この記事の本バージョンは、Anti-Phishing Working Groupのブログにも掲載されました。
ウィキペディアの「エラーメッセージ」のページでは、悪質な(かつ混乱を招く)メッセージをいくつか取り上げていますが、次の私のお気に入りは記載されていません。
キーボードが検出されませんでした。いずれかのキーを押して続行してください
別に都市伝説を語ろうというわけではありません。細かい言い回しまでは定かではありませんが、ユーザーサポートを担当していた頃、こんな感じのエラーメッセージを日に2、3回は目にしたものです。
さて、私が「エラーメッセージ」や「セキュリティアラート」関連のリンクを求めてWeb上を探し回っていたのには、れっきとした理由があります。きっかけとなったのは、先日たまたま目にした米国心理学会(APA)のWebサイトに掲載された1件の記事でした。カンザス州立大学の心理学者Gary Brase氏とコンピューターセキュリティの研究者Eugene Vasserman氏の両名に対し、より効果的なオンラインアラートの作成を目的として15万ドルの研究費補助金が与えられたというのです。私には、同様の取り組みを行うセキュリティ企業がどれだけあるかはわかりません。とはいえ、いずれかの企業は必ず、製品やユーザーインタフェースの開発に、心理学者やフォーカスグループ、人間工学者(あるいは人間とコンピューターの相互作用=HCIについて関心や専門知識を持ち合わせたその他の研究者)を起用していることでしょう。しかし、誰もがソフトウェアによって生成された意味不明なアラートを散々目にしており、HCIという側面にもう少し配慮が必要とされるソフトウェアが少なからずや存在しているのも周知の事実だと思います。さてこの記事を読んで私は、「EICAR test virus not-a-virus detected(EICARのテストで、ウイルスではないウイルスが検出されました)」という、頻繁に見かける動作確認のアラートのことを考えました。
まずソーシャルサイエンスを学んだ私自身は、後からコンピューターサイエンスの世界に入ったというバックグラウンドのためか偏見があるのかもしれませんが、ビットやバイトにばかり目を向けるコンピューターセキュリティが、この世界に横行するサイバー犯罪やサイバーエスピオナージュなど、今日のあらゆるサイバー関連の問題を解決するとは思いません。確かにユーザーが困惑するようなセキュリティアラートが存在します。「これは一体どういう意味なのだろう」と考え込んでしまうようなメッセージは、ユーザビリティーの観点では落第です。
APAの記事では、Brase氏が例をいくつか紹介しています。
「この署名付きのアプレットを信用しますか?」または「このアプリケーションのデジタル署名にはエラーがあります。このアプリケーションを実行してもよろしいですか?」
率直に言えば、私がかつて目にしたメッセージの方がはるかに厄介で、普通のユーザーだったら混乱のあまり壁に頭を打ち付けてしまうほどのシロモノでした。こうしたメッセージには、エラーコードや16進数文字列、「ファイル[ファイル名]のスキャン中に不明なエラーが発生しました」などの文、あるいは空白のメッセージボックスが含まれるケースが多く、いずれもセキュリティアラートの本質的な問題が示されています。はたして15万ドル程度でより良い解決策が見つかるのか私は疑問です。
Brase氏が示した例は、言い回しではなく、概念に問題があります。プログラムの背後にあるアルゴリズムがリスクについて信頼に足る決定を下すことができなければ、後はユーザーの方で何とかしてくれるだろうと期待するのは筋違いです。実際、同氏はサイトがたとえ何らかの方法で侵害されていないと断定できない場合でも、(通常は)オーケーだと理解しているのでしょう。ソフトウェアには、プログラムの特性やテキストの自動分析から以外ではユーザーの意図を推測できないというデメリットがあります。また、「magna cum laude」というフレーズやScunthorpeという名前が世界中のポルノ検出アルゴリズムの引き金となっていた時代から、フィルタリング技術が目覚ましい発展を遂げている一方で、電子メールやオンラインのフィルタリング機能よりも知識のある人間の方が適切な決定を下すことができている状況は少なくありません。しかし、「知識のある」人間がこの種の研究のメインのターゲットではありません。Brase氏は「すぐれたセキュリティとは、その意図に関係なく、すべてのユーザーに適しているべきである」と述べ、スキルや知識レベル、利用するサイトを問うべきではないと示唆しています。重要なポイントはこの点にあります。すなわち、犯罪者の意図のみならず、ユーザーの意図もくみ取る必要があるのです。実のところ、Jeff Debrosse氏と私は数年前に論文「Malice Through the Looking Glass: Behaviour Analysis for the Next Decade」を執筆し、セキュリティ企業はプログラムの振る舞いだけでなく、ユーザー行動の分析結果をソフトウェアに組み込むことで有効性を高めることができると論じました(私個人としてはそれが現実となる日は当分先だと思っていますが)。もしかすると、これはBrase氏が指摘する問題に対処する1つの手段かもしれません。ユーザー教育が、複雑化の一途を辿るネット取引の進化の速度に追い付いていないというのは 紛れもない真実です。だからこそコンピューターはユーザーに親しみやすく(making computers people-literate)あるべきなのです(同名の本を執筆したElaine Weiss氏にはすばらしいネーミングの才があります)。
しかし論理上の欠陥があります。セキュリティアラートの表示形式を改善したところで、セキュリティソフトウェア(あるいはGoogleのセーフブラウジングなどの技術を搭載したブラウザーなど、セキュリティ機能を備えた他のソフトウェア)が現状以上にユーザーの意図を識別できるようになるわけではないのです。ただそこまで悪い話ではありません。フィルタリング機能を使っても悪意まではふるい分けられませんが、プログラム上でも意味上でも、悪意のある振る舞いの特性についてどれだけプログラミングされているかがポイントとなります。ただし、悪意のある振る舞いは常に動的に変化し続けています。平均的なセキュリティプログラムが、適度な認識能力を備えた人間並みに行間を読めるようになるには随分と時間がかかるでしょう。
Googleの技術は、ソーシャルエンジニアリングをはじめとする攻撃に対抗する技術には限界があることを示す好例といえます。Googleによると、セーフブラウジングによって、1日あたりなんと1万ものサイトが悪意があるとしてフラグを立てられているそうです。同社の透明性レポートには同様のデータが公開されています。主要な脅威としての地位を確立してから数年、今なおフィッシングは強力な攻撃と見なされていますが、攻撃の主な起点はいまや電子メールではなくなり、ソーシャルメディアなどのWeb上でホストされるサービスやWebブラウザーが、大部分の攻撃で利用されるようになっています。
念のため断っておくと、セーフブラウジングを批判するつもりはありません。オンラインユーザーには極めて有効な保護機能であるのは事実で、開発者の努力には惜しみない拍手を送りたいと思います(Chromeのみならず、FirefoxやSafariのユーザーも利用できます)。要するに、アンチマルウェア技術では、悪意のあるプログラムやURLを完璧に検出することはできないということです。もしそれが可能であったとしたら、私たちの住む世界は大きく変わっていたはずです。そもそも、ちんぷんかんぷんな質問への回答を促すアラートを、ユーザーにポップアップ表示する必要はありません。ユーザーがアクセスしようとしているサイトやアプリケーションは、悪意があると判断されたため実行が拒否された、と通知するだけで十分です。
しかし、この世界の至る所に悪意のあるサイトをはじめさまざまな攻撃が大量に潜んでいる点に留意する必要があります。ESETのラボでは1日に数十万もの脅威を処理していますが、そのすべてが上述した1万個のサイトに由来するわけではありません。Googleの透明性レポートの統計情報は興味深く有益であると思われますが(企業としての評価を高めようという狙いもあるのでしょうが)、それでもユーザーは警戒を緩めることなく、サイトにアクセスする際は慎重になる必要があります。セキュリティ機能が有効であるからといって好き勝手にクリックする行為は控えるべきです。
とはいえ、頭の痛いニュースばかりではありません。つい先日見つけた、これまでで最も低レベルな419詐欺メールを最後にご紹介しましょう。
- 送り主はGen Peter Blayという人物です
- 件名には「1」とあります
- 本文は 実質ありません。ただし 「ぜひお金をお受け取りください」という署名があります
こんなメールに引っかかる人がいるとは到底思えません。詐欺の実態が明らかでないばかりか(おそらく先払い詐欺あたりでしょうが)、そもそも詐欺師がターゲットに何をさせたいのかがわからないのですから。
状況にもよりますが、私だったら詐欺師のテスト用メールと見なし、相手にしなかったでしょう。それにしても、内容を見る限り、この詐欺師が息を引き取るまでに419詐欺の手法を確立できるのかが疑問です。いやいや、私が詐欺と勝手に勘違いしているだけなのかもしれませんね。そうであれば、Gen Peter氏にはESETノースアメリカのオフィスの私宛に数百万ドルを送るようぜひお願いしたいところです。
10年連続、通算80回目のVB100アワードを獲得
ESETは7月初め、当社が持つ獲得回数記録を更新する80回目のVB100アワードを獲得し、同時に、同アワードの10年連続獲得というアンチウイルス業界における歴史的な記録を打ち立てました。VB100は、著名な独立系のセキュリティソフトウェアテスト機関であるVirus Bulletinが主催するアワードです。ESETのNOD32テクノロジーが達成したどちらの偉業も、他社のアンチウイルスソフトウェアを上回る、VB100アワード史上最高の記録となります。「VB100」アワードは、「In-the-Wild」と呼ばれるマルウェア(実際に感染報告のあるマルウェア)を、誤検知なしですべて検出したアンチウイルス製品および研究開発チームに与えられる認定です。
Torを用いるボットネットの台頭
Torを用いるボットネットは2013年に入ってからその存在が明らかになっていましたが、ESETの研究者は今夏、Torを介した通信を行うマルウェアファミリーの増加を確認しました。マルウェア研究者Anton CherepanovとセキュリティインテリジェンスチームのリーダーAleksandr Matrosovは7月、Win32/AtraxおよびWin32/Agent.PTAのマルウェアファミリーをベースとする、Torを用いるボットネット2種を発見しました。いずれもさらなる詐欺活動を可能にするフォームグラビング機能を備えています。
7~8月に世界各地で開催されるセキュリティイベント
ESETは7月、米国で開催される次のイベントに出席します。
- 7月27日~8月1日、Black Hat USAおよびDefcon、ラスベガス(米国)。
翌8月には、ESETの代表者が、15日から21日にかけてドイツのケルンで開催されるヨーロッパ最大のインタラクティブなゲームとエンターテイメントのトレードショー、GamesCom 2013に出席する予定です。
続いて23日から26日にかけて、英国テルフォードで同国最大のゲームフェスティバルInsomniaが開催されます。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年7月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.78%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るNOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは25年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2012年9月に75回目となるVirus Bulletin誌の「VB100アワード」を獲得したESETのNOD32アンチウイルスは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。またVirus Bulletin以外にも、AV-ComparativesやAV-TESTなどの独立系テスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Endpoint Solution、ESET Mobile Security、ESET Cyber Security(Mac用ソリューション)は、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてサンパウロ(ブラジル)とプラハ(チェコ共和国)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。