軽い動作と高いセキュリティ機能で人気がある、「ESET インターネット セキュリティ」。この国内販売総代理店を務めているのがキヤノンマーケティングジャパンだが、実は、単純にソフトの販売をしているだけではない。専門のセキュリティ部門となる「サイバーセキュリティラボ」を擁し、日々、サイバー攻撃やマルウェアの研究、解析、調査などを行っているのだ。
「ラボ」と聞くと、白衣を着た人たちが何やらよくわからない実験をしている……というような漠然としたイメージを抱きがちだが、実際、どういった組織なのだろうか。今回、サイバーセキュリティラボ所属の方々と直接お会いする機会が得られたので、所属する人達や活動内容について、詳しくうかがった。
「サイバーセキュリティラボ」は2017年に設立された新しい組織
ESET製品を日本国内で販売開始したのは2003年。当初は、日本向けESET製品の検証・開発を行う検証開発グループだった。2016年頃から、マルウェアの正誤判定、挙動情報やセキュリティ情報の発信などを専門に扱う「マルウェアラボ」が2017年に設立された。
昨年より名称を「サイバーセキュリティラボ」へ変更し、マルウェア解析だけではなくサイバー攻撃や脆弱性の調査なども行っている。
こういった背景について話してくれたのが、ラボ全体のとりまとめを行っている長谷川氏だ。
長谷川「サイバーセキュリティラボは、サイバーセキュリティの脅威を解析・研究し、分りやすく情報発信することで、ITを誰もが安心して使える世界を作るというミッションを持って活動しています。ラボ内には大きく2つのグループがあり、ひとつがマルウェアの解析や調査、研究を行う“解析グループ”。もうひとつが、セキュリティ情報の発信や啓蒙活動を行っている“情報発信グループ”です」
具体的な活動内容として、解析グループではマルウェアの挙動解析、サイバー攻撃に使われる脆弱性調査、解析手法の調査や研究、学会での論文発表といったものがメインとなる。
また、情報発信グループでは同社のオウンドメディアである「マルウェア情報局」でESET社やラボで調査したセキュリティ情報の発信、JISA(情報サービス産業協会)やJNSA(日本ネットワークセキュリティ協会)といった国内セキュリティ団体での活動などを行っているという。
企業内のラボというと、自社向けの研究のみ行っているという印象があるが、サイバーセキュリティラボでは対外的な活動、情報発信にも力を入れているとのこと。また、若いメンバーも多いため、人材育成にも積極的に力をいれている。
例えば、「Black Hat」や「DEF CON」といった世界最大級のセキュリティカンファレンスへの参加、ESET社との情報・人材交流、短期の海外留学、大学との共同研究などが積極的に行われている。今年は新型コロナウイルス流行のため思うように活動ができていないとのことだが、それでも、10月に予定されているコンピュータセキュリティシンポジウム2020(CSS2020)には実行委員として、ラボのメンバーが参加する予定だ。
長谷川「組織としては、トップダウンで方針を決めて活動を指示するのではなく、個々が自由な発想で自立して活動していることの方が多いです。例えばマルウェアの調査についても、依頼がなければ何もしないというわけではなく、普段の情報収集から興味をもったもの、お客様に伝えた方がいいなと思うものを自主的に調査しているということが多いですね」
この調査内容も個人で完結するのではなく、メンバー内で共有、ブラッシュアップしていくことが多いそうだ。また、困っていることにはアドバイスがあったり、忙しければお互い助け合うということが自然に行われているという。活動としては個人が多いものの、横のつながりも強いという点から、大学の研究室のような雰囲気を感じられた。
情報発信は「マルウェア情報局」だけじゃない!
外部団体などでも広く活動中
外部団体との連携はそれぞれ担当があり、その中で、JNSA(日本ネットワークセキュリティ協会)を担当しているのが、情報発信グループの西浦氏だ。
西浦「JNSAの活動では、複数のワーキンググループに、リーダーやメンバーとして参加しています。今は在宅勤務が多くなりましたが、以前はセミナーでの発表、JNSAに参加などで外に出ていることが多く、イベントが重なる時期は、会社には週の半分、ピーク時だと週に1日来るくらい、だったこともあります」
普段の業務は、セキュリティ情報をわかりやすく伝えること。流行っているもの、話題になっているものをテーマにすることが多く、どんな挙動なのか、どんな脅威があるのか、広く情報を集め、これはというものは解析チームに調査してもらい、マルウェア情報局やカンファレンス、セミナーを通じて広く発信している。
西浦「この仕事の魅力は、次々と新しい脅威が登場するので、課題や考える対象が尽きないという点でしょうか。セキュリティにはその時点での最適解があっても(恒久的な)正解はないので、コストパフォーマンスや条件、状況を考慮して、何が最適なのかを常に考えなければいけないというのが、面白い部分だと思います」
セキュリティを高めるにあたり、単純に機密性重視でガチガチにかためてしまうと、使いにくくなってしまうことも多く、誰も利用しなくなってしまう。いくらセキュリティが高くても、誰も使わないのであれば意味がない。
運用も含めてどうバランスをとるのか、そこまで考えた現実的な最適解を見つけるところに、やりがいが感じられるのだろう。
西浦「逆にキツイと感じるのが、次々と新しいことが起こるため、常に知識のアップデートをしていかなければならないところです。長期休暇で1週間ほど仕事から離れていると、戻ってきた時には状況が全く違う……ということも珍しくありません」
こんなときは、とりあえずその1週間で何が起こったのか、順を追って調べていくしかないとのこと。常に新しいことを調べるのが好きな人でなければ、なかなか続けられない仕事だ。
マルウェアとの知恵比べ?様々な解析妨害をクリアして動作を解析
解析グループで行う調査には大きく3つの種類がある。
ひとつは「マルウェア解析サービス」として提供している調査で、ESET製品で検知されたマルウェアの挙動解析、持ち込まれた検体の調査などがこれにあたる。
2つめは、情報発信グループからの依頼や、レポートを出したほうがいいような事例があった場合に行う調査。これはセミナーなどでの発表はもちろん、マルウェア情報局でのレポート、客先への情報提供などで活用されるものだ。
3つめは、研究目的。主に、論文の執筆に必要となる情報を集めるために行われる。
実際の調査・解析方法について話してくれたのが、解析グループに所属する原田氏だ。
解析は、「表層解析」「動的解析」「静的解析」の3段階で行われる。
表層解析は、ファイル名やファイルタイプなどから、インターネットの情報や過去の解析データと照らして、どういった動きをするマルウェアなのかというあたりをつけるもの。慣れてくれば、数時間程度で大まかな部分は調べ終わる。
続く動的解析では、実際にマルウェアを実行し、挙動を確認。ログ収集ソフトを使って、何をしているのかを解き明かしていく段階となる。この解析は、マルウェアの種類や解析の目的にもよるが、数日程度かかるとのこと。なお、最近はこの動的解析まで自動で行うツールがあり、比較的短時間で解析が終わる場合もある。
最後の静的解析は、マルウェアをリバースエンジニアリングして、プログラムのコードを見ていくもの。動的解析の結果から、さらに詳細を調べるときに行われる。最も時間がかかるのがこの静的解析で、1週間で終わるものもあれば、1ヵ月かかるものもあるといったように、対象によって大きく変わる。詳細を知りたい部分が数多くあれば、それだけ時間がかかるからだ。
しかし、マルウェアの解析が素直に終わることはまずない。
原田「マルウェアの中には解析させないために、妨害してくるものがあります。この解析妨害がふんだんに取り入れられていると、なかなか骨のある奴だなと思いますね。こうなると、マルウェアの動作解析の前に、まず妨害の内容を調べる必要が出てきます」
動かすたびに通信先のC&Cサーバー(感染端末に命令を出すサーバー)のIPアドレスが変わる、解析ツールが起動していることを検知したら動作が止まる、解析ツールそのものを落としにかかる、PCの電源を落とす、仮想環境では動かないなど、その内容は多岐にわたる。例えば仮想環境だと判断する方法も、ストレージの名前や容量だったり、MACアドレス、特定のサーバーと接続できるかなど多数あるため、これらをひとつずつ確認していくという地道な作業が必要だ。
なお、解析妨害のほとんどを回避し、ようやくマルウェアの動作解析ができるとなったらC&Cサーバーが止まり、それ以降何もできなくなるといったことも珍しくないそうだ。
そんな苦労も多い解析グループの仕事だが、そこがまた魅力だという。
原田「例えば怪しいメールが届いたときに、マルウェアが送られてきたと判断して削除して終わりというのが普通でしょう。でも、これがどういう挙動をするのか、どんな影響があるのかといったのを知りたいという好奇心があるので、そこを自分の力で解決できるというのが魅力だと思います」
また、ESET社から提供されたセキュリティの統計データを元に、日本向けのレポート作成を行うのも解析グループの仕事だ。このレポートでは単純な検出数の推移だけでなく、検出されたマルウェアの感染経路といった解説まで行われている。セキュリティ情報を押さえておきたい人であれば、必見ともいえる内容だ。
まだまだ修行中で、ようやく静的解析を学び始めた段階だという原田氏。マルウェアそのものに興味を持って取り組んでいるだけに、今後の成長に期待大だ。
社員や清掃員でも入れないほど厳重に管理された解析用の部屋がある
サイバーセキュリティラボの設備は通常のオフィスとそれほど変わらないものの、マルウェアの感染や情報の漏洩などが発生しないよう、解析用の部屋が用意されているという大きな違いがある。この部屋に入れるのは解析グループの人に限られているほか、ネットワークも分離されているという。PCも解析用のものが専用に用意されており、普段の論文・レポート作成や社内ネットワークに接続するものとは物理的に分けられているなど、管理が徹底されている。
直接解析用の部屋を見学することはできなかったのだが、話のところどころでキーワード的なものが出てきたので、そのいくつかを紹介しよう。
「マルウェアは兵器扱い」
サイバー攻撃に使えるようなマルウェアがあるため、管理は厳重に行わなければならない。もちろん、解析中のマルウェアの漏洩や、第三者のコンピューターへのマルウェア感染などは絶対にあってはならないことだ。そのため、物理的にもネットワーク的にも分離した場所で保管、解析が行われている。ちなみに、マルウェア解析サービスとして解析依頼されたものも、レポート提出後は一定期間保管した後、廃棄しているそうだ。
「1人3台くらいディスプレーがある」
一度に多数の情報が確認できれば、それだけ効率よく解析が進められるため、解析用のPCには、27インチのディスプレーが2、3台接続されているとのこと。小さなディスプレー1台、もしくは、ノートPCで仕事をしている人にとって、かなりうらやましい環境といえる。ちなみに、このディスプレーがデスクパーティション替わりにもなっているというのが面白い。
「掃除機がある」
解析用の部屋は、入室管理が行われているため、社員でも勝手に立ち入ることが許可されていない。もちろん、清掃員も入れないので、自分たちで掃除をしているとのこと。そのために、解析室専用の掃除機が置いてある。
ESET製品の新機能は、サイバーセキュリティラボでもしっかり検証
ここまで、主にサイバーセキュリティラボの活動、そして組織について紹介してきたが、もちろん、ESET社との関わりも深い。
セキュリティ情報として発信している「マルウェア情報局」ではESET社から提供されたデータが使われているし、人材交流も盛んだ。実際、原田氏はESET社のラボでマルウェア解析のトレーニングを行い、解析手法などを学んできている。
また、重要なのがESET製品への新機能搭載時の検証だ。通常のバージョンアップであれば、ESET製品の検証部隊で確認が行えるのだが、高度なマルウェアの専門的な知識が必要となる検証が必要な場合、製品検証にも協力している。こういった検証を日本語環境で行ってくれるため、海外ソフトでありがちな「日本語環境で動かない」という問題が起こりにくいわけだ。もちろん、ESET製品以外のキヤノンMJ取り扱いのセキュリティ製品の検証にも協力している。
こういった細かな部分で、しっかりとESET製品を支えてくれる組織があるというのが心強い。トラブルを減らすためのセキュリティソフトでトラブルが起こってしまうのは、本末転倒。それだけに、新機能も確実に動作するESET製品は、安心して使えるセキュリティソフトといえるだろう。
(提供:キヤノンマーケティングジャパン)
週刊アスキーの最新情報を購読しよう