても対象となった2つの機器それぞれについて、別の開発グループが関与したことがうたがわれている

感染の経路

  • Stuxnetには感染したマシンに小さなログを残す機能があり、このログから感染マシン上のStuxnetの感染経路を確認することができる。
  • シマンテックが3280種類の検体を確認したところ、感染はまずイランの5つの企業で発生し、そこから様々な場所へとUSBメモリ経由などで伝播 した。5つの企業とはFoolad Technique, Behpajooh, Kala, Neda Industrial Group, CGJの5つ。KalaはKala Electric(Kalaye Electric)を指すと考えられる。
  • 5つの企業の内、Behpajoohは被害の深刻さが際立っている。3回の攻撃全てをうけており、2010/3の第二波の攻撃をうけた唯一の企業であり、感染PCのおよそ69%がこの企業を起点としていた。

Stuxnet以外に米国が関与したオペレーション

Olympic Game Operation

背景

  • イスラエルは米国がイランの核開発について手をこまねいていることを批判していた
  • 中東のエジプト・イエメン・クェートなどの国もイランの核開発を自国への脅威と捉えていた
  • イランのアフマディーネジャード大統領は核開発を政策の目玉として国民にアピールしており、核開発は政権のシンボルの一つと目されていた

なぜサイバー攻撃というオプションがとられたか

イランの核開発を止めるため(正確にはウラン濃縮工程を止めるため)の手段としてサイバー攻撃でなく空爆や地上戦力投入というオプションもとりえた。以下の条件を検討した結果サイバーが妥当と判断されたと考えられる。
  • すでにイラクとアフガニスタンで米軍が活動しており「中東三番目の戦場」を軍、政府、世論がのぞんでいなかった。
  • イランは遠心分離器の製造に必要な材料をおよそ12000機から15000機分しか保有していないと、専門家は推定していた。制裁によってイランが材料の追加調達をすることは難しいと考えられるため、数千の遠心分離器を破壊できれば計画全体が遅延するとみられていた。
  • サイバー攻撃は米国の兵士の命を危険にさらすことがない、成功すれば秘密裏に目的を達成可能、万一発見されたとしてもそれを米国の仕業と断定することは難しい
  • イランの核施設の全容は明らかでなく、空爆対象を絞り込むのが難しい
  • イランの核施設の一部は空爆を想定して地下に建設されており、空爆による成果が疑わしい
  • 遠心分離機の破壊は放射性物質の拡散のリスクが無い
  • 誰が関与したか

全体の調整はアメリカ戦略軍(US Strategic Command)が行ったとみられる。プログラム開発の主要部分は国家安全保障局(NSA)が担当し、一部分はイスラエル軍(IDF)のUnit8200 が関与したとされる。一方で秘密作戦の実施権限を持つのはCIAであり、開発後の展開や運用についてはCIAがメインで携わったとかんがえられる。

Duqu

タイムライン

  • 2011/9 CrySys Lab(Budapest University of Technology)の Bencathが顧客であるハンガリーの認証局から不審なマルウェアに関する解析依頼をうける 中身はキーロガーおよび情報詐取ソフトでデータをインドのC2サーバに送信するものであった。キーロガーはドライバーがC-Media Electronicsという台湾の会社の正規証明書をつかって2009/8に署名されていた。Stuxnetと署名部分以外同一のバイナリであった。暗号アルゴリズムそして暗号キーまでがStuxnetと同じ。Stuxnetが使用する6つの関数を全て使っていた。 被害企業名は現在も公開されていないが、ハンガリーの認証局NetLockという情報が有力である。
  • 2011/9/8 Bencsathが boldi.phishing.huにハッシュ値を掲載。「仲間募集」
  • 2011/10 Stuxnetにとても似たマルウェアをみつけたことを、 CERT HungaryとSymantecとマカフィーに勤めるハンガリー人研究者とベリサインに送った。マルウェアが ~DQからはじまることからDuquと名づけた
  • 2011/10 Symantecの解析でDuquは情報を盗む機能しかもたず、感染後36日(期間は30日から120日まであることがその後の調査でわかっている)で自らを消去することがわかった。 データを外部におくる際にはJPG画像を装い、開くと"Interacting galaxy system NGC 6745”の画像が表示された。
  • 2011/10/18 SymantecがDuquに関するレポートを公開。CrySyS Labの名称は伏せられた。
  • 2011/10/20 Kasperskyが後に5つあるC2サーバのうちベトナムにあったものを解析したところ、この日から急いで感染PCの消去、サーバからのデータ消去を行っていた形跡が確認された。
  • 2011/10/21 Bencsathが CrySys Labのページに声明を掲載。Duquの発見者であることに言及する
  • 2011/10 Kasperskyの研究者がDuquの解析をはじめる

Duquの特徴

  • コードはOOC(object oriented C)で書かれていた. 自動で感染を広げる機能はなかった。通信はAESで暗号化されていた。JPG画像を装う点はDuquと同じ。AutoCADの図面ファイルを盗んでいることが確認された。
  • KasperskyとSymantecのデータを総合してもDuquの感染は世界で30-40台という規模であった。Stuxnetは10000台を超えていた。Symantecによると感染が見つかった国はイランに2台、フランス、インド、オランダ、スイス、スーダン、ベトナム、ウクライナに1台ずつ。Kasperskyによると感染はイランにいくつか、ヨーロッパに3台、スーダンに4台。その他のAVベンダーがオーストリア、インドネシア、イギリスでの感染を報告している。
  • TrueType Fontの脆弱性を攻撃していることがわかった。これは安定して利用するのが難しい脆弱性であり、また成功すると管理者権限を奪取できるという点でより深刻な脆弱性であった。インストールされる偽フォントの名前はDexter Regular, ファイル中に記載のコピーライトは2003とあった。TV番組Dexterが放送されたのは2006/10/1であり、Exploitの作成はそれ以降と考えられる。
  • ファイルのビルドは2008/2/21。スーダンで確認されたファイルはそれより更に以前の日付であった。
  • Stuxnetの作成にはRealtekやJMicronの秘密鍵を盗み出す必要があった。Duquがハンガリーの認証局で発見されたことから、同様の手口で企業ではなく認証局から秘密鍵を盗み出していたのではないかと考えられている。

全体像

  • Kasperskyは全部で6つのよく似た不審なドライバーファイルをみつけていた。ファイル名がチルダで始まることからTilded(チルダ付き)と総称されていた。
  • Tildedのうち2つはStuxnetで、1つはDuquで使用されているが残り3つは使途がわかっていない
  • 不明の3つのうちの1つ目はStuxnet騒動の最中にESETが発見したJMicronの署名付きドライバであった。これは暗号化のルーティンがStuxnetよりもより厳重であり、別の用途があったと考えられている。
  • 不明の3つのうちの2つ目は2008/1/20にコンパイルされ、やはり暗号化が厳重であった。
  • 不明の3つのうちの3つ目は2010/3/18にRealtekの秘密鍵を使って署名され、2011/5/17に中国のIPアドレスからVirusTotalにアップロードされた。Stuxnetと同じ暗号化手法、キー、同じ日付にコンパイルされていた。

FLAME

タイムライン

2011/12 イランの石油省、国立石油公社にてPCのハードディスクが破壊される現象が起きているという噂がたつ 2012/4 KasperskyがイランからWiperと彼らが名づけたソフトによって消去されたハードディスクを入手。ハードディスクの中身はゴミデータで上書きされていたが、レジストリ中に/TMPの ~DF78.tmpというファイルを参照していることが確認された。そこでKasperskyのデータベース中にある ~Dで始まる一時ファイルを検索した。

全体像

  • 20メガバイトをこえるファイルサイズ(Stuxnetは500キロバイト程度)
  • C2は80のドメイン名をつかい、ドイツ、オランダ、スイスなどに点在
  • 盗まれたファイルは暗号化されていて、中身は確認されていない。ただしMS Officeを使って作成された文書とAutoCADとデジタル証明書を検索することはわかっている
  • カスペルスキーによるとFlameの感染はイランに少なくとも189台、パレスチナ自治区に98台、スーダンとシリアに30ずつ確認された。後にシマンテックは他の国(オーストリア、ハンガリー、レバノン、ロシア、UAE、香港)での感染を確認した
  • 1000台以上のFlame感染コンピュータのうち36台以上はDuquにも感染しているものだった
  • 自動で感染を広げる機能がない ★- NSAのTURBINEとの関連が疑われている(ファイルの先頭1KBだけを流出する手口から)
  • FlameはMSのTerminal Service Licensing serviceが証明書のダイジェストアルゴリズムにmd5をつかっている点をつき、MD5コリジョンによる偽の証明書をつくり、Windows Updateをのっとった。 VirusTotalは未検知のファイルをベンダーに自動転送するシステムを持っている
  • Flameのニュースが公になる10日前にC2などを消去する行動が確認された。削除され忘れられてマレーシアに残っていたFlameのC2サーバの解析から、このC2はSP,SPE,FL,IPという4種のアプリケーション(プロトコル)との通信機能を持つことがわかった。FLはFlameである。SPEはこのC2にレバノン、イラン、フランスなどから通信しており存在することは間違いない。

Gauss

Stuxnet, Flame, Duqu, SP, SPE, IPとはまた違うマルウェア。構造は酷似
2500台に感染、1600台がレバノン、482台がイスラエル、261台がパレスチナ自治区、40台がアメリカ、1台がイラン。
FlameとDuquの開発プラットフォームを転用して、両者の長所を掛けあわせたのがStuxnetではないか。 Flameは米国が、Duqu(及びTilde-Dプラットフォーム)はイスラエルが作ったのではないかと研究者は考えた。

第一波

  • 2009/2 5400の遠心分離器をナタンズに設置。(2008年にAhmadinejadは目標台数を6000としていた)
  • 2009/6 IAEA報告書。ナタンズの遠心分離器設置数は7052機。うち4092機が濃縮作業を実施。現在のペースで作業が続けば12ヶ月以内に2つの各兵器の開発可能。  この見積はイランがIR-1を使用しているという前提であったが実際にはより効率のよいIR-2を利用開始していた
  • 2009/6/12 イラン大統領選挙。Ahmadinejadが大差で勝利
  • 2009/6/23 4:40 最初の感染がFoolad Technique社で発生する
  • 2009/6/29 23:20 テヘラン市内で大統領選挙への疑惑に起因するデモ続く中、StuxnetがBehpajoohにも感染。Behpajoohはエスファハンに本社があるエンジニアリング会社で、不正な調達に関わっていた。またエスファハンはIran's Nuclear Technology Centerがあり、ウラン鉱石を気化する施設などが存在し、核兵器開発の拠点とみられていた。BehpajoohはNatanzとの関わりを明らかにしていないが、WebサイトではシーメンスS7-400PLCを扱っていてStep7やWinCC,Profibusを使用したプロジェクトを紹介していた。
  • 2009/7/7 5:00 Neda Industrial Groupとログフィイル上にCGJとかかれた企業に感染。CGJはControl Gostar Jahadと目されている。NedaはBehpajooh同様に不正調達に関与していた。
  • 2009/7/20 NedaのBehroozをなのる人物がシーメンスのユーザフォーラムに投稿。「step7のDLLエラーが出続ける。USB経由のウイルス感染を疑っている」
  • 2009/8 濃縮を行っている遠心分離器は4592機。6月と比較して328機減少した
  • 2009/11 A26カスケードでのみ濃縮を実施。3936機が稼働。6月と比較して984機減った。 この頃のStuxnetは動作周波数の変更により、急速な回転と停止を繰り返し、遠心分離器を損耗させるものであった 1410Hzで15分、その三週間後に2Hzで15分。前者は遠心分離器の破壊、後者は分離器内にあるウランの質を落とすためと考えられている 実験では動作周波数を50-100Hz 落とすだけで生産量は半減する
  • 2010/1 設置8692機、稼働3772機におちこむ。問題がA26カスケードだけでなくA24,28カスケードに広がる
  • 2009/9 オバマが核不拡散サミット
Stuxnet v0.5 - 感染ベクターはStep7のプロジェクトファイル感染のみ
Stuxnet v1.0 - 感染ベクターにWindows Autorunを利用したUSBドライブ経由とローカルネットワーク共有上のプリンタサーバを使った感染が追加された - 2009/6に使用される。

Fordowのウラン濃縮施設

規模はNatanzより小さい。Qomから30kmほど離れた街Fordow(Fordo)で2002-2004年頃から準備が始められた。 オバマは2009年の大統領就任前ブリーフィングでこの施設について説明をうけていた。米情報機関は2007年にイラン革命防衛隊のトップが西側に寝返ったときから掴んでいた。 Natanzの施設はIAEAの監視対象であったが、Fordowはノーマークであった。
第2波 2009半ば 米国がイランに対して「ウランの高濃度濃縮をフランスもしくはロシアに依頼してはどうか」と提案
  • 2010/1/19 上記提案をイランが拒絶
  • 2010/1/25 攻撃者が2つのドライバーにRealtekなどの証明書を使ってコード署名
  • 2010/3/1 コンパイル
  • 2010/3/20 イラン歴元日(ノウルーズ,Nowruz)に大統領声明
  • 2010/3/24 Stuxnet第2波がリリースされる。
  • Foolad Technique社が最初の犠牲者
  • 2010/5/13 感染がBehpajoohに広がる。ゼロデイ脆弱性が複数使用された。第1波はコンパイルの12時間後に最初の感染がおこった。第2波は23日後に最初の感染。ここから第1波は内部コンピュータへのアクセス権をもつものがもちこんだと予想されている。2010年の攻撃がどのような直接的被害をNatanzの濃縮施設にあたえたのかはあまりわかっていない。当時A26ユニット内の6つのカスケードで984機の遠心分離器が濃縮を行っていたとされる。
  • 2010/6 イランがIAEAを非難。査察で得た情報をマスコミに漏洩しているとした。150名の査察官のうち2名を受け入れリストから削除。
  • 2010/7 ISISの報告書がNatanzで何らかの破壊活動の兆候があることを示唆
  • 2010/9 さらに2名の査察官を受け入れリストから削除
  • 2010/11 IAEAは査察報告書でそれまでユニット毎(A24,A25,A28)に設置されている、もしくは稼働している遠心分離器の数を公表していたが、3つのユニットの合計だけを記載するようになった。

Stuxnetはイランの核兵器開発を遅らせるという目的を果たしたのか?

  • 2003年にイスラエル高官は「手を打たねば2007年までにイラン核兵器生産に成功する」と発言した。2011年にモサド長官は2015年までイランが核兵器開発を行うことは不可能と立法府で証言した。
  • Barzashka(2013)はそれを否定。2009年5月と9月に濃縮プログラムの拡大を一時的に遅くしたが、それ以上の効果はなかったという見解を披露した。
  • Natanzが2009年以降驚異的な復活を遂げたことはIAEAの報告書などから読み取れる。 濃縮ウランの生産量は増加し、IR-2/IR-4という新型遠心分離器の導入もすすめられた
  • Stuxnetの影響は1)ウランガスの備蓄を減らした 2)遠心分離器の破壊、遠心分離器の材料の枯渇 を起こしたと考えられる
  • Stuxnetは奇襲であった。今後同様の攻撃を行った場合、相手方により短い期間で察知されることになる
なおイランでは同時期に以下のようなサイバー攻撃とは無関係の不審な事件が起きている
  • 2011/7 イランの物理学者Darioush Rezaeinejad(35)が暗殺される。起爆装置の開発への関与が疑われている。
  • 2011/11 長距離ミサイルテスト場で謎の爆発。30人以上が死亡。
  • 2011/11 Esfahanのウラン転換工場で謎の爆発。ウラン濃縮に利用される原材料が損傷
  • 2012/1 イランの化学者Mostafa Ahmadi Roshan(32)が暗殺される。肩書きはKala ElectronicのTrade Affair部門の副部門長。Natanzの運用や調達に関与。
  • 2012/8 QomからFordowにのびる電力網が爆破される。報道によると岩に見せかけた盗聴機であり、警備員が取り除こうとしたところ爆発。この事件についてイラン政府筋は同様のことはNatanzでも起きていたと発言。
南北戦争のリー将軍は"It is well that war is so terrible, otherwise we should grow too fond of it."と言った。サイバー戦争はコストが総合的に安いという点で、国家の外交による解決を妨げる可能性が高い。

サイバー攻撃の副作用

広島/長崎が核兵器の脅威を世界に見せつけたように、Stuxnetはサイバー攻撃の危険性を世界に知らしめた。 Stuxnet and the Bomb | Bulletin of the Atomic Scientists http://thebulletin.org/stuxnet-and-bomb
一方でサイバー攻撃が万能でないこともStuxnetの事例から明らかになってきた
  • サイバー攻撃の場合、攻撃を受けた側にマルウェアが残る。それは武器の設計図と実装をそのまま敵方に渡すことを意味し、反撃を招く。
  • サイバー空間に後方の概念はない。ネットワーク化が進んだ(先進の)国ほど失うものも大きい。

サイバー攻撃の長所と短所

サイバー攻撃の長所

  • 発信源を秘匿して攻撃
  • 人命を危険にさらさない
  • 即時性(ミリ秒で対象まで届く)
  • 応用性(攻撃の形態を自在に変えることが可能) ###サイバー攻撃の短所
  • 相手側の設定変更1つで無効になる
  • 無差別大量破壊はできない
  • 目標以外のものを破壊する可能性高さ(誤爆は自国に及ぶ可能性すらある)

サイバー攻撃発生の可能性

識者は以下のようなスタンスをとる。
Thomas Rid「サイバー兵器は既存の兵器の改善にはなるが、置き換えることは不可能」
Jim Lewis「今後数年米中露の軍隊のC2に対する攻撃が行われるであろう。一方で民間への攻撃はエスカレーションの危険性を鑑みて控えられるであろうと発言。一方でイランや北朝鮮はそのような配慮が期待できない。アフガニスタンにいるタリバン、ソマリアにいるAl-Shabaabがサイバー攻撃を行う可能性は否定できない。」

サイバー攻撃による被害の可能性

W.Earl Boebert (Sandia National Labo) 「長期にわたり効果が継続するようなサイバー攻撃を行うことは旅客機ハイジャックなどと比べて複雑な準備を必要とする。」 サイバー攻撃によって心理的な恐怖感を相手側に与えることは難しい
オペレーションに係る法的な問題の整理も平行して行われていたようである。
  • Gary Brown(Cyber Commandの法務アドバイザー)によればCyber RoEは2005年に第二版(Bravo)、2010年に第三版(Charlie)が作成された
  • 2012 米国防省が保有する全てのサイバー兵器を秘密文書にまとめたとされる
  • 2013 NATO加盟の各国の軍隊の法務アドバイザーがサイバードクトリンをまとめるのを支援する目的でタリンマニュアルがまとめられる。
  • 同じく2013 Stuxnet 0.5の存在が確認される

Stuxnetは本当にイランの核兵器開発を遅らせたのか?

論文 "Are Cyber-Weapons Effective? Ivanka Barzashka"を引用し、以下の通り論じている
StuxnetがNatanzのウラン濃縮施設を狙ったことはよく知られている。また特に米国・イスラエル関係者によってこの攻撃によりイランの核兵器開発が「2年」「18ヶ月から24ヶ月」「5年以上」遅らせられたという発言がされている。((逆にIAEAの査察官のように「Stuxnetの影響は限定的」という見方も存在する))
筆者は本論文においてIAEAの査察報告書に記載されるNatanzにおける遠心分離器の設置数・稼働数、濃縮性能について調べた結果、Stuxnetがイランの核兵器開発プロセスに与えた影響は軽微であると主張する。その上で、Stuxnetが多国間対話にもたらした負の影響を例示する。 全体としてStuxnetはイランの核兵器開発を遅らせることができなかったばかりでなく、外交安全保障対話の場においてイランを利する側面もあったとしている。

Mar 11, 2017

『サイバーセキュリティの専門家』


サイバーセキュリティの専門家という肩書で世間に認知される仕事をして、10年以上がたった。


これは楽しい仕事である。我ながらいい仕事を選んだなと思っている。


サイバーセキュリティにかぎらず専門家は特定の分野について偏った勉強をしているので、キャリアの早い段階で著作なりなんなりの成果が世間に出る傾向がある。珍重されて偉い人と触れ勉強させてもらう機会を得られる。

そして、特定の分野について詳しくなると他の分野への想像力が培われることがある。新聞を例にあげてみよう。
サイバーセキュリティに関して新聞記事がでたとする。その分野の専門家であれば記事の内容が出鱈目ではないが、100%正しいものでないことを見抜くことができる。裏にあったあの出来事、意味のあったディテールが紙面の都合で載らない。
自分がインタビューを受けることもある。前の日徹夜で作ったけど、数字の正確性に自信のない資料がそのまま新聞記事に載るなんてのを経験するとメディアに書かれることというのはこの世で起きている出来事をある一部分だけ切り取った脆く儚いものであることがわかる。かっこよく言うとメディアから得られる情報に対する価値づけが相対化される。
すると、他の分野の記事でも、きっとこれはこういうことなんじゃないか?と想像力が働くようになるのである。

最後に付け加えると何かの分野を極めてみたいということでこの世界にはいったわけだが、幸か不幸かサイバーセキュリティに対する社会的な関心がましている。サイバーセキュリティですと自己紹介したときのリアクションは一昔前は「え、なにそれ?」であった。(次点は「おすすめのセキュリティソフトってなんですか?」)
最近だと「いや、本当に大事な分野ですよね(しみじみ)」といわれることが多い。やってることはなにも変わっていないのにである。



というわけで、サイバーセキュリティの専門家という仕事に不満はないのである。



あるのは不安である。

一つ目は専門家とは甘やかされやすい立場にあるということである。
理由は色々ある。
まず専門家はマスを相手にする仕事が少ない。学会誌に論文がのっても発行部数は少なく、読むのは内輪の人である。異なる視点・立場からの反論を期待するべくもない。
横のつながりの名目のもとに、専門家ギルドのようなものが形成され、運がいいと、社会への影響を無視したディテールについての延々とした議論がおこなわれる。運が悪いと馴れ合いが目的になる。
専門家は板挟みになる経験がすくない。上司と部下との、理想論と現実の予算との板挟みになってきれいでなくとも現実的な解を得るということがゼネラリストに比べて圧倒的に少ない。現実解に縛られないのは専門家の役割であるからよいが、現実解に敬意をはらわない言いっぱなしはまずい。そしてそれを「大所高所からの意見」と勘違いしだしたら老害まっしぐらである。

二つ目は専門家は未来を予想できないということである。
専門家は自らの分野について過去の出来事に精通している。しかし未来を予測することは極めて困難である。これは私だけの問題ではない。2016年の米大統領選挙についてアメリカ政治の専門家たちがどう予想していただろうか? 金融アナリストの市況予想がどれだけあたるだろうか?

我が身を振り返っても特に新しい技術のテクノロジーが流行る流行らないなんて、むしろ予想が外れたもののほうが多い。PDF文書、Webメール 、SNS、LINE 僕はすべてニーズなど無いし、流行るはずがないと思った。それはまだいい、自分の専門分野なんてもっとわからないことだらけだ。
「2020年の東京オリンピックで大規模なサイバー攻撃の脅威が!」なんていうが、起きるのかわからない。起こるかもしれないのだから備えることは必要だという意見には同意する。一方で日本企業から盗み出されている知的財産の流出を止めるほうが長い目で見て必要なんじゃないかとも思う。

未来を予想できないのは当然のことで、この問題に専門家はいろんなアプローチをとってきた。
例えば「2020年の東京オリンピックで大規模なサイバー攻撃 はおきるのでしょうか?」と問われたとき・・・
・ 「必ず起きます。というか皆さんが知らないだけですでに起きています」あるいは「絶対に起きません」という答えを口にできるのが劇場型専門家である。メディアに珍重される。
・ 「大規模の定義にもよりますが、XXの条件がYYだったと仮定して起きるという蓋然性は高からずといったところでしょうか」と起きるとも起きないとも言わず、何言ってるのかよくわからないのがモゴモゴ系専門家である。無害さが、政府主催の諮問会議などで珍重される。
・ サイバーセキュリティは歴史が浅いが、「私が先頭にたって対策に当たった過去のオリンピックでは、、、(以下20分武勇伝続く)。最終的には守るという強い気持ちが大事」という往年の名プレーヤー型専門家も今後現れてくるに違いない。
・ 「リオオリンピックでは3億件のサイバー攻撃がありました。Tokyo2020でも同様の事がおきるでしょう」と答えるのは歴史家系専門家である。劇場型とモゴモゴ型の中間あたりに位置する。個人的に上記3つより良心的だと考えられるのが、しかしこれもどうだ?かっこいいのかなぁ。。。

まとめると、専門家であることを口実に、現在と過去から、オリュンポスの神々のごとく超然とし客観的な評価を下せると妙な自信を持つ専門家がいる。専門家なら3年先を見通せると期待する専門外の人がそれ以上に多くいる。
それぞれの自信と期待の乖離が今後どこかで爆発することが2つめの不安だ。


なんのオチもないが、現時点での私の結論はこうなる。
  • サイバーセキュリティ専門家の仕事は楽しい。まだまだ知らないことだらけなので謙虚に勉強を続けたい
  • 未来について、世間からの問いに答えるという仕事は専門家の重要な役割ではあるが、劇場型になるつもりもない私自身の役割は少ない
  • だから誰かの問いに答える専門家から、自ら問いを立てる専門家に変わっていく必要がある

オリンピックが終わったあとぐらいにこの記事を読み返そうと思う。

備考:
ここでいう専門家とは自分が世界で一番くわしいといえる何か特定の分野/能力を持っている人のことである。その分野/能力をたまたま居合わせた現場の経験を昇華することによって得るのが専門家であり、最初から前人未到の領域を探して突き詰めていくのが研究者と分けて考えている。

写真に意味はない




Mar 6, 2017

2月の光景

2017/02/02
午後、神谷町にあるオランダ大使館へ。大使館というと警備厳重というイメージだがオランダ大使館はのんびりとしていた。

2017/02/06
写真スタジオに行きプロに写真を取ってもらう。待合室にはいくつか子供向け絵本がおいてあった。白雪姫の話は絶妙な挿絵のおかげで、「最後は美人が勝つ」という身も蓋もないメッセージに思えてしかたない。



2017/02/07
夜電話会議。秋にアフリカで行うイベントの企画会議。候補はモーリシャスとタンザニアの2つだ。それぞれに話を聞いて、3月頭には決断するのが僕の役割。仕事がやりやすく、アクセスが良く、キレイなビーチもあるモーリシャス。対するタンザニアはあれこれ大変だけれど、同時期に他組織主催のイベントが予定されており、アフリカ各地から多くの参加者を集めたいという我々の目的に適っている。

2017/02/09
会社の歓送迎会。この組織も人が増えたなぁ。

2017/02/10
麻布十番で国際会議。あたりさわりのない発言に終始しがちな公式会議も時と場合と参加者のメンツによっては非常にエキサイティングな感じになる。不謹慎かもしれないが楽しかった。

2017/02/13
フラッシュボーイズ」図書館で邦訳を借りて呼んだがおもしろかった。
そもそも我々が通信をするときには100分の1秒単位の速度の違いは誤差だが、本書ではナノ秒(10億分の1秒)単位で通信速度を求める人々が描かれる。高速取引事業者と呼ばれる彼らはそのスピードを武器に、株式市場の売り注文と買い注文を先回りすることで利益を出す。これを可能にするのはアメリカに複数ある株式取引市場と投資銀行が抱えるプライベートな取引所「ダークプール」という複雑な構図である。
本書の後半では、高速取引を打ち破るためにIEXという「あえて遅延を発生させるダークプール」を立ち上げる主人公たちの物語である。何でもないコードを持ち出した従業員を企業秘密の漏洩として訴えたゴールドマン・サックスが、自らは高速取引の勝者とはなれないという打算のもとに、IEXでの取引量を増やすところで本書はおわる。
本書には描かれないが今でもIEXとその創業者ブラッド・カツヤマ氏は現役で、IEXは2016年に米証券取引委員会が認める証券取引所に出世したそうだ。

2017/02/14
夜結局合計3時間電話会議。決める内容の多さというより参加者の遅刻が目につく。

2017/02/15
自宅の一部で無線LANの接続がきれやすい。無線LAN中継器なるものを買ってみる。シグナルは強くなったが果たして効果あるのか?

2017/02/17
夜ニューヨークと電話会議。なかなか重い話が多く、気が滅入るので携帯をもって家の外を散歩しながら。

2017/02/18
最近行き帰りの通勤は本をよまずにAbemaTVで麻雀を見ていることが多い。RTDマンスリーリーグは解説含めて麻雀に集中できる工夫がいい。こうやってビジネスを成功させつつ、自分の極めたいことを追求できる藤田さんは真の成功者って感じがする。

2017/02/19
バレンタインデーです。

2017/02/21
タイの大学院生御一行を日本のIT企業にご案内。ゲーム開発の話を聞きたいという明確な目的があるのは良いが、アレンジはなかなか大変だった。受け入れ先企業の方のご厚意で有意義な半日。

この日は電話会議が合計7つあった。部屋に篭って、机の上にパソコン2台、携帯2台をおき常に臨戦態勢。遅刻の連絡、会議システムに入れない、PINがわからないなどの連絡が電話会議真っ最中にFacebook、Slack、メール、携帯電話、Skypeなどにバンバン入る。
この日の教訓: 会議と会議の間に10分でいいから時間をいれるべし。何もなければメモを残したりする時間に使える。

2017/02/23
遅めに出社、昼過ぎに成田へ。ホーチミン出張

2017/02/24
APRICOTの会期中に行われているSecurity Workshopの最終日を見学させてもらった。APRICOTでは2006年以来だろうか。いろんなところでAfriNICと無意識に比較してしまう。APRICOT/APNICよりもはやAIS/AfriNICのほうがもはや身近に感じる。
夕方に同僚とベトナムコーヒー屋で一服。日本は今プレミアムフライデーなんだってさ。

2017/02/25
APCERTの運営委員会。途中抜けだしてAPNICのイベント担当者と秋の台中で行われるAPNICとFIRSTとのイベント共催について議論。
APNICは色んな意味で雰囲気がのどかである。
夜は有志でローカルなレストランへディナーに行く。

2017/02/26
FIRST TCに参加。というか主催者の一人である。
会場外のテーブルで受付をしながら、昨日の打ち合わせの議事録作りと台中でのイベントの企画書づくり。Macbookだとタッチパッドで総ての作業が完結できるが、Let’s Noteだとマウスが欲しくなる。今回は出張にモバイルマウスを持ってきたが、この企画書づくりで大活躍だった。
別の同僚がプレゼンを無事終えたのを祝して夜は3人でディナー。
その後空港へ。あ、ホテルにダウンジャケット忘れた!

2017/02/27
朝6時、半袖ポロシャツで成田着。帰りの機内では爆睡していて、起きたら既にドアが空いていた。慌てて降機したら、機内にKindleと腕時計を忘れる。
脳が動いてない。出勤途中の皆さんの「あいつなぜ半袖?」という視線を感じつつ、やっとのことで帰宅。寒かった。
夜アフリカ関係者と電話会議。大分つまってきた。相変わらず取引先が全然時間通りに現れないのが気になる。こういうところで遅れる人は大事なところでも遅れるという経験あり。



路上でお坊さん風の人につかまり、<途中省略>、1000円とられる
冬晴れの空