イベント
WithSecureのミッコ・ヒッポネン氏、技術革新の光と影を語る
2024年6月5日 06:00
セキュリティ業界で世界的に著名な研究者として知られるミッコ・ヒッポネン(Mikko Hypponen)氏。フィンランドに本社を置くWithSecureで最高リサーチ責任者を務める人物だ。1991年に分社化前の旧F-Secureに入社し、33年間同じ企業に所属していることから、「長年同一企業に勤務する日本のサラリーマンと同じ。私はサイバーセキュリティサラリーマンだ」と、自らを紹介する。
そんなヒッポネン氏の講演は、とにかく人を惹きつける。WithSecure主催の年次イベント「SPHERE24」では、基調講演での登壇に加え、メディア向けセッションと、日本からのメディアに対する特別会見も行われたが、それぞれスピーチの内容を変えつつ、ユーモアを交えて聴衆の心をつかんでいた。
ここでは、3回にわたって行われたヒッポネン氏の講演の一部を紹介する。
発明を取り消すことはできない
ヒッポネン氏による基調講演のテーマは、「We Can't Uninvent Things」(発明を取り消すことはできない)だ。同氏は、技術革新は素晴らしいとしつつも、思わぬ弊害をもたらすこともあるとし、「発明されたものをなかったことにはできない。一度世に出てしまうと、その光と影の両面を受け止めながら付き合っていく必要がある」とした。
技術革新の一例として、ヒッポネン氏はインターネット革命を挙げる。「インターネット革命は娯楽やコミュニケーションのあり方を一変させた素晴らしい発明だ。その一方で、オンライン犯罪のリスクも高まっている」とヒッポネン氏。また、TCP/IPプロトコルについても、技術は素晴らしいとしつつも「意図せずして工場や発電所がインターネットにつながってしまう危険性がある。インターネットは一度接続されると、望まない接続を遮断するのが難しい」と述べた。
またヒッポネン氏は、ソーシャルメディアの光と影についても言及。「ソーシャルメディアの誕生は、双方向コミュニケーションを実現させた。それまではテレビやラジオ、新聞などから一方通行で情報を得ていたのが、ソーシャルメディアによって誰もが情報を発信できるようになった」と、そのメリットを語った上で、「誰もが情報発信できるようになったことで、デマや陰謀論が広がりやすくなった」と影の部分も指摘した。
暗号化技術にも光と影があるという。光の部分は、盗難や改ざんを防ぐのに有効で、オンライン上のやり取りを安全に保てる点だ。しかし、「犯罪者やテロリストも暗号化技術を悪用できてしまう。この技術を使用して、違法な取引を誰にも知られることなく進められるほか、ランサムウェアが流行しているのも強力な暗号化技術があるためだ」とし、「技術そのものは情報保護に役立つが、犯罪者に悪用されやすい」と述べた。
さらにヒッポネン氏は、ブロックチェーンという革新的技術によって仮想通貨が誕生したことにも触れた。この発明そのものについては評価しつつも、「仮想通貨は現金と同じように容易にオンライン上でやり取りができてしまうため、犯罪にも悪用されやすく、サイバー犯罪組織の活動資金にもなっている。仮想通貨は換金しやすく、価値も上がりやすいので、サイバー犯罪で得た利益を容易に資産として蓄えられる。その資金でより高度な攻撃が可能になり、組織の大規模化も進んでいる」と懸念を示した。
サイバー犯罪組織のブランド化
ヒッポネン氏は、最近のサイバー犯罪組織の傾向として、ブランディングに注力している点を指摘する。「恐ろしげなブランドを構築することで、標的となる企業や個人を威嚇し、より容易に犯罪を成功させる狙いがある。ランサムウェア集団のLockBitも、ブランディングしている組織の一例だ」とヒッポネン氏。
また、ブランディングには、商売相手になる犯罪者であることを示す狙いもあるという。つまり、このランサムウェア集団に対しては、身代金さえ支払えばファイルが戻り、二度と狙われることはない、といった評判を構築しようとしているのだ。「そのため、彼らはテクニカルサポートも運営しており、ファイルが戻るようサポートもしてくれる。良い評判がなければ誰も身代金を支払わなくなるためだ」(ヒッポネン氏)。
セキュリティ専門家としては、「身代金を支払わないように」とアドバイスをするものの、重要なインフラが狙われたケースではやむを得ず身代金を支払うケースも数多く存在するという。「石油パイプラインや医療関連、さらには警察が身代金を支払ったケースも複数回ある」とヒッポネン氏は明かす。
ヒッポネン氏は、このようにパワフルで資金力のある犯罪集団のことを「サイバー犯罪ユニコーン」と呼ぶ。ユニコーンとは、10億ドル以上の価値があるスタートアップ企業を指す言葉だが、サイバー犯罪ユニコーンとは、サイバー犯罪集団を企業と想定した場合、ユニコーン企業と同等の成果を上げられるような犯罪集団のことだ。
「サイバー犯罪ユニコーンの時代が始まった。こうした犯罪集団は、ドルやユーロではなくビットコインで財産を築いている。現金だと金の流れが突き止められるが、ビットコインであれば誰にも知られることなく送金できる。犯罪集団はそこに目をつけた。ビットコインの価値は当初から何倍にも膨れ上がっており、犯罪者は税金も支払わないため、その分資金も潤沢だ」(ヒッポネン氏)。
飛躍的進歩を遂げるAI
ヒッポネン氏は、AIが飛躍的な進歩を遂げていることについても触れ、AIによる音楽生成技術が作詞・作曲した楽曲を披露した。「『フィンランドのケーブルファクトリー(※今回のイベント会場)に集結したサイバーセキュリティのオタクに関するロックソングを』というプロンプトを投げかけると、ほんの30秒でこの楽曲ができあがった。本当にすごい。この前、無意識にこの曲を口ずさんでしまい、なんてこったと思ったよ」とヒッポネン氏。
同氏によると、OpenAIはベーシックインカムについて調査しているという。「つまり、OpenAIはわれわれが全員失業する未来を予測しているということだ。単に失業するだけでなく、働く必要がなくなる。そのような未来を見越して、OpenAIはベーシックインカムについて調べている」
またヒッポネン氏は、「AI技術が犯罪にも悪用され始めており、AIを活用したマルウェアやディープフェイクが登場している」と懸念を示す。
例えば、4カ月前には香港の企業がディープフェイク攻撃によって2500万ドルをだまし取られたという。被害者の女性経理担当者は、CFOからのメールで高額な取引に関するオンラインミーティングに招待された。怪しいと感じながらもミーティングリンクをクリックすると、そこにはほかのチームメンバーがすでに議論を進めており、「そんな高額な取引をして大丈夫なのか?」など、被害者自身が疑問に思っていた質問をCFOにぶつけている。すべての質問に答えたCFOは、疑問点はクリアになったので送金するよう被害者に促し、ミーティングは終了。被害者は言われた通り送金した。
ところが、このミーティングはディープフェイクによる偽のミーティングだった。チームメンバーの画像を準備し、ミーティング内容をすべて事前にレンダリングしてストーリーを作り上げたものだったのだ。「CFOと1対1で話す場合は、リアルタイムでCFOをディープフェイク化する必要があるが、あらかじめ用意された画像や音声を使って偽のミーティングを作成するにはあまり高度な技術も要さない」とヒッポネン氏は指摘、AIの進歩によって技術が悪用されるリスクが増大していることを強調した。
「技術革新にはメリットだけでなく、デメリットもある。発明を取り消すことはできないのだから、その両面を受け止め、対策していかなくてはならない」とヒッポネン氏は述べた。