2017年10月26日、マカフィー株式会社は2018年版の個人向けセキュリティ製品を発表した。同社のオンラインストアおよび量販店にて、11月30日（木）から販売が開始される。総合セキュリティ対策製品「マカフィー リブセーフ」では、クラウドベースの機械学習に対応した「リアルプロテクト」機能がさらに強化された。

　そのリリースを前に、米国マカフィー（McAfee LLC）のチーフコンシューマ セキュリティ エヴァンジェリストであるギャリー・デイビス氏に、最新のセキュリティ動向を中心にさまざまなお話を伺った。聞き手はテレビでお馴染みのITジャーナリスト 三上洋氏。

IoTデバイスを狙う脅威に注目

三上　まずは、この1年ほどで、英語圏で起きた特徴的なセキュリティ事象を教えてください。というのも、日本では英語圏から1年～2年遅れて同様の事象が発生することが多いので、参考にしたいと考えています。

デイビス　じつは、2018年2月に開催されるMobile World Congressに向けてIoTデバイスを10台ほど入手しました。弊社のチーフサイエンティストにそれらを渡し、脆弱性をチェックしてもらうことになっています。

三上　何か気になることが？

デイビス　2015年にHP社がIoTホームセキュリティデバイス10機種のセキュリティを調査しました。すると、すべてのデバイスに25もの脆弱性が認められたというのです。我々も同様の調査を進め、Mobile World Congressで公表しようと考えています。

三上　つまりIoTデバイスにセキュリティ問題が多いと。

デイビス　ここ数年で最もよく知られているIoTの脅威は「Mirai」でしょう。それが目的を変え、作り替えられています。大規模DDoS攻撃だけでなく、ビットコインマイニングやSQLインジェクションといった行為が、Mirai亜種のボットネットによって可能になっているのです。

　また最近では、「Reaper」というMiraiを強化したようなボットネットが登場しています。ReaperとMiraiの大きな違いは、Miraiがネット上のIoTデバイスをスキャンしてそのユーザー名やパスワードを特定するのに対し、ReaperはIoTの既知の脆弱性を見つけ出してそこにマルウェアを埋め込んでいきます。

　2016年、弊社のラボの研究者の1人が、市販されているデジタルビデオレコーダーを購入して、箱から出したままの状態でネットワークに接続するというテストを実施したところ、わずか64秒で乗っ取られる、ということがありました。つまり、IDやパスワードがデフォルトの状態では、これほどまでに速くマルウェアが侵入するのです。

　また、7月に開催されたBlack Hat USA 2017でも、興味深いデモを見る機会がありました。ネットワークに接続されたIoT洗車場システムのデモです。IoT洗車機にセキュリティがまったく施されていなかったために、システムを容易に乗っ取ることが可能だったのです。デモでは、洗車機の入り口のシャッタードアがクルマのボンネットの上に降りてきて攻撃する様子が示されました。

　デジタルビデオレコーダーの実験、そしてIoT洗車機の衝撃的な映像を見て、私はIoTデバイスのセキュリティが深刻な事態にあると感じ、チームに話して特に家庭向けデバイスについての調査を実行するように指示したのです。

　来年のMobile World Congressでは、マカフィーとしては「IoT暖炉」のようなサンプルを用意できるかと思っています。たとえばそれが攻撃を受け、燃焼の制御を乗っ取られたら家が燃えるような事態になりますからね。

IoTでの脅威の「恐ろしさ」には個人差がある

三上　IoTでの脅威は、DDoSのような攻撃の「足場」にされることのほか、今のお話のような「乗っ取り」、それから「プライバシーの侵害」というパターンがあると思います。どれが最も恐ろしいとお考えですか？

デイビス　全部ですよ（笑）　たとえば自分がいち消費者だとしたら、自分の持っているIoTデバイスがDDoS攻撃に使われたとしても、自分の生活に影響はほとんど及びませんよね？　そのときの心配の度合い、自分へのダメージはそれほど大きくはないでしょう。しかし朝起きたとき、自分の個人情報やデバイス情報がすべて流出してしたとしたら、これは大事だと考えるのではないでしょうか？

　要は、所有しているIoTデバイスを悪用された個人が何を重要視しているかによるでしょう。自分の情報流出が恐ろしいか、自分が悪事に荷担してしまうのが恐ろしいかというのは人によると思います。

　2016年にある調査がありました。日本が対象かどうかは不明ですが、「個人情報と引き換えに割引クーポンを得られるとしたらどうします？」という質問を広いユーザーに問いかけました。その結果、驚くことに若者のほうがクーポンを得るため個人情報を提供することに抵抗がなかったのです。逆に年齢層が高くなると、得をしなくてもプライバシーを維持したいという人が多かったです。

三上　先日、Google Home Miniが、周囲の音を勝手に録音し、そのデータがGoogleに送信されていたというニュースが話題になりました。

デイビス　その件は聞いています。何度か質問され、オフィシャルブログにも書かないかと言われていたのですが……Googleはやるべきことではないことをやってしまったな、と思っています。あくまで個人的な意見ですが、Googleは個人情報収集に関してのガイドラインを明確にして公開していることを評価していました。

　興味深く思っているのは、GoogleとAppleの違いです。Googleは製品やサービスを通じて、ユーザーのデータを収集して利用する、ということを明示しています。対してAppleは、できる限りユーザーの情報は集めない、と宣言してプライバシーを守る主義を貫いています。しかしGoogle Home Miniの件は、情報収集によって何かしら儲けたいという意図が見えなくもないですね。

三上　英語圏の人々はGoogleの情報の集め方に抵抗感はないのでしょうか？

デイビス　ないと思います。事前に「こういう情報を集め、皆さんの振る舞いを見てそれを商売にする」と宣言されているからです。

　以前「ISPが情報収集するのとGoogleが情報収集するのにどんな違いがある？」という議論が巻き起こったことがあります。ISPの場合はユーザーがお金を払っているので、それを利用して情報収集するのは許せない、と。しかしGoogleの場合は情報収集したデータを使うことで商売が成立している会社ですし、事前にしっかり予告しているので構わない。しかも、そのためにさまざまなサービスを無料で使えるのだし……という考えが大勢を占めたのです。

三上　スマートスピーカーがとても人気ですが、それによる個人情報流出の危険性についてはどう思いますか？

デイビス　個人的には心配ないと思っています。なぜなら、それらのデバイスは十分セキュアにできていると思っているからです。不正アクセスも容易ではないでしょう。もちろん、ある程度の情報はクラウドやサーバーに送られているとは思いますが、それはユーザーエクスペリエンスのようなわずかな情報ではないかと。

　課題があるといえば、たとえばAmazonの「Alexa」を使って買い物したとき、その履歴が残ってしまうことでしょうか。何を買ったかを知られたくないという人は問題になるかもしれませんね。もっとも、個人的にはスピーカーで音楽を聴くぐらいでそれほど活用はしないと思います（笑）

三上　IoTをめぐるセキュリティはどうあるべきなのでしょう？　OSも違う、製品も違う、メーカーも違う……そういった状態で、我々はどうやって身を守ればいいのでしょうか？

デイビス　米マカフィーは2017年の新製品として「McAfee Secure Home Platform（マカフィー セキュア ホーム プラットフォーム）」の提供を開始しています。これはホームゲートウェイルーターに搭載される製品です。IoTデバイスもPCもスマートフォンも、家の中で利用するデバイスはすべてホームゲートウェイルーターを介して通信しますよね？　そのルーター上で通信が悪質か否かを判断します。

三上　「McAfee Secure Home Platform」はホームゲートウェイルーターにハードウェアを接続するタイプの製品ですか？

デイビス　いえ、ホームゲートウェイルーターのベンダーと協力し、その製品内部にこの機能を搭載します。日本での発売も準備中です。

悪意のある者たちの“心変わり”が脅威の連鎖を生んでいる

三上　ではIoTに並ぶようなトレンドはありますか？

デイビス　やはりモバイルデバイスのセキュリティですね。私は昨日、飛行機で日本へ到着したのですが、到着してからメールを確認したところランサムウェア「Bad Rabbit」についてのメールが30通も届いていました。Bad Rabbitは「Petya」の亜種ですが、大きなセキュリティの事象として今後も問題になると認識しています。

　2014年に「Heartbleed」の問題が起こり、それ以降「WannaCry」「Petya」の問題が発生したあと、「Equifax（米国で発生した大規模情報漏洩事件）」、「KRACK（Wi-FiのWPA2の暗号鍵における脆弱性問題）」などが発生しています。特筆すべきは、個人ユーザーに直接関係するような大きな事件は3年前を最後に鳴りを潜めていたはずが、突如ここ4ヵ月間でセキュリティインシデントが立て続けに発生したことです。これは看過しがたいものがあるでしょう。

三上　なぜこんなに一気に問題が発生したのでしょうか？

デイビス　理由はいくつかあると思うのですが……その1つは「WannaCry」が現れたことで、悪意ある者たちのプレイブック（編注：「定石」のような意味）そのものが書き換えられたのだと思っています。従来の攻撃は、特定の相手に狙いを定めるものだったのですが、現在は広範囲に攻撃して「どうなるかを見てみよう」という動きになっているのでは。

　もう1つは「成功経験」だと思います。一度こういったインシデントを起こすことに成功しすると、さらなる成功を求めるようになります。ソニー・ピクチャーズ・エンタテインメント、Netflix、ディズニーなどなど、有名企業のインシデント事件が公になると、悪意のある者たちはそのニュースに刺激を受けてさらに活動を活発化させる傾向にあります。

三上　成功経験と言えば、WannaCryはビットコインの口座を見るとそれほど儲けていないと思うのですが、あれは「成功」だったのでしょうか？

デイビス　WannaCryは金銭的に成功したとは言えませんが、宣伝効果という意味では成功したのではないでしょうか。

三上　それは誰の宣伝になるのでしょう？

デイビス　Microsoftやほかのセキュリティ対策製品メーカー数社がWannaCryの作者を特定して某国ではないかと指摘していますね。しかしその国家は認めてもいませんが否定もしていません。コードをみるとその可能性は高そうですが。ただ、その国家にとっては金銭的なメリットがあるのと同時に、悪名を知らしめるという宣伝効果があるのでは、と考えます。

モバイルを狙う脅威に予断は許されない

三上　今後もコンシューマー向けの大規模な事件は起きそうですか？

デイビス　予想は難しいですが、今後はモバイルデバイスを標的とした脅威が増えてくるのではと思っています。しかもどんどん厳しい状況になるのではと思います。なぜかといえば、モバイルユーザーはセキュリティをしっかり施していないケースが多いからです。それはメーカーにも言えることです。

三上　モバイルで言うと、Androidの古い端末はOSのアップデートすらできない状況にあると思うのですが……これはどうしたらいいでしょう？

デイビス　捨てるしかないかもしれません。セキュリティ対策製品をインストールし、アプリの更新をする必要があるでしょう。しかしOSレベルの脆弱性となると、わたしにもどうしたらいいかわかりませんね。

三上　モバイルの脅威というのは「アプリの脅威」や「OSの脆弱性に対する脅威」なのでしょうか？　それとも「使っているユーザーが詐欺に遭う脅威」でしょうか？

デイビス　個人的に心配しているのは、Google Playのような公式サイトにマルウェア入りのアプリが混じることですね。もちろんそれは運営側にとっても大きな課題となっているとは思いますが。また将来的には、SNSやメールを悪用したフィッシング詐欺によってマルウェアが侵入することも懸念されます。

　私も実際にフィッシングメールを受け取ることがあり、なかにはクリックしてしまいそうになるほど良くできたものもあります。私の使ってる端末の仕様や位置情報までメールに含まれていますからね。先日も1000ドルに釣られてうっかりマルウェアをダウンロードしそうになりましたよ（笑）

ランサムウェアもモバイルに標的を移す

三上　モバイルを標的としたランサムウェアは増えて行くと思いますか？

デイビス　間違いなく増えていくでしょうね。ただ、PCを狙うランサムウェアとは違ってモバイル向けのランサムウェアは単に画面をロックするというものが多いです。ロックはされるもののデータ自体を奪われることは多くありません。

　しかし今後はもっと高度なランサムウェアになっていくと思います。端末がロックされている間に、パスワード、クレジットカードなどなど、狙われたユーザーの個人情報が盗まれたり大事なデータが削除されてしまう、というようなことも起こりかねないでしょう。

三上　日本ではアダルトサイトの閲覧に関連した「架空請求詐欺」「ワンクリック詐欺」というものがあり、これがモバイル向けのランサムウェアにピッタリでは、と思うのですが……英語圏にそういった詐欺はあるのでしょうか？

デイビス　そうですね直接体験したことはありませんが、英語圏でもあると聞いています。確かに、モバイルにはピッタリな詐欺ですね。今後は最適化された攻撃とがあると思いますよ。ユーザーの振る舞いを使って狙われることもあるかもしれません。

三上　3年前にお話を伺ったとき、「パスワードという認証方法は古いもので、今後5年間で他の認証方法に変わるだろう」とおっしゃっていました。3年経った現状の進捗は？

デイビス　2つの進化が見られます。1つは生体認証。現在はどのデバイスもたいてい生体認証を搭載するようになりました。もう1つは2段階認証。パスワード以外の要素で認証する仕組みですね。こちらもだいぶ進化していると思うのですが、まだまだ理想的ではないと考えています。今後は、デバイスを利用したときに特定の「振る舞い」をしたら本人だ、と認証するようなシステムも開発されていくのではないでしょうか。

三上　AIがセキュリティを守る立場で活用されている例はありますか？

デイビス　マカフィーの「リアルプロテクト」機能には機械学習機能が搭載されています。以前はマルウェアを検知するためにはサンプルを用意し、ラボのリサーチャーがいくつもの段階を経てそれを確認してマルウェアか否かを判断していました。しかしいまは機械学習機能によってそれが実行されています。

三上　マカフィーのリサーチャーがAIのせいで職を失うのではないですか？（笑）

デイビス　そんなことはありませんよ（笑）　マルウェア以外にも研究することはたくさんありますからね。こうしている現在も脅威は爆発的に増えていますから。

三上　ありがとうございました。