なぜ従来型のセキュリティ対策が効かなくなってきたのか？ FFRI代表が解説

きっかけは大学院のワークステーションがハッキングされたこと

本日は、「社会に変革をもたらす新しいサイバーセキュリティへの挑戦」ということで、30分ほどお付き合いをいただければと思いますので、よろしくお願いいたします。

最初に自己紹介をさせていただければと思います。私はFFRIの代表で、IPAの非常勤研究員も務めております。

私がFFRIという会社を何のために作ったのかというところを、簡単にご説明をさせていただきます。

私は博士課程で画像工学を専門に研究していましたが、2足目のわらじで、サイバーセキュリティにも非常に興味を持っていました。

実は大学院で使っていたワークステーションがハッキングされたことをきっかけに調査をしているうちに、「ハッキングの技術とは、どういうものなのだろう？」と非常に興味を持ったのです。

今でこそサイバーセキュリティが大きな話題になっていますが当時、セキュリティの研究をしている人は日本でも本当に数えられるぐらいしかいませんでした。

就職をしたら、サイバーセキュリティの研究開発をやりたいという思いをずっと持っていましたが、当時はそういった会社は国内にはほとんどありませんでした。

日本ではサイバーセキュリティのコア技術に触れられなかった

そこでセキュリティの道を諦めて、コダックという会社にデジタルカメラの研究開発をやるために入社をしました。

それでもサイバーセキュリティの研究開発をやりたいという思いが捨てられずにいたところ、サイバーセキュリティの研究で個人的にやり取りをしていた、北米のeEye Digital Securityという会社からオファーをいただいて転職をしました。

2007年に帰国してFFRIを設立、2014年に上場

eEye Digital Securityでは、セキュリティに絡むコア技術研究開発にずっと従事をし、エンジニアとしてとても充実した4年半程の期間を過ごしました。

しかし、北米にいても、北米で生まれた技術が、日本に展開をされて、日本でのサイバーセキュリティを確保していくというモデルは全く変わりませんでした。

そこで、サイバーセキュリティ領域で研究開発を行う会社が日本にないと駄目だということをつくづく感じていて、2007年に日本に戻り、弊社FFRIを設立したというのが簡単な経緯です。その後2014年に東証マザーズに上場しております。

ネットバンキングの不正送金により、2014年だけで約30億円が盗まれている

大きく報道された日本年金機構をはじめ、大手企業や官公庁に絡む攻撃は、たくさん報道されていますが、一方で個人にも結構大きな被害が出ていて、例えばオンラインバンキングから多額の預貯金が盗まれていて、2014年だと年間で法人・個人合わせて約30億円の被害額になっています。

また個人を狙うようなウイルスでも、例えばランサムウェアというようなものが出てきていて、個人のファイルを勝手に暗号化して、その暗号を解除する鍵が欲しければお金を払えなどといった脅迫をするようなウイルスが出回ったりもしています。

既存のセキュリティ対策が役に立たなくなってきた

ウイルスも昔はそれほど数が出まわらなかったのですが、今は1日に10万種類以上のウイルスが出てきて、数が爆発的に多くなっています。

従来の技術は、そういったウイルスの数の爆発的増加によって破綻したり、攻撃の高度化・カジュアル化によって、対策が間に合わなくなってきています。

ウイルス作成ツールで誰でも簡単にウイルスを作れる時代に

しかし、今は多くの場合ウィルス作成ツールというものがあって、画面上でポチポチッと「機能」を選択するのです。例えばメールを盗み見るとか、音声を盗聴するとか、パソコンに付いているカメラから映像を盗撮するとか。

そして、「生成」って押すと、ボコッとウイルスができて、それを攻撃に活用するように非常にカジュアル化してきています。

また、ウイルスもインフルエンザと同じように、亜種というものを自動的に生成するような技術ができてしまって、大量にウイルスが発生したりとか、あるいは基本の仕組みをバイパスしたりといったような技術を、誰でも簡単に実装することができる世の中になってきています。

サイバー犯罪は巨大なアンダーグラウンドマーケットになっている

悪いことをしてお金を儲けるという人は昔からいますが、これはいわゆる反社会的勢力と呼ばれるような人たちも該当しますが、こういった人たちが、要するにサイバーを使って悪いことをしているということです。

サイバーを使うと結構簡単に、かつ安全に様々な手段でお金儲けができるということに気付き始めたということですね。

例えば攻撃についても、攻撃のツールやウイルスの開発ツールを作る人たち。実際に攻撃する人たち。そして、情報を窃取し、その得られた情報を売りさばく人たち。それを買う人たち…とマーケット化されているのです。

今はサイバー犯罪に関するアンダーグラウンドが、1つの市場のようなものを形成していて、これは一説によると、麻薬のマーケットより大きいというふうにも言われている、非常に巨大なマーケットに成長してきているというのが現状です。

こういった攻撃のモチベーションがあって、サイバー犯罪は非常に深刻になっています。

日本のセキュリティ製品の現状は

例えば他の業種に目を向けると、自動車や薬品といった分野であれば、日本でもある程度トップクラスのベンダーというのが存在をしていて、そこで研究開発をして、良質な製品が、日本国内で流通していますよね。

一方、サイバーセキュリティに至っては、こういった基礎技術をしっかりと研究開発して、その成果を日本国内の企業や個人に届けるという仕組みがほとんどなく、基本的には海外に依存しているという状況です。

これが、私がこの会社を設立する大きなもとになっています。

起業を考えた理由は2つあり、1つは本来であれば成功すると一番収益が上がる研究開発というところが、完全に海外に依存してしまっていて、日本はただの営業拠点になっているという点。

加えて、日本独自の脅威など、日本がグローバルで最初に脅威にさらされたときには、日本の市場規模を理由に、その対策がどうしても後回しにされてしまうという点。

こういったことから、日本ではサイバー攻撃に対して、本質的に自国で問題解決ができないという状況でした。この状況を何とかしないといけないということで、弊社を設立したというところでございます。

日本の様々なサイバーセキュリティに関するリスクに本質的に対処をしていくためには、やはり日本国内で、しっかりと脅威を分析・予測して、研究開発をしていくという必要があるのです。

私も北米でずっとエンジニアとして従事していて「こういった会社が日本にあるといいな」とはずっと思っていましたが、なかなかできなかったということもあり、もう自分がやるしかないということでFFRIを設立いたしました。

「FFR yarai」と「Mr.F」という2つの製品を開発

遅くなりましたが、弊社の会社概要をご説明したいと思います。弊社は2007年に設立をした会社でございまして、今9期目となっております。

事業内容は、サイバーセキュリティの研究開発に特化をしている会社です。

日本でもいろいろなセキュリティベンダーさんがいらっしゃいますが、基本的には競合しているわけではなく、ほぼ協業をしており、技術で競合とされるのは北米のベンダーさんになっています。

こういった研究開発をしっかり行い、最近起きているような標的型攻撃など既存の対策でほとんど防げなくなっている新しい脅威を防御するということに特化をし、様々な研究開発を行っております。

社名の由来は「誰もできない大技」から

続いて社名の由来ですが、このFFRIという社名はFourteenforty Research Instituteの略です。Fourteenforty、1440度なのですが、これは、セキュリティとは特に関係なく、スノーボードの技の名前でして、ジャンプして4回転する技です。

360×4で1440という技で、会社を設立した当時は、この4回転ができる人は世の中に誰もおらず、まさに人間ではできないとずっと言われていた技で、なかなか人間では到達できない、未踏の領域であると言われていました。

私どもはそういった意味で、技術によって未踏の領域に到達をしたいという思いで、Fourteenfortyという文字を、このFFRIという社名に込めています。

技術でセキュリティの様々な課題をしっかり解決していきたいという思いでこの会社を作りました。

技術の力で、人海戦術から脱却する

弊社は研究開発の会社ですが、サイバーセキュリティが非常に深刻化する中で、よくセキュリティ人材が足りないという話題が聞かれます。

これからサイバーセキュリティ業界は、非常に苦しい領域に入っていくかと思います。人海戦術でずっと対応していくというのは、限界があります。

例えば、これまで1,000人かかっていた課題があったら、それを研究開発の力で1人でできるようにする。あるいは、人が何人かかってもできないようなものを、研究開発の力でできるようにする。

そういった形で、研究開発を、創業当初から自社で一貫して行っております。

パターンファイルが存在しない、未知のウイルスの登場

パターンファイルを用いてウイルス対策をしていた、というのが従来の脅威の対策ですが、旧来の対策が、ほとんど役に立たなくなってきたというお話をさせていただいていますが、これはなぜかというと、例えば標的型攻撃（日本年金機構や、ソニーピクチャーズを狙ったものが、非常に話題になりましたね）では、その標的専用に開発されたウイルスを使って、特定のターゲットのみを攻撃しているからです。

これによってウイルス対策ソフトを作っているベンダーさんが、このウイルスの検体、サンプルを入手できずに、パターンファイルが作成できないといった状況が続いているのです。

そして一般の人たちを狙うようなウイルスも、先ほどお話をしたようなウイルス作成ツールによって、短期間に大量に作成されるようになったり、あるいは、攻撃発生から実際に被害が出るまでのタイムラグがどんどん短くなったりして、パターンファイルが配信される前に感染させられてしまう、といった状況がずっと続いているのです。

従来のウイルス対策では、標的型攻撃の検知率は0パーセントに近い

続いて標的型攻撃についてお話します。

この標的型攻撃というものが発生し始めて、もう10年以上になります。要素技術は発展してきているのですが、プロセス自体は昔からあまり変わっていません。

標的とする組織に対して、メールを送信し、そのメールに、添付ファイルや、リンクなどを置いて、そのリンクや添付ファイルを開くことを誘発する文章を送ります。

例えば上司や取引先を装ってメールを投げて、添付ファイルを開かせるのです。そして、それによってPCがウイルスに感染し、遠隔操作をされて、企業情報を盗んでいくといった攻撃です。

日本でも2011年頃から防衛産業の企業が標的型攻撃にあってから、メディアでも結構取り上げられるようになりました。

こういった攻撃に対しては、従来のウイルス対策ソフトはほとんど役に立たなくなっていて、標的型攻撃のウイルス検知率は、0パーセントに近くなっている状況です。

ウイルス対策ソフトを買ってきて入れても、標的型攻撃にはほぼ何の意味もない。

多くの方のPCにはもうすでに入っているかと思いますが、こういったものでは、基本的にほとんど防げないのが現状です。

日本年金機構の事件のときも、ウイルス対策ソフトは入っていて、ただウイルス対策ソフトのベンダーさんも「こういった新しい脅威は、ウイルス対策ソフトでは防げません」といったことを発表していたり、一部の大手ウィルス対策ソフトベンダーさんでは、「パターン型のウイルス対策ソフトは死んだ」といったような発言をメディアでしていたりしています。

従来の対策では、指名手配写真がないと新しいウイルスは捕まえられない

これは例えて言うなら、ウイルスの指名手配写真集のような技術なのですが、指名手配写真集に載っていないと新しいウイルスは捕まえられません。

標的型攻撃では、特定の組織・企業に対して、専用にカスタマイズされたウイルスが使われるので、基本的に指名手配写真集には載っていませんから、捕まえることができないのです。

また大量にウイルスが発生した場合は、結局集めきれなくなって、指名手配写真集に載らないということもあります。

その結果、普通のウイルスでも、検知率がどんどん下がっていて、多くても半分、場合よっては2割ほどの検知率に今はなってしまっているという状況です。

未知のウイルスに効果的なのが「プログレッシブ・ヒューリスティック」

これが弊社のコアになっている技術で、パターンマッチングのように1つ1つウィルスの指名手配写真を確認するという技術ではなくて、例えば泥棒を捕まえる場合は、泥棒特有の動き、家の前をウロウロしているとか、鍵を開けようとしているとか、こういった怪しい振る舞いを捉えて、ウイルスかどうかを判定する技術です。

これによって未知のものでも検知ができますし、パターンマッチングでは、指名手配写真を毎日大量にダウンロードすると、パソコンが重くなったりしますが、そういったことも心配ないということで、非常にメリットがあります。

この技術は、開発が非常に難しく、ウイルスに実装されている細かな悪意のある技術であったり、将来的に発生するウイルスで使われそうな攻撃の技術などといったものをきちんと理解する必要がありますので、攻撃の技術にかなり精通する必要があります。

そのため、完全にヒューリスティックだけで高い検知率を出すというのは、技術的には非常に難しいです。ここが弊社の競争優位性になっているところでございます。

「FFR yarai」と「Mr.F（FFRI プロアクティブ セキュリティ）」はヒューリスティックに特化

これはまさに既存のパターンマッチングで対応できない脅威から守るという非常に新しいコンセプトの製品です。

実際にこの「FFR yarai」あるいは「Mr.F」が、どのぐらい検知できているのかが、非常に重要なところだと思います。「FFR yarai」は2009年にリリースをされ、それ以降に発生した、メディアで報道されているような主要な標的型攻撃で使われたウイルスのサンプルを入手して、「FFR yarai」が入っていたら検知防御できたのかというテストを、毎回行ってWebで公表しています。

この取り組みを行なっているのは弊社ぐらいですが、今のところ、例えばソニーピクチャーズや日本年金機構など、そういった大きな事件も含めて、実は「FFR yarai」が入っていたら、全て検知防御できていたという実績があります。

今後もしっかり検知防御できるように、さらに研究体制を厚くしていく予定でございます。

未知の脅威にプログレッシブ・ヒューリスティック技術で対抗していく

こういったものはパターンマッチング型のウイルス対策ソフトでは、ほとんど検知ができません。

最後に、まとめさせていただきますと、既知の脅威への対策をベースとした従来のパターンマッチング型での対策では、新しい脅威からは守れないということがまず前提です。

標的型攻撃を含め、最近の新しい脅威についてはパターンマッチングに頼らない、新しい技術“振る舞い検知／プログレッシブ・ヒューリスティック”という技術で対抗していく必要があるというところで、まとめとさせていただきたいと思います。

本日はお忙しい中、どうもありがとうございました。