大河原克行のクローズアップ!エンタープライズ

サイバー犯罪対策の研究拠点、米Microsoft本社のサイバークライムセンターを訪ねる

 シアトル近郊のワシントン州レドモンドにある米Microsoft本社キャンパス内に、サイバークライムセンターがある。2013年11月に設置されたサイバークライムセンターは、サイバー犯罪対策の研究センターとして位置づけられ、約100人の法律専門家、技術捜査員、データ分析専門家などによって構成されるサイバー犯罪対策部門「デジタルクライムユニット」が在籍。マルウェアやボットネットなどのサイバー脅威の監視や情報収集、政府機関や企業と連携したテイクダウンなどの対抗策、防御策を行っている。

 このほど、サイバークライムセンターを訪れる機会を得た。これまで全世界から600社以上が見学をしたという同センターを、日本のメディアに公開するのは今回が初めてのこと。写真撮影は禁止されたが、その内部の様子を取材することができた。米本社のサイバークライムセンターの様子をレポートする。

サイバークライムセンターは本社キャンパスのレッドウエストに位置する(写真提供:Microsoft)
レッドウエストのC棟のなかにサイバークライムセンターはある(写真提供:Microsoft)
写真撮影が許されたサイバークライムセンターの入り口の様子
入り口はセキュリティカードで厳しく管理している

毎秒12人がサイバー犯罪の被害に

 Microsoftは、セキュリティに対する取り組みを、最優先事項のひとつに位置づけている。

 中でも、クラウドサービスの提供においては、「Trustworthy Cloud」(信頼できるクラウド)を追求。そのために、「サイバーセキュリティ」「データプライバシー」「コンプライアンス」「透明性の確保」の4つの取り組む姿勢を打ち出しており、今回訪問したサイバークライムセンターは、サイバーセキュリティを実現するための戦略的拠点となる。

 同社では、「世界で15億人が利用するWindowsや、パブリッククラウドサービスであるMicrosoft Azure、Office 365などを提供している企業の社会的責任として、すべてのインターネット利用者に影響のあるサイバーセキュリティ対策を、政府機関やパートナー企業と連携して、世界規模で実施してきた。こうした活動から得た情報や知見を、Microsoftの製品やクラウドサービスの技術開発に反映することで、お客さまのより安全なIT環境の構築および維持に取り組んでいる。サイバークライムセンターでは、マルウェアやボットネットなどのサイバー脅威の監視や情報収集のほか、サイバー犯罪者に乗っ取られたコンピュータネットワークをテイクダウンさせるための対抗策、防御策を、政府機関や企業と連携した形で実行している」とする。

 今回、取材に応じた米Microsoft Digital Crimes UnitのPatti Chrzanシニアディレクターは、「毎秒12人がサイバー犯罪の犠牲者となっている。また、マルウェアが企業内で発見されるまでに、平均で約200日間潜伏している。さらに、140カ国において、サイバー兵器の開発が行われており、企業においては、サイバー攻撃により成長や製品そのものへの被害という観点で、3兆ドルもの影響を受けているというデータもある。サイバークライムセンターでは、コンシューマユーザー、エンタープライズユーザーのすべてを守ることが目的であり、ユーザーの保護のために、最新の技術を活用し、洞察を得て、対策を講じるための努力をしている」と語る。

取材に応じてくれた米Microsoft Digital Crimes UnitのPatti Chrzanシニアディレクター(写真提供:Microsoft)

 サイバークライムセンターでは、PowerMap、PowerBI、SQL Server、Office 365、Microsoft AzureといったMicrosoftの製品を活用して、全世界のサイバー脅威に関する情報を収集。これをCyber Threat Intelligence Programという仕組みを活用して解析し、最新データをもとに、リアルタイムに確認、分析を行うことができるという。

 サイバー犯罪捜査などで国際的な対応が必要となる場合は、これらの情報に基づいて、欧州刑事警察機構(Europol)や米国連邦捜査局(FBI)、国際刑事警察機構(Interpol)を含む各国の司法当局、また、学術関係者、世界中の政府機関および非政府組織(NGO)などと、サイバークライムセンターのデジタルクライムユニットとが連携し、活動を行うことになる。

サイバークライムセンターの入り口に書かれた文字。先頭に立って、サイバー犯罪と戦う姿勢を示している(写真提供:Microsoft)
全世界から収集したデータをリアルタイムで解析している

 なお、サイバークライムセンターは本社キャンパス内にあるが、ネットワーク環境は、本社のネットワークとは隔離した形で用意されており、同時に、全世界にあるサイバークライムセンターのサテライト拠点とを結んでいる。

 2015年2月には、東京・品川の日本Microsoft品川本社オフィス内に、世界で5番目となる「Microsoft サイバークライムセンター 日本サテライト」を開設。日本におけるサイバーセキュリティへの取り組みを強化した。

 2020年に開催される東京オリンピック/パラリンピックに向けて、政府機関や企業への攻撃がさらに増加することが想定されるため、米本社のサイバークライムセンターとの連携によって、グローバルでのノウハウや知見を活用し、サイバー攻撃に対応していくことになるという。

 Cyber Threat Intelligence Programによって得られる最新データから、日本に関連する情報だけを抽出および分析して、日本に対するサイバー攻撃の傾向などの情報を、セキュリティ関連団体などを通じて公表していくといった活動が今後は増えていくことになりそうだ。

デジタル弱者を守るための活動

 サイバークライムセンターに在籍するデジタルクライムユニットでは、主に2つの分野に焦点を当てた活動を行っているという。

 ひとつは、デジタル弱者を守る活動だ。

 例えば、家族のなかには技術に精通していない高齢者がいる。そうした家族がインターネットにアクセスして、不用意にサービスを利用し、クレジットカード番号が盗まれるといったことが、世界各国でひんぱんに行われている。

 「こうした詐欺は、最も急速な拡大している被害である。米国では、毎年330万人に対して被害が発生しており、その規模は、15億ドルにも達している」という。

 Microsoftでは、こうした詐欺サイトを発見すると、関連団体などに情報を提供し、犯人逮捕のために執行機関とも協力体制を取るという。

 デジタル弱者の保護という観点では、子供の保護もある。ここでは、特に性的虐待による被害が深刻な問題だという。

 「世界的にみると、女児の5人に1人、男児の10人に1人が、虐待の犠牲者となっている。そして、それらの画像は毎分500枚のペースでインターネットにアップロードされている。こうした被害を防ぐことがわれわれの役目でもある」とする。

 サイバークライムセンターでは、「PhotoDNA」と呼ぶサイバー犯罪対策サービスを、オンラインサービス事業者や捜査機関に無償提供している。

 「PhotoDNA」は、児童ポルノ画像検出技術であり、オンライン犯罪対策のツールとしてグローバルで活用されているものだ。

 ここでは、ダートマス大学と協力。フォトフィンガープリント(写真指紋)とハッシュIDと呼ばれる独自の技術を活用して、登録した行方不明の子供たちの情報と照合し、行方を突き止めることにも役立てている。「これは単なる顔認識に基づくものではなく、写真を改ざんしたり、傷をつけたりした場合にも、同一の人物であるということを認識できる技術になっている」とする。

 PhotoDNAでは、これまでに登録した画像をもとに児童ポルノ画像の流通を阻止することにも活用。このツールを利用することで、2014年には、58人を逮捕。さらに、1億2500万枚の画像をスキャンして、監視を続けているという。

 「今後は、動画、ライブストリーミングなどにも対応し、児童ポルノ映像の撲滅に協力をしていくことになる」と語った。

Microsoftが無償で提供しているPhotoDNA

ユーザーの多くのマルウェア感染に気が付いていない

 もうひとつの活動が、マルウェア対策だ。

 マルウェアによる被害は世界的な問題となっており、「マルウェアと戦うことで、デジタルワールドにおけるリスクを軽減することができる」とする。

 いまでは、コンピュータの66%がマルウェアに感染しているといわれるが、ユーザーの多くは、自分のデバイスにマルウェアが感染していることに気がついていないと、Chrzanシニアディレクターは指摘する。

 「感染したデバイスから搾取された情報は、組織構造のように構成されたチェーンをさかのぼり、その先頭にいる犯罪者へとたどり着くようになっている。このチェーンを切断することが、マルウェア対策には大切である」とする。

 Rustockと呼ばれるマルウェアは、250万台のデバイスに影響を与えており、実在する企業のロゴなどを使用したメールを通じて、デバイスのなかに入り込んだという。

 Microsoftでは、このマルウェアのために構築されたチェーンを切断。コマンドを実行してもMicrosoftにリダイレクトされ、被害が発生しないようにしているという。

 「Microsoft製品のユーザーは、Windows Defenderを利用することで、バックグラウンドで自分のコンピュータをきれいにできる。だが、これを有効にするのはユーザー自身であり、われわれには有効にする権限がない。リスクを最小限に抑えるためには、これを活用することが最適である。いまでは、250以上のマルウェアに対応し、3億台のデバイスに対して、直接的および間接的に対策を行えるようになっている」などと述べた。

 さらに、「デジタルクライムユニットでは、Azureのハイパースケールクラウド環境を活用することで、迅速にデータを取得し、それに基づき、適切な行動をするようにしている。さらに、これらの対策を進化させるため、インテリジェントクラウドの技術を活用している」という。

感染状況を再現するマルウェアラボ

 今回、サイバークライムセンター内の施設のひとつである、マルウェアラボも見学することができた。

 ここでは、実際に、デバイスにマルウェアを感染させ、どんな挙動を示すのか、感染した結果、どこにつながるのかといったことを観察。また、マルウェアをリバースエンジニアリングして、どんな仕組みになっているのかといったことも分析するという。それらの結果をもとに、関連機関などに情報を提供し、サイバー犯罪の被害を最小限に食い止めるといった成果につなげている。

 もうひとつは、偽造ソフトウェアを通じたマルウェア感染被害への対策だ。日本では偽造ソフトウェアは少なくなっているが、新興国ではまだ偽造ソフトウェアが数多く流通しているケースもあり、中には約70%が偽造ソフトウェアだという地域もある。こうした偽造ソフトウェアの場合、約30%が、事前にマルウェアに感染している状態で流通しているという。

 偽造ソフトウェアでは、フロダクトキーを不正に利用して、アクティブ化する動きもある。

 Microsoft製品の場合には、中国のパッケージ工場において、従業員がこのプロダクトキーを不正に入手。リブートするためにアクティベーションする比率は全体の2%というのが一般的だが、ここでは90%ものアクティベーション率となっていることから、プロダクトキーが不正に流出していることを発見。工場で勤務していた社員は、これを1ドルで横流し販売をしていたという。Microsoftの被害額は2000万ドルに達したというが、犯罪者は8年の禁固という重い実刑を受けたという。

 こうした不正なプロダクトキーの流出防止も、マルウェアの拡大を止めることにつながるというわけだ。

日本サテライトとの連携を強化

 サイバークライムセンターでは、今後、インテリジェントクラウドを活用した分析を強化する姿勢を示す。

 機械学習の機能を活用するほか、リスク状況を地域や業界ごとといった切り口で可視化し、その状況を顧客や関連機関と共有するといったことにも取り組む。すでに、タッチパネル機能を搭載した大型ディスプレイをセンター内に設置。世界各国の地域ごとのサイバー攻撃の実態を、ビジュアル機能を活用して視覚的に表示できるようになっていた。

 「サイバークライムセンターは、これからも革新を続け、よりスマートで、より良い分析を通じて、常に犯罪者に対抗しうる方法を示していく。関連機関との連携もより強化していくことになる」とした。

 また、Chrzanシニアディレクターは、「日本サテライトの陣容は、米国のサイバークライムセンターに比べて規模は小さいが、相互に連携することで、最新のサイバー攻撃対策を行うことができる。日本のユーザーに対しても、セキュアな環境を提供することに、引き続く力を注いでいく」と語った。

 サイバークライムセンターは、世界各国のサテライトと連携し、グローバル規模でのサイバー犯罪対策を行う体制を確立しているというわけだ。

ミーティングルームも用意され、ここでセミナーなども行うことができる(写真提供:Microsoft)
サイバークライムセンターの反対側には、サイバーディフェンスオペレーションセンターがある

(大河原 克行)