Airpods

「ミスター・ロボット」のハッキング:人気テレビ番組から学ぶ5つのテクノロジーセキュリティの教訓

「ミスター・ロボット」のハッキング:人気テレビ番組から学ぶ5つのテクノロジーセキュリティの教訓
ウォッチガード・テクノロジーズのCTO、コーリー・ナクライナー氏
WatchGuard Technologies の CTO、Corey Nachreiner 氏。

[ネタバレ注意]この記事とポッドキャストには、『ミスター・ロボット』シーズン2の技術的な内容が含まれています。まだ視聴していない方は、USA Network、Amazon、またはiTunesで視聴してから、この記事を読み返したり、ポッドキャストを聴いたりしてください。

ヒットしたテレビ番組のほとんどには、高度な技術を要するコンピューター作業の正確な描写は含まれていませんが、USA の「ミスター・ロボット」は注目すべき例外です。

この心理スリラーは、ハッカー兼エンジニアのエリオットがハクティビスト集団「fsociety」の一員として活躍する姿を描いています。作中で描かれるハッキングは単なる見せかけではありません。サイバー攻撃が現実世界の人々や企業にどのような影響を与えるかが描かれており、「ミスター・ロボット」は誰もがサイバーセキュリティについて学ぶための素晴らしい教材となっています。

ラミ・マレックは『ミスター・ロボット』でエリオットを演じる。写真はUSAネットワークより。
『ミスター・ロボット』のエリオット役ラミ・マレック。写真:USAネットワーク

シアトルに拠点を置くウォッチガード・テクノロジーズのCTO、コーリー・ナクライナー氏は、このシリーズを熱心に追いかけ、GeekWireの「ミスター・ロボット 巻き戻し」シリーズで番組の技術的正確性を検証してきました。彼はGeekWireのラジオ番組とポッドキャストに出演し、GeekWireの編集者トッド・ビショップ氏と共に、ハッキングの世界への入り口として、番組の重要なシーンを解説しました。

ナクライナー氏はまた、番組で紹介されているような一般的な攻撃やトリックからコンピューターやスマートフォンのユーザーが身を守る方法や、ハッキングされないための予防策についてもヒントを披露している。

番組はこちらでお聴きいただけます。編集されたトランスクリプトは引き続きお読みください。

トッド・ビショップ: コーリー、早速最初のクリップをどうぞ。

E社CTO: 信じられない。彼らの要求は何だったのでしょうか?

Eコーポレーション顧問弁護士:  590万ドル。590万ドルをバッテリー・パーク・シティに届ける。今夜9時まで。警察は来ない。身代金を支払っても、FBIは認めない。

E Corp CTO: これらの人々とは交渉できません。

Eコーポレーション顧問弁護士: 現時点では、このようなハッキングを行う余裕はありません。正直なところ、ソファのクッションの間から590万ドルは見つかると思います。大した金額ではありません。

TB: ああ、ランサムウェアですね。正直に言うと、ニュースでこの話を読んで、本当に怖くなってしまいました。ランサムウェアが何なのか知らない人のために、ランサムウェアって何ですか?それでは、この動画の内容について見ていきましょう。

Corey Nachreiner: そうですね。ランサムウェアは簡単に言うとマルウェアの一種、つまり悪意のあるコンピュータプログラムです。しかし、これはコンピュータをロックして使用できないようにしたり、最近ではコンピュータ上のデータをロックして使用できないようにしたりするマルウェアの一種です。そして、その真の目的は、ユーザーから金銭を巻き上げることです。コンピュータ上で必要なものを入手できないようにし、それを取り戻したいなら一定額の金を支払えと要求するのです。

(写真はUSAネットワークより)
(写真はUSAネットワークより)

TB: 今回の「ミスター・ロボット」では、基本的に銀行がランサムウェアによって攻撃を受けるのですが、私たちが関わっていないのは、システム管理者がこれを解決するにはおそらく5日かかるだろうという部分です。現実世界では、ランサムウェアに感染すると何が起こるのでしょうか?

ナクライナー: まさにその通りです。人々に深刻な影響を与えている、ここ数年で特に猛威を振るっている恐ろしいランサムウェアは、「クリプト・ランサムウェア」と呼ばれるものです。これはコンピュータをロックするのではなく、文字通りファイルをロックするタイプのランサムウェアです。つまり、コンピュータ上で特定のファイル、つまり保存しておきたい情報が含まれているファイルを検索するだけです。そして、業界標準の暗号化技術、つまりNSAでさえ解読できないほど強力な暗号化技術を使用しています。実際、番組で説明されている内容の中で一つ誤りがあるとすれば、ランサムウェアがAES暗号化技術を使っていれば、5日で解読できるはずがないということです。

TB:  AES 暗号化とはどういう意味ですか?

ナクライナー氏: これは、特定のビットレベルを用いて非常に強力な暗号化規格です。専門家が暗号化の強度を評価する際、解読に何千年かかるかで評価します。昔の暗号化規格の一つにDESがあります。略称は言いませんが、56ビットでした。国家や十分な規模のコンピュータシステムを持つ人々であれば、DESは1日で解読できると考えられますが、AESのような暗号は解読に数千年かかるでしょう。

TB: では、企業や個人がこのような被害に遭った場合、どうすればよいのでしょうか?

ナクライナー: そうですね、本当に被害に遭いたくないのは当然ですが、まず最初にすべきことは、何に襲われたのかを突き止めることです。というのも、ビジネスマンのスキルと同じように、ハッカーのスキルもあるからです。ランサムウェアの中には、最善の暗号化技術を使っていないものもあり、ミスを犯すものもあります。ですから、ランサムウェアの種類によっては、解読可能なものもあるかもしれません。あるいは、研究者が攻撃者のインフラを乗っ取ってファイルを復元できるランサムウェアもあるかもしれません。しかし、バックアップを取っていない限り、ファイルを復元できないランサムウェアに遭遇することもあるでしょう。つまり、本当に重要な点です。

TB: バックアップを取っておけば、特にファイルレベルの暗号化の場合は心配する必要がありませんよね?システムから完全に締め出されるわけではありませんから。

ナクライナー氏: ええ、正直に言って、システムのロックアウトは簡単に突破できます。悪意ある人物が金儲けをし、企業に大きな損害を与えているのは、実はファイルロックです。そこで、ここでの対策はバックアップです。とても簡単な対策のように聞こえます。誰もが話題にしますが、正直に認めましょう。人間の性質上、「毎日バックアップしなきゃ」などと考える人はどれくらいいるでしょうか。企業にとって、これは極めて重要です。ランサムウェアが恐ろしいのは、病院が被害に遭ったことがあるからです。患者の記録が暗号化され、患者がどの薬にアレルギーを持っているか分からなくなるため、病院は文字通り数日間閉鎖され、患者を別の病院に転院させる羽目になります。ですから、この問題に対処しなければなりません。

TB: 個人的なレベルで言うと、もうパソコンに定期的なバックアップシステムを導入しないという経済的な言い訳は通用しなくなっているように思います。先週、2テラバイトのハードディスクをそれぞれ75ドルくらいで2台買ったばかりです。ストレージが使えるようになったので、今ならリーズナブルにバックアップできるんです。

シリーズ最新作:シアトルに拠点を置くWatchGuard TechnologiesのCTO、Corey NachreinerがGeekWireで「Mr. Robot」のエピソードをレビューします 。番組はUSA Networkで毎週水曜午後10時に放送されています。Twitterで#MrRobotRewindをつけて会話に参加し、Coreyの@SecAdeptをフォローしてください。

ナクライナー: 率直に言って、これはすべての人に平等に影響を与えます。先ほど病院の件に触れましたが、企業には大きな損害をもたらします。しかし、もしあなたが初めての赤ちゃんを出産したお母さんで、SDカードの画像をすべてコンピューターに転送したとしたらどうでしょう。まさにそれが彼らの狙いであり、だからこそ、これは世界中のすべての人に平等に影響を与える脅威なのです。

TB: もちろん、究極の解決策はソファのクッションに500万ドルを貯めておくことです。

ナハライナー: その通りです。

TB: 少なくとも動画ではそうでしたね。では、この動画でランサムウェアがどのように描写されているか、その正確さはどうでしょうか?まず、ある銀行員が、銀行幹部とランサムウェアを実行するべきかどうかで議論しています。このような場面では、企業内でも議論が起こっているのではないでしょうか。

ナクライナー: ええ、もちろんです。ところで、番組の視聴者が気づかないかもしれない点が一つあります。このランサムウェアの対策に協力しているIT担当者は、実はfsocietyのメンバーであるモブレー氏で、何が起こっているのか知らないふりをしているんです。でも、実際にはUSBキーを持ってきてシステムに接続したのは彼なんです。

TB: なるほど、つまり、いわゆるハクティビスト集団のメンバーが銀行内にいて、銀行のために働いていたということですね?

ナハライナー: その通りです。

TB: ああ、内部からのハッキングって、どれくらいの頻度で起こるんですか?

ナクライナー氏: これは業界で常に議論されている問題です。私たちはこれを内部者による攻撃と外部からの攻撃と呼んでいます。内部者による攻撃は確かに存在しますが、今日では外部からの攻撃の方が一般的であり、10年前は内部者による攻撃の方が一般的でした。

TB: なぜそうなるのか、理由が分かりますか?

ナクライナー: それは、より容易になっているからだと思います。ツールキットがあります。犯罪化、犯罪者の組織化によって、今では彼らは簡単に使えるツールキットを手に入れています。高度な技術を持つ必要はなく、彼らはこれを実行することに価値を見出し、この種の外部攻撃を実際に収益化し、組織化しているのです。

TB: 採用プロセスを経て6ヶ月後に攻撃を実行するよりも、ツールキットを使う方がはるかに簡単です。採用プロセスの方がはるかに複雑です。

ナクライナー: ところで、ランサムウェア自体の技術的な正確さについてですが、彼らは実際に使用したツールやその生成画面をいくつか示していました。非常に正確です。CryptoWallと呼ばれる実際のランサムウェアについても言及していました。これは現在、人々に影響を与えている最も重大なランサムウェアの一つです。つまり、正確です。彼らは一瞬、コンピュータが乗っ取られた場合に表示される画面を示しましたが、これは通常、被害者にビットコインを誰かに支払うよう求める画面です。ですから、正確さに欠ける部分はそこかもしれません。

TB: 封筒に入った現金ではないでしょう。

Nachreiner: まさにその通りです。500万ドルにもなりません。なぜなら、私が一般ユーザーを攻撃する場合、おそらく500ドル相当のビットコインしか要求しないだろうと彼らは理解しているからです。しかし、私はそれを何度も繰り返しているので、金額は大きくなります。

TB: 銀行を狙ってるんだね。目標を高く設定しないとね、コーリー、頑張れよ。

ナクライナー: さらに、これはeCorpだったので、ダーリーンの行動は物語に合致していました。現金を得ることよりも、この会社に恥をかかせることが目的だったと思います。現実のランサムウェアではそのようなことは見られませんが、物語には完全に合致していました。

TB:  では、次のクリップに戻りましょう。

レイの元IT担当者:「ビットコインウォレットが空っぽになり続けています。サーバーが頻繁にクラッシュし、どうすれば止められるのか分かりません。基本的なネットワークセキュリティ対策しか分かりません。サイトをより安全な場所に移行し、ホットウォレットとコールドウォレットのシステムを構築できる人を探してください。お願いします。」

TB:うわあ、あの男は相当なプレッシャーを感じているみたいだね、コーリー。だから殴られているんだ。

ナクライナー:ええ、番組を見ていないと犯罪者が何人か出てきますが、ネタバレ注意ですが、彼らは実際には犯罪者とは思えないような人たちのために働いているので、彼らが犯罪者だとは分からないかもしれません。しかし、この地下サイトのIT担当者にするために、彼を身体的に虐待している男たちもいます。

TB:そうですね、聞き取りにくかったかもしれませんが、彼はホットウォレットとコールドウォレット、そしてビットコインについて話していました。ビットコインは暗号通貨なので、デジタル通貨という概念そのものですが、ホットウォレットとコールドウォレットとは何でしょうか?

ナクライナー:その話に入る前に、ビットコインについて少し説明する必要があります。ビットコインは仮想通貨です。仮想通貨と言っても、実際にはお金はどこにもありません。物理的なものは一切ありません。ビットコインは、自分自身と取引を識別する暗号鍵を持つ人々によって管理されている、公開された取引空間です。つまり、ビットコインを持っているからといって、それ自体が何か特別なものを持っているわけではありません。つまり、自分が所有するビットコインのアドレスごとに、公開鍵と秘密鍵を持っているということです。皆さんが気づいていないかもしれませんが、これらの鍵はウォレットと呼ばれるものに保存されますが、悪意のある人物がビットコインを盗むために必要なのは、この秘密鍵だけです。つまり、誰にも鍵にアクセスできないようにすることが重要なのです。

ミスター・ロボット
テレビシリーズ「MR. ROBOT」でエリオット・アルダーソン役を演じるラミ・マレック(左)と、MR. ROBOT役を演じるクリスチャン・スレーター(ピーター・クレイマー/USAネットワーク)

TB:ということは、ホットウォレットとコールドウォレットがあるということですか?

Nachreiner:まさにその通りです。つまり、ホット ウォレットとコールド ウォレットの実際の違いは、ホット ウォレットはネットワークに接続されたキーを保管するデジタル ウォレットであるのに対し、コールド ウォレットはコンピューターやネットワークから離れた場所に保管されるウォレットだということです。

TB:この場合、それがストーリーにどのように関係しているのでしょうか。また、なぜ彼は、彼を拷問したり、殴ったりしている人に、少なくともホットウォレットとコールドウォレットを作成する必要があると伝えるのでしょうか。

ナクライナー:重要なのは、合法的なビットコイン取引所であれ、あるいはアンダーグラウンドで匿名のビットコインを使って何を売買しているのか分からないような闇フォーラムであれ、オンライン取引の場を持つあらゆる場所で、こうした自動取引システムにはホットウォレットという概念が必要だということです。ホットウォレットとは、ネットワークに接続されたシステムで、ビットコインのあらゆる情報を保管し、例えばアンダーグラウンドフォーラムのメンバー間で自動取引を行うためのものです。ですから、こうしたサイトにとってこれは非常に重要です。ところで、Silk Roadについて聞いたことがあるかもしれません。これは実際に過去に存在したアンダーグラウンドフォーラムで、最近FBIによって閉鎖されましたが、そこでは多くの国で違法とされる、神のみぞ知る様々なものが取引されていました。彼らはこの通貨を使って匿名化を図りましたが、犯罪者にとって、そしてビットコイン取引所を運営する善良な人々にとってさえ、セキュリティ上の大きな課題があります。なぜなら、自動取引に必要な情報を入力すると、悪者にビットコインを盗む機会を与えてしまうからです。つまり、どれだけの金額を盗むかと、どれだけの金額を節約するかのバランスを取る必要があるのです。そしてどうやら、この男を殴っていた悪者たちは、大量のビットコインを盗まれたようです。

ところで、もう一つ付け加えておきたいことがあります。暗号通貨は興味深いもので、未来の通貨になる可能性もあると思っています。しかし、こうしたセキュリティ上の問題があることをご存知ですか?最近、国土安全保障省が調査を委託したのですが、ビットコインが登場して以来開設されているビットコイン取引所の33%がハッキング被害に遭い、多くのビットコイン所有者がコインを全て盗まれています。これはビットコインに関して考えなければならない問題です。私たちの取引を自動化するはずの取引所から、コインが盗まれるという事件が何度も繰り返されているのを目にしています。

TB:とても興味深いですね。それでは、次のクリップを聞いてみましょう。

エリオット:指先で、ゼロデイはクリスマスプレゼントのようにコードに包まれ、エクスプロイト、つまり私の意志をプログラム的に表現したものになる。ステップ3:リバースシェル、二段階エクスプロイト。理想的なパッケージだ。マルウェアをフェムトセル配信システム、つまりすべてのモバイルデータを傍受する私専用の携帯電話基地局にロードする。まるで、延滞料金、従業員名、会員の住所をじっと見つめていた最初の時のように。

TB:それ、すごく好き。番組で聞いたフレーズの中で一番好きかも。「私の意志をプログラム的に表現する」。エンジニアやスタートアップのTシャツにこういうのをプリントしたらいいのに。

ピーボディ賞
サム・エスメイルは5月21日、ニューヨークでプロデューサーのチャド・ハミルトンと『ミスター・ロボット』主演のラミ・マレックと共にピーボディ賞のステージに立った。(マイク・コッポラ / ピーボディ賞提供:ゲッティイメージズ経由)

ナクライナー:素晴らしいですね。エスマイルに違いありません。ところで、私はハッカーについてよく知っていますが、エリオットのように、コーディングのゼロデイを芸術的に、そして雄弁に表現できるハッカーはあまり知りません。

TB:そうですね、では今おっしゃったことを説明しましょう。エリオットは物語の主人公です。サム・エスメイルはショーランナーで、番組の責任者であり、テクノロジーとハッキングに対する深い理解と認識を持っていることは明らかです。

ナクライナー:確かに。

TB:まさにその通りです。では、詳しく見ていきましょう。彼はフェムトセルについてお話しされていましたね?コーリー、説明してください。

ナクライナー氏:フェムトセルという言葉を聞いたことがない人も多いかもしれませんが、これは携帯電話ネットワークを支援するデバイスです。おそらく、ある特定のプロバイダーと契約した後、引っ越しをしたら、たまたま基地局がない場所を選んでしまったせいで、リビングルームで電波が届かないことに気づいたことがあるでしょう。フェムトセルとは、通信事業者が考案した、ミニ基地局のような役割を果たすデバイスです。例えばVerizonを契約している場合、自宅では携帯電話サービスは利用できませんが、有線インターネット接続は利用できます。フェムトセルを有線インターネット接続に差し込むだけで、自宅に小さなミニ基地局が誕生します。携帯電話は基地局に接続でき、実際にはインターネットを経由して通信事業者のネットワークと通信します。

TB:このクリップでエリオットはゼロデイ攻撃の実行について話しています。ゼロデイとは、攻撃を防ぐためのパッチが公開される前に公開される悪意のあるコードのエクスプロイトのようなものだと私は知っています。

ナハライナー:その通りです。

TB:パッチは Windows のアップデートのようなものかもしれません。

ナクライナー氏: Windowsのアップデート、Chromeブラウザのアップデート、あるいはスマートフォンのソフトウェアアップデートが原因かもしれません。今回の場合は後者でした。先ほどエリオットがFBIがAndroidスマートフォンを使い始めたことを突き止めたことはお伝えしましたが、彼はAndroidデバイスのゼロデイ脆弱性を知っていると示唆しています。つまり、彼はその脆弱性を悪用するエクスプロイトをコードで作成しているわけですが、問題は、これらのエクスプロイトの多くは、電話番号を知っただけで乗っ取るための何かを送るだけではだめだということです。ファイルを開いたり、ウェブサイトにアクセスしたりといった操作をさせなければならないかもしれません。そこで問題は、彼がどうやってFBI職員を騙して何かを実行させるか、という点です。そこでフェムトセルが登場するのです。

TB:どういうことですか?相手が別のネットワークにいると思わせるのですか?

ナクライナー:まさにその通りです。それが狙いのようなものですね。この後のエピソードでは、fsocietyがアンジェラや他の主人公たちの協力を得て、FBIが捜査を行っている地域に実際にこのフェムトセルを埋め込む様子が描かれます。これらの携帯電話基地局の仕組みは、携帯電話がどの基地局にも接続できるようにすることです。最も強力な基地局に接続し、そこからネットワークにアクセスします。つまり、フェムトセルはこれらの携帯電話を彼の基地局に強制的に接続させる手段であり、そこで彼はすべての制御権を握っています。たとえあなたに何かをさせる必要があったとしても、業界で「中間者」と呼ばれる能力を持つ人物は、あなたの行動をすべて置き換えることができます。あなたが完全に合法的なウェブサイトにアクセスしている場合でも、彼はそこにコードを挿入して他の場所にもアクセスさせようとします。これは、彼がゼロデイ脆弱性をどのように悪用するかを暗示していると言えるでしょう。

TB:これは非常に興味深い話であり、同時に非常に恐ろしいことです。こうした事態を知った人が、ごく普通のビジネスオーナーや、Androidスマートフォンを持っているごく普通のユーザーだった場合、こうした攻撃の被害に遭わないために、私たちは何ができるでしょうか?

ナクライナー:良いニュースは、希望はたくさんあるということです。できることはたくさんあります。技術的な話に入る前に、まずは意識を高めることが第一歩だと思います。私がこの番組を好きな理由の一つは、このことについて何も考えていない人に、こういうことが起こり得ると気づかせてくれることです。シーズン1では、USBキーを放り投げている人たちがいました。USBキーを見つけて拾うと、「すごい、パソコンに挿せる新しいおもちゃが手に入った!」と思うでしょう。この番組を見た後では、そこに危険が潜んでいるかもしれないと認識するようになります。ですから、まずはこのことについて知るだけで、あなたの行動が変わり、オンライン上でより良い行動をとるようになるでしょう。

TB:シーズン 1 で私が覚えているもう一つのエピソードは、エリオットが誰かの携帯電話を借りて、電話をかけたり、電話番号を入手したり、携帯電話を借りただけであらゆる悪質な行為を行ったときです。

ナクライナー:これもまた素晴らしい例ですね。技術的なヒントはお伝えできますが、技術的ではない部分で、こうしたことを理解するだけでも十分です。少し懐疑的な姿勢を持つことだけでも、かなり役立つと思います。

TB:技術的な面ではどうですか?セキュリティを確保するために、一人ひとりが2つか3つ行う必要があることはありますか?

Nachreiner:その通りです。皆さんにお伝えしたいのは、非常に簡単な対策の一つとしてパッチの適用です。ゼロデイ攻撃についてお話ししましたが、実際のところ、オンライン攻撃のほとんどは、何年も前に修正された脆弱性を悪用したものです。ですから、ソフトウェアを最新の状態に保つだけで十分です。iPhoneでiOSの新しいバージョンがリリースされたと表示されたら、今すぐインストールしますか?「はい」と答えてください。Windowsでも同じことを言われたら、同じようにインストールしてください。これだけでも大きな効果があります。攻撃者がコンピューターに不必要な動作を強制的に実行させることが、はるかに難しくなります。

TB:一般的には、ウイルス対策、スパイウェア、マルウェア、アドウェアのことですか?

ナクライナー:その通りです。2つのアドバイスがあります。1つは家庭ユーザー向けです。ソフトウェアファイアウォール、いわゆるウイルス対策ソリューションを強くお勧めします。多くの人が、これら全てを統合したセキュリティスイートを導入しています。家庭ユーザーの方は、ぜひそういったものをコンピューターにインストールしてください。企業は今、より深刻な問題に直面しています。なぜなら、標的にされることが多くなり、「ミスター・ロボット」でよく見られるような、より高度な多層攻撃を懸念しなければならないからです。企業にとって、多層セキュリティはまさに重要です。

アンチウイルスは必須といったオタクっぽい詳細まで説明できますが、それだけでなく、高度な脅威保護と呼ばれるものも必要です。これは、古いシステムをすり抜けるような、より巧妙なウイルスを検出できるものです。ゼロデイ脆弱性を悪用されたことを検知できる侵入防止システムも必要です。また、実際にデータが持ち出されているかどうかを把握するためのデータ損失防止システムも必要です。これを簡単に説明すると、例えば私が勤めているWatchGuardでは、ネットワークセキュリティアプライアンスベンダーとして統合脅威管理システム(UTMS)を開発しています。つまり、あらゆるレイヤーを一元管理し、企業の管理を容易にするセキュリティアプライアンスです。

TB:残り2本のクリップがあり、次のクリップはダイナーが舞台です。今シーズンを通して番組を見ていない人、実は私も含めてですが、このシーンの設定を教えていただけますか?この時点で何が起こっているんですか?

ナクライナー:これは実は回想シーンなんです。既に知っている二人のキャラクターが登場するんですが、実は彼らが先ほど話したハクタビスト集団の一員だと分かっているんです。

TB: Fsociety ですか?

ナクライナー:その通りです。でも、この時点では彼らはお互いを知りません。正直に言うと、登場人物の一人、モブレーは実はもう一人の登場人物、トレントンに言い寄ろうとしているのですが、実は裏で何かやっているんです。それについては後でお話ししたいと思います。

TB:わかりました。では、聞いてみましょう。ところで、この動画を見ていて、彼が彼女を口説こうとしていたとは思いもしませんでした。これはテクノロジー業界の別の問題を示唆しているのかもしれませんね。まあ、とにかく、さあ、始めましょう。

ダーリーン:ああ、昔からある悪質なブラウザベンチマークのトリックね。この初心者のシステムを全部手に入れたみたいね。いいね。お母さんにStagefrightのエクスプロイトが埋め込まれたウェブサイトは見ちゃダメって言われたことないの?

TB : そこには語るべき素晴らしいフレーズがたくさんあるので、彼女は基本的に彼の言い寄る努力を拒絶していたということでしょうか?

ナクライナー:彼女は基本的に彼をハッキングしていたんです。つまり、彼が興味を持って会話を始めようとしていた間、彼女は裏でエクスプロイトを仕掛けていたんです。「Stagefright」という言葉を聞いたことがあるかもしれません。これはAndroidスマートフォンに実際に存在する脆弱性のマーケティング用語です。彼女は裏でその脆弱性を利用し、次の瞬間、ソーシャルエンジニアリングで彼に何かをさせ、スマートフォンを乗っ取るつもりだったんです。

ミスター・ロボット
『ミスター・ロボット』でダーリーンを演じるカーリー・チェイケン。(ピーター・クレイマー/USAネットワーク)

TB:それで彼女は彼に何かをさせるように社会的に働きかけるんですね。彼女は何をするんですか?

ナクライナー:ダーリーンが古い悪意のあるブラウザベンチマークトリックについて言及したのを聞きましたね。

TB:ああ、もちろん、古くからある悪意のあるブラウザベンチマークのトリックは誰もが知っています。

ナクライナー:ところで、それは知りませんでしたが、自分が管理するウェブサイトに人々を誘導するためのソーシャルエンジニアリングのトリックは確かに存在します。そこで彼女は、携帯電話について話す機会を得ました。彼女はiPhoneを使っていて、彼はAndroidを使っていたと思います。彼は「Androidの方がずっと優れている」と言い、ちょっと失言してしまいました。そこで彼女は、「どちらの携帯電話が速いか見てみましょう。ベンチマークサイトがあるので、そちらを使ってください」と言いました。ところが、そのサイトは彼女が管理していたサイトで、そこに彼女はStagefrightのエクスプロイトを仕掛けて彼を待ち伏せしていたのです。

TB:セキュリティに関する議論では、これは第三の鉄条網のようなものかもしれませんが、質問させてください。iOSとAndroid、どちらがより安全でしょうか?

ナクライナー:うわ、炎上騒ぎが始まって、荒らしが出てくるじゃないですか。現実的な答え、そして一般的な答えがあります。真実は、どちらの携帯電話にも脆弱性があるということです。Appleが完全無敵だと思わないでください。実際、Appleが市場シェアを獲得したことで、悪意のある人たちはAppleに大きな価値を見出し、Appleを狙っています。最近では、国家レベルの大規模な攻撃があり、iPhoneの3つの未知のゼロデイ脆弱性がスパイに利用されました。つまり、どちらの携帯電話にも脆弱性があり、どちらも問題を抱える可能性があります。しかし、Appleユーザーをある程度守ってくれるものが一つあります。それは、Appleの「閉ざされた庭」のようなものなのです。

TB:アプリストア。

ナクライナー:まさにその通りです。Googleの考え方を見れば、彼らはユーザーのやりたいことを何でもやらせてくれるという姿勢が見て取れます。ストアがあるだけでなく、スマートフォンのあらゆる部分を使ってもらうことを推奨しています。もちろん、Appleはもう少し制限的です。彼らは自社の環境に何が存在するかをコントロールし、完璧な環境を作りたいと考えています。消費者レベルでは、それはもしかしたら良くないかもしれませんが、セキュリティレベルでは、あらゆるアプリの細部までを精査する人がいます。そのため、Appleの環境に悪質なものが入り込むことははるかに困難です。

TB:そうですね。Androidではアプリのサイドローディングについて話題になっています。

ナハライナー:その通りです。

TB: Google Playストアから入手するわけではありません。Androidでは問題なくダウンロードできます。

ナクライナー:そもそもセキュリティを破ってしまう脱獄をしない限り、iOS でそんなことはまったくできません。

TB:ここでの教訓は、古くからある悪意のあるブラウザ ベンチマークのトリックに騙されないようにすることです。

ナクライナー:もっと具体的に言うと、知らない人からサイトを訪問するように言われた場合は、そのサイトを訪問する前に少し考えてください。

TB:はい、とても良かったです。それでは、次のクリップを聞いてみましょう。

話者1:はい、これはラバーダッキーです。もし他の方法が見つからなければ、FBIのノートパソコンが床のどこかに落ちているはずです。たいていはパナソニックのタフブックです。これを電源に接続して15秒待ってから、引き抜いてください。Mimikatzというツールのおかげで、キャッシュされているパスワードとドメイン情報をすべて取得して、これに保存してくれます。全てがわかるわけではありませんが、何か手がかりになるかもしれません。あくまでも予備計画です。

TB:なるほど、彼は「ラビーダッキー」って言ったんですか?ラバーダッキー?何て言ったんですか?

ナクライナー:ルビー・ダッキー、君こそその人だ。

TB:そうですね。

ナクライナー: Rubber Duckyは実際に使えるツールです。多くのユーザーがUSBデバイスを使用しています。ファイルを保存するためのストレージキー、USBキーボード、USBワイヤレスカードなどです。

TB:外付けドライブを USB ポートでコンピューターに接続します。

ナクライナー氏: VRに興味があるなら、OculusにはUSBポートが搭載されていると思いますが、実は小さなソフトウェアコードがコンピューターに送信され、それがどのような種類のUSBデバイスであるかをコンピューターに伝えているのです。ハッカーたちはこれを騙す方法を見つけ出しています。つまり、ストレージデバイスをコンピューターに「これはキーボードだ」と伝えるのです。つまり、Rubber Duckyは実際には商用化された自動キーボードなのです。このUSBキーを差し込むと、コンピューターに「こんにちは、私はキーボードです」と伝えます。すると、悪意のある人物であるあなたは、自動スクリプトを実行させられるようになります。Toddさん、あなたがコンピューターでできることは何でも、私もスクリプトを使って10秒ほどで実行できます。多くの場合、あなたには気づかれません。つまり、このデバイスを差し込めば、あなたのコンピューターを完全に制御できるのです。

TB:大きな教訓ですね。USBキーに何が書いてあるか分からなかったり、ウェブサイトが何なのか分からなかったりするなら、やらない方がいいですよ。

Nachreiner:はい。何と関わるかは慎重に。もう一つ知っておくべきことがあります。この種のRubber Duckyハックには良い点があります。ほとんどの人はコンピューターの画面をロックします。席を離れると、5分後にスクリーンセーバーが起動し、ユーザー名とパスワードを再度入力しなければならなくなります。このRubber Duckyには、それを破る特別な機能はありません。ちなみに、簡単なヒントを一つ。コンピューターを使っていない時は画面をロックしておくことです。そうしないと、これらのデバイスでさえ、本来の目的である悪事を働く前に、認証を通過せざるを得なくなります。

TB:パスワードについて、皆さんにアドバイスをいただけますか? 使える集中管理ツールがあることは知っています。例えば、パスワードを1つにするとか、そういったものがありますよね。もしそうしないなら、あるいはそうすべきだと言うかもしれません。何かアドバイスはありますか?

Nachreiner氏:間違いなく、集中管理パスワードです。まず、コミュニティで「パスワードは死んだ」という声をよく耳にしますが、これはパスワード侵害が相次いでいるためです。今週初めだけでも3件の侵害が発生し、ロシアを含む大企業が数百万件ものパスワードを漏洩しました。しかし、実際にはデータベースが盗まれているのです。必ずしもパスワード自体が原因とは限りません。Helloや生体認証が普及したとはいえ、パスワードが単なる一要素であることから逃れることはできないでしょう。ですから、私の本当のアドバイスは多要素認証です。ユーザー名に加えて、2つの異なる要素を使うのです。最近は多要素認証が非常に簡単になっています。Windowsではパスワードを設定できるのですが、Helloでは顔認証が使われてしまいます。

TB:これは Windows 10 の機能だと思いますが、実際に虹彩をスキャンしたり顔を認識したりできる機能です。

ナクライナー氏:まさにその通りです。携帯電話には、別のトークンとして接続する別のデバイスが必要なプログラムが山ほどあります。

TB:フォブみたいな。

ナクライナー:ええ、それは大変だし費用もかかるし、誰もやりたがりません。でも今は携帯電話がその役割を果たしています。Gmailにアクセスしてモバイルの2段階認証を設定するだけです。たとえ誰かがパスワードを盗んだとしても、誰が気にするでしょうか?2段階認証を取得しない限り、全てを盗むことはできませんし、それまでにパスワードを変更することもできます。

TB:サイバーセキュリティは今、政治の大きなテーマとなっています。実際、先週もオバマ大統領とロシアのウラジーミル・プーチン大統領が、この件について非常に注目を集める形で発言しました。この件について、あなたの見解をお聞かせください。それでは、オバマ大統領の発言クリップをお聞きください。

オバマ大統領:私たちは新たな時代へと突入しています。多くの国が相当な戦力を有しており、率直に言って、私たちは攻撃面でも防御面でも、どの国よりも優れた戦力を有しています。しかし、私たちの目標は、サイバー空間において、過去の軍拡競争で見られたようなエスカレーションのサイクルを突如再現することではなく、むしろ、誰もが責任ある行動をとることができるよう、何らかの規範を整備し始めることです。

TB:なるほど、今週の記者会見でのオバマ大統領の発言でしたね。核軍拡競争で経験したエスカレーションのサイクルを繰り返したくないと言いかけたのが分かります。これは非常に心に突き刺さる発言でした。興味深いのは、大統領はそれを言わなかったことです。彼はそれをはっきりと言いたかったのですが。しかし、これは国家によるサイバー攻撃という点で、非常に大きなリスクを負っているという認識を強く印象付けました。そして、それは実際に起こっているんですよね、コーリー?

ナクライナー:それは既に起こっています。実際、私がこれに唯一異議を唱えたいのは、彼が「我々は今、ある時代を迎えている」と言っていることです。私たちはもう5年もこの時代にあります。リスナーの多くは、数年前にスタックスネットについて話したのを聞いたことがあるでしょう。ちなみに、スタックスネットは政治的動機に基づく米国版サイバー攻撃だと広く疑われています。それが良いことなのかどうかはさておき、実際には、これは非民主的な国のウラン濃縮施設を狙った攻撃だったという点が重要です。核兵器拡散の阻止に役立っているので良いことだと考える人もいるかもしれませんが、私にとってこれは一種のパンドラの箱であり、世界に向けて「各国政府に、諜報活動、ひいては攻撃活動を実行するための新しい方法がある」と示すようなものでした。

TB:最近のこの件の背景としては、民主党全国委員会へのサイバー攻撃が挙げられます。この攻撃により、様々な不都合な情報が暴露され、同委員会のリーダーが辞任に追い込まれました。あなたはこの攻撃に確信を持っていますか?ロシアが背後にいたという点に疑問を抱いていますか?

ナクライナー:まず、セキュリティの専門家に質問しているので、絶対的な答えを出すことはできません。また、アトリビューションの難しさについてもお話しします。サイバー攻撃が非対称的で扱いにくい武器である理由は、犯罪者が様々なものの背後に隠れることが容易だからです。以上を踏まえると、DNCへのハッキングはロシアによるものである可能性が非常に高いと言えるでしょう。多くの著名なフォレンジックグループが、この攻撃の偽装や手法を研究しています。これらのIPアドレスは技術的には確認できますが、ロシアに紐付けられることはないため、決定的な証拠となることは決してありません。しかし、これらのグループはTTP(ツール、戦術、手順)と呼ばれるものを調べ、動機につながるあらゆる情報をまとめています。この特定の攻撃の背後には、おそらくロシアの2つのグループ、つまり2つの諜報機関が関与していたことはほぼ確実です。

TB:これはどこへ向かうのでしょうか?サイバー空間における新たな軍拡競争となるのでしょうか?

ナクライナー:ある程度は既にそうなっていると思います。ちなみに、オバマ大統領の一般的な見解については、私も同感です。国際社会として、この問題に関して何らかのルールと取り組みを定める必要があります。これは必須だと思います。問題は、言葉よりも行動が雄弁だということです。大統領がそう言っている一方で、すべての大国が同様の取り組みを行っています。彼らは単に防御チームを編成しているだけではありません。次の文で彼が「ところで、アメリカは世界で最も優れた攻撃と防御力を持っています」と言っているのをご存知でしょう。これはある意味で競争を激化させており、彼らは防御だけに取り組んでいるわけではありません。これは私にとって多くの疑問を提起します。サイバーセキュリティにおいては、防御しながら攻撃することはできないからです。もしよろしければ、具体的な例を挙げましょう。

先ほどゼロデイについて触れました。ゼロデイとは修正方法のない脆弱性のことです。もしあなたがそれを最初に、そして唯一知っていれば、それを悪用することが可能です。しかし、人々は全く気づかないか、多くの場合、実際には自衛することができません。問題は、攻撃チームを持つ政府にとって、ゼロデイ脆弱性を見つけて蓄積することが最大の利益となることです。これは、iPhoneに新たに発見された暗号解読可能な脆弱性を意味し、諜報活動のためにそのデータを取得することができます。例えば、Internet Explorerの脆弱性を発見すれば、他国の諜報機関にウェブサイトにアクセスさせて感染させることができるかもしれません。もしその脆弱性が存在し、あなたがそれを発見したのであれば、他の人が見つけるのは時間の問題です。そのため、政府はこれらの脆弱性について人々に知らせず、業界によるパッチ適用にも協力せず、自国を含む世界中の人々を危険にさらしてしまうのです。

TB:その場合、基本的には、テクノロジー ユーザーとしての私たち自身の利益に反して、納税者の​​お金が資金提供されていることになります。

ナクライナー: 彼らは「これは攻撃上の利益だ」と考えているようですが、実際には自国の市民権にとって防衛上の不利益を生み出しているのです。ですから、攻撃とは何かについてより厳格なルールを設ける必要があると私は強く思います。そして、政府は…もちろん、私はナイーブではありません。諜報活動は行われるでしょうが、私たちは防衛に重点を置く必要があります。世界中の市民を守ることに重点を置き、誰も互いにハッキングできないようにする必要があります。

TB:選挙と選挙テクノロジーにはどのような影響があるのでしょうか?

ナクライナー:いい指摘ですね。最近、有権者登録のハッキング事件が実際に発生しました。FBIは緊急警報を発令し、全米の有権者登録選挙州に対し、悪意のある人物がこれらのシステムをハッキングしていると警告しました。これは有権者登録に関するもので、投票システムではありません。

TB:それは投票ではありません。

ナクライナー:その通りです。良い点は、州ごとに投票方法が異なっているということです。ほとんどすべての州で、ほとんどがオフラインです。私たちが使用している電力システムでさえ、ハッキング可能であることが示されていますが、物理的に接続されていないため、投票は州内で行う必要があります。また、多くの州では紙のバックアップがあり、一定数の紙投票用紙を投票結果と比較するのです。つまり、選挙に関しては、国家がスポンサーとなって選挙結果が変わることはないでしょう。一方で、個人情報などを盗むことは当然可能です。情報戦の現状を見ると、映画で「もしかしたら発電所が爆破されるかもしれない」と描かれているのが分かります。技術的には可能かもしれませんが、動機を考えると、政治戦や情報戦を行うシステムには疑念を抱く方がはるかに効果的だと思います。

ところで、選挙制度に関してもう一つ指摘したいことがあります。それは、ハッキング事件が最新の攻撃者を名指しするたびに、世界に向けて警告を発したいということです。民主党全国委員会へのハッキングはおそらくロシアによるものだと述べましたが、今やこの別の攻撃、具体的には2つの攻撃もロシアによるものではないかとの見方が出始めています。少なくとも1つのケースでは、エリオットが「ミスター・ロボット」で見せたようなスクリプトキディのようなツールが使われていたことを示す証拠はいくつかありますが、これは国家が行うべきことではありません。ですから、これらの攻撃の犯人を特定したいのは当然ですが、慎重に行う必要があります。証拠に基づいて判断する必要があり、政府は「これは何某国家によるものだ」と言う際には、より多くの証拠を共有すべきだと思います。犯人特定が非常に難しいため、これを政治的な動機や防衛費などへの材料として利用しないよう注意する必要があります。

TB:では、コーリー、最後にもう一度お願いします。「ミスター・ロボット」シーズン2の最終回が近づいてきました。現時点でのこの番組についてどう感じていますか?シーズン1の時に思っていた通り、今でも忠実に再現されていると感じていますか?

ナクライナー:ええ、その通りです。そうなんです。ところで、脚本、監督、ショーランナーを兼任するサム・エスメイルについてお話しましたね。それから、コル・アダナという人物もいます。彼は彼らの技術コンサルタントです。彼は著名なハッカーをチームに迎え、私が参加するセキュリティカンファレンスにも参加させています。つまり、視聴者が見つけやすいように、さらに多くの情報を盛り込んでいるということです。例えば、イースターエッグなどです。もしあなたがオタクなら、番組に登場するすべてのIPアドレスに注目してください。そこに隠された情報が他にもあるはずです。つまり、番組は技術的にますます正確になっていますが、それでも技術に詳しくない視聴者でも十分に理解でき、ヒントも得られるように、十分な説明をしていると言えるでしょう。

TB:彼らは実際、Black Hat カンファレンスを気に入っていて、それを拾い上げて計画に組み込んでいるわけですね。

ナクライナー:その通りです。実際、これらのハッキングの半分はBlack Hatでプレゼンテーションを受けています。最近の携帯電話のハッキングもその一つです。ところで、今年のDEFCONに行く機会に恵まれたのですが、ショーランナーのKor Adana氏がコンサルタントと共にパネルディスカッションを行っていて、とても素晴らしかったです。

GeekWireはシアトルのKIROラジオ (97.3 FM)で、毎週土曜日午後7時と日曜日午後1時に放送されています(スポーツ中継の放送が優先される場合を除く)。番組はGeekWire.comで毎週末放送されています。RSSフィードで全エピソードを購読するか、iTunes、SoundCloud、Stitcherで購読してください。