TED日本語 - ミッコ・ヒッポネン: ウィルスと戦い、ネットを守る

TED日本語

TED Talks(英語 日本語字幕付き動画)

TED日本語 - ミッコ・ヒッポネン: ウィルスと戦い、ネットを守る

TED Talks

ウィルスと戦い、ネットを守る
Fighting viruses, defending the net
ミッコ・ヒッポネン
Mikko Hypponen

内容

最初のPCウィルス(Brain.A)が現れてから25年が経ちますが、かつては単に煩わしいだけだったものが、今や犯罪や諜報活動のための洗練された道具へと進化しています。コンピュータセキュリティの専門家であるミッコ・ヒッポネンは、私たちの知るインターネットをそのような新手のウィルスの脅威からどう守れるだろうかと問いかけています。

Script

I love the Internet. It's true. Think about everything it has brought us. Think about all the services we use, all the connectivity, all the entertainment, all the business, all the commerce. And it's happening during our lifetimes. I'm pretty sure that one day we'll be writing history books hundreds of years from now. This time our generation will be remembered as the generation that got online, the generation that built something really and truly global. But yes, it's also true that the Internet has problems, very serious problems, problems with security and problems with privacy. I've spent my career fighting these problems.

So let me show you something. This here is Brain. This is a floppy disk -- five and a quarter-inch floppy disk infected by Brain.A. It's the first virus we ever found for PC computers. And we actually know where Brain came from. We know because it says so inside the code. Let's take a look. All right. That's the boot sector of an infected floppy, and if we take a closer look inside, we'll see that right there, it says, "Welcome to the dungeon." And then it continues, saying,1986, Basit and Amjad. And Basit and Amjad are first names, Pakistani first names. In fact, there's a phone number and an address in Pakistan.

(Laughter)

Now,1986. Now it's 2011. That's 25 years ago. The PC virus problem is 25 years old now. So half a year ago, I decided to go to Pakistan myself. So let's see, here's a couple of photos I took while I was in Pakistan. This is from the city of Lahore, which is around 300 kilometers south from Abbottabad, where Bin Laden was caught. Here's a typical street view. And here's the street or road leading to this building, which is 730 Nizam block at Allama Iqbal Town. And I knocked on the door. (Laughter) You want to guess who opened the door? Basit and Amjad; they are still there. (Laughter) (Applause) So here standing up is Basit. Sitting down is his brother Amjad. These are the guys who wrote the first PC virus. Now of course, we had a very interesting discussion. I asked them why. I asked them how they feel about what they started. And I got some sort of satisfaction from learning that both Basit and Amjad had had their computers infected dozens of times by completely unrelated other viruses over these years. So there is some sort of justice in the world after all.

Now, the viruses that we used to see in the 1980s and 1990s obviously are not a problem any more. So let me just show you a couple of examples of what they used to look like. What I'm running here is a system that enables me to run age-old programs on a modern computer. So let me just mount some drives. Go over there. What we have here is a list of old viruses. So let me just run some viruses on my computer.

For example, let's go with the Centipede virus first. And you can see at the top of the screen, there's a centipede scrolling across your computer when you get infected by this one. You know that you're infected because it actually shows up. Here's another one. This is the virus called Crash, invented in Russia in 1992. Let me show you one which actually makes some sound. (Siren noise) And the last example, guess what the Walker virus does? Yes, there's a guy walking across your screen once you get infected. So it used to be fairly easy to know that you're infected by a virus, when the viruses were written by hobbyists and teenagers.

Today, they are no longer being written by hobbyists and teenagers. Today, viruses are a global problem. What we have here in the background is an example of our systems that we run in our labs, where we track virus infections worldwide. So we can actually see in real time that we've just blocked viruses in Sweden and Taiwan and Russia and elsewhere. In fact, if I just connect back to our lab systems through the Web, we can see in real time just some kind of idea of how many viruses, how many new examples of malware we find every single day. Here's the latest virus we've found, in a file called Server.exe. And we found it right over here three seconds ago -- the previous one,six seconds ago. And if we just scroll around, it's just massive. We find tens of thousands, even hundreds of thousands. And that's the last 20 minutes of malware every single day.

So where are all these coming from then? Well today, it's the organized criminal gangs writing these viruses because they make money with their viruses. It's gangs like -- let's go to GangstaBucks.com. This is a website operating in Moscow where these guys are buying infected computers. So if you are a virus writer and you're capable of infecting Windows computers, but you don't know what to do with them, you can sell those infected computers -- somebody else's computers -- to these guys. And they'll actually pay you money for those computers. So how do these guys then monetize those infected computers? Well there's multiple different ways, such as banking trojans, which will steal money from your online banking accounts when you do online banking, or keyloggers. Keyloggers silently sit on your computer, hidden from view, and they record everything you type. So you're sitting on your computer and you're doing Google searches. Every single Google search you type is saved and sent to the criminals. Every single email you write is saved and sent to the criminals. Same thing with every single password and so on.

But the thing that they're actually looking for most are sessions where you go online and do online purchases in any online store. Because when you do purchases in online stores, you will be typing in your name, the delivery address, your credit card number and the credit card security codes. And here's an example of a file we found from a server a couple of weeks ago. That's the credit card number, that's the expiration date, that's the security code, and that's the name of the owner of the card. Once you gain access to other people's credit card information, you can just go online and buy whatever you want with this information. And that, obviously, is a problem. We now have a whole underground marketplace and business ecosystem built around online crime.

One example of how these guys actually are capable of monetizing their operations: we go and have a look at the pages of INTERPOL and search for wanted persons. We find guys like Bjorn Sundin, originally from Sweden, and his partner in crime, also listed on the INTERPOL wanted pages, Mr. Shaileshkumar Jain, a U.S. citizen. These guys were running an operation called I.M.U., a cybercrime operation through which they netted millions. They are both right now on the run. Nobody knows where they are. U.S. officials, just a couple of weeks ago, froze a Swiss bank account belonging to Mr. Jain, and that bank account had 14.9 million U.S. dollars on it.

So the amount of money online crime generates is significant. And that means that the online criminals can actually afford to invest into their attacks. We know that online criminals are hiring programmers, hiring testing people, testing their code, having back-end systems with SQL databases. And they can afford to watch how we work -- like how security people work -- and try to work their way around any security precautions we can build. They also use the global nature of Internet to their advantage. I mean, the Internet is international. That's why we call it the Internet.

And if you just go and take a look at what's happening in the online world, here's a video built by Clarified Networks, which illustrates how one single malware family is able to move around the world. This operation, believed to be originally from Estonia, moves around from one country to another as soon as the website is tried to shut down. So you just can't shut these guys down. They will switch from one country to another, from one jurisdiction to another -- moving around the world, using the fact that we don't have the capability to globally police operations like this. So the Internet is as if someone would have given free plane tickets to all the online criminals of the world. Now, criminals who weren't capable of reaching us before can reach us.

So how do you actually go around finding online criminals? How do you actually track them down? Let me give you an example. What we have here is one exploit file. Here, I'm looking at the Hex dump of an image file, which contains an exploit. And that basically means, if you're trying to view this image file on your Windows computer, it actually takes over your computer and runs code.

Now, if you'll take a look at this image file -- well there's the image header, and there the actual code of the attack starts. And that code has been encrypted, so let's decrypt it. It has been encrypted with XOR function 97. You just have to believe me, it is, it is. And we can go here and actually start decrypting it. Well the yellow part of the code is now decrypted. And I know, it doesn't really look much different from the original. But just keep staring at it. You'll actually see that down here you can see a Web address: unionseek.com/d/ioo.exe And when you view this image on your computer it actually is going to download and run that program. And that's a backdoor which will take over your computer.

But even more interestingly, if we continue decrypting, we'll find this mysterious string, which says O600KO78RUS. That code is there underneath the encryption as some sort of a signature. It's not used for anything. And I was looking at that, trying to figure out what it means. So obviously I Googled for it. I got zero hits; wasn't there. So I spoke with the guys at the lab. And we have a couple of Russian guys in our labs, and one of them mentioned, well, it ends in RUS like Russia. And 78 is the city code for the city of St. Petersburg. For example, you can find it from some phone numbers and car license plates and stuff like that. So I went looking for contacts in St. Petersburg, and through a long road, we eventually found this one particular website.

Here's this Russian guy who's been operating online for a number of years who runs his own website, and he runs a blog under the popular Live Journal. And on this blog, he blogs about his life, about his life in St. Petersburg -- he's in his early 20s -- about his cat, about his girlfriend. And he drives a very nice car. In fact, this guy drives a Mercedes-Benz S600 V12 with a six-liter engine with more than 400 horsepower. Now that's a nice car for a 20-something year-old kid in St. Petersburg.

How do I know about this car? Because he blogged about the car. He actually had a car accident. In downtown St. Petersburg, he actually crashed his car into another car. And he put blogged images about the car accident -- that's his Mercedes -- right here is the Lada Samara he crashed into. And you can actually see that the license plate of the Samara ends in 78RUS. And if you actually take a look at the scene picture, you can see that the plate of the Mercedes is O600KO78RUS. Now I'm not a lawyer, but if I would be, this is where I would say, "I rest my case."

(Laughter)

So what happens when online criminals are caught? Well in most cases it never gets this far. The vast majority of the online crime cases, we don't even know which continent the attacks are coming from. And even if we are able to find online criminals, quite often there is no outcome. The local police don't act, or if they do, there's not enough evidence, or for some reason we can't take them down. I wish it would be easier; unfortunately it isn't.

But things are also changing at a very rapid pace. You've all heard about things like Stuxnet. So if you look at what Stuxnet did is that it infected these. That's a Siemens S7-400 PLC, programmable logic [ controller ] . And this is what runs our infrastructure. This is what runs everything around us. PLC's, these small boxes which have no display, no keyboard, which are programmed, are put in place, and they do their job. For example, the elevators in this building most likely are controlled by one of these. And when Stuxnet infects one of these, that's a massive revolution on the kinds of risks we have to worry about. Because everything around us is being run by these. I mean, we have critical infrastructure. You go to any factory, any power plant, any chemical plant, any food processing plant, you look around -- everything is being run by computers.

Everything is being run by computers. Everything is reliant on these computers working. We have become very reliant on Internet, on basic things like electricity, obviously, on computers working. And this really is something which creates completely new problems for us. We must have some way of continuing to work even if computers fail.

(Laughter)

(Applause)

So preparedness means that we can do stuff even when the things we take for granted aren't there. It's actually very basic stuff -- thinking about continuity, thinking about backups, thinking about the things that actually matter.

Now I told you --

(Laughter) I love the Internet. I do. Think about all the services we have online. Think about if they are taken away from you, if one day you don't actually have them for some reason or another. I see beauty in the future of the Internet, but I'm worried that we might not see that. I'm worried that we are running into problems because of online crime. Online crime is the one thing that might take these things away from us. (Laughter)

I've spent my life defending the Net, and I do feel that if we don't fight online crime, we are running a risk of losing it all. We have to do this globally, and we have to do it right now. What we need is more global, international law enforcement work to find online criminal gangs -- these organized gangs that are making millions out of their attacks. That's much more important than running anti-viruses or running firewalls. What actually matters is actually finding the people behind these attacks, and even more importantly, we have to find the people who are about to become part of this online world of crime, but haven't yet done it. We have to find the people with the skills, but without the opportunities and give them the opportunities to use their skills for good.

Thank you very much.

(Applause)

私はインターネットが好きです 本当に それがもたらしてくれたものを考えてください 私たちの使っているあらゆるサービス あらゆる繋がり あらゆるエンターテインメント あらゆるビジネス あらゆる売買 それが私たちの生きている間に起こったのです 何百年か後の歴史の本には きっと書かれることでしょう 私たちの世代は 人々がオンラインになり 本当に素晴らしい 世界規模のものを作り上げた 世代なのだと しかしインターネットには 深刻な問題があるのも確かです セキュリティの問題に プライバシーの問題 私はそういった問題と戦うことを 自らの使命としてきました

1つ面白いものをお見せしましょう これは Brainです この5.25インチの フロッピーディスクは Brain.Aに感染しています これはPCで発見された 最初のウィルスです Brainを誰が作ったのかは 分かっています コードの中に 書かれているからです 見てみましょう よしと これは感染したフロッピーのブートセクタです 中をよく見てみると ここのところに 「迷宮にようこそ」と書かれています それからさらに 「1986年 バシットとアムジャッド」とあります バシットとアムジャッドというのは パキスタン人のファーストネームです 実際 ここには パキスタン国内の電話番号と

住所も書かれています (笑)

これは1986年のことで 今は2011年ですから 25年前です PCウィルスの問題が現れて25年になるのです 半年前のことですが 私はパキスタンに行ってみることにしました パキスタンで撮った写真を何枚かお見せしましょう これはラホールの町で ビン・ラーディンが捕捉された アボッターバードから300キロほど南にあります 典型的な通りの様子です この通りの先に 「アラマ・イクバル町ニザム730番地」の建物があります それでノックしてみました (笑) ドアを開けたのが誰だと思いますか? バシットとアムジャッドです 今もそこに住んでいたのです (笑) (拍手) 立っているのがバシットで 座っているのが兄のアムジャッドです 世界最初のPCウィルスを書いた2人です もちろんとても興味深い話を聞くことができました なぜ作ったのかを聞きました 自分たちが始めたことをどう感じているのか そしてバシットとアムジャッド自身も これまでに何十回となく コンピュータウィルスに やられてきたと聞いて ある種の満足を覚えました 言ってみれば 世界には 正義があるということです

80年代や90年代のウィルスは 今ではもちろん 問題ありません それがどういうものだったのか 少し例をお見せしましょう 今動かしているのは 現在のコンピュータ上で 古いプログラムを走らせるためのシステムです ドライブをマウントして そこに入りましょう ご覧いただいているのは古いウィルスのリストです このコンピュータでいくつか動かしてみましょう

たとえば 「ムカデウィルス」を試してみましょう このウィルスに感染すると 画面の上の方を ムカデが走り回ります 画面に現れるので 感染したということはすぐにわかります これは別の「クラッシュ」というウィルスで 1992年にロシアで作られました 音の出るやつもお見せしましょう (サイレンの音) 最後の例ですが 「ウォーカーウィルス」が何をするか分かりますか? 感染すると 男が画面を横切って 歩いて行きます だから昔は ウィルスに感染したということは すぐにわかりました ウィルスを作っていたのは ホビイストや十代の子どもたちでした

今日では ウィルスを書いているのは もはやホビイストや十代の子どもではありません 現在ウィルスは世界規模の問題になっています 画面でご覧いただいているのは 私たちの研究所で動かしているシステムの例で 世界中のウィルス感染を追跡しています ウィルスをスウェーデンや台湾や ロシアでブロックしたことを リアルタイムで見ることができます 実際 研究所のシステムに Webで接続すれば 私たちが毎日どれほどの ウィルスやマルウェアを見つけているか 感覚としておわかりいただけると思います 一番新しく見つかったのは Server.exeの中 3秒前のことです その前のは6秒前です スクロールしていけば どれほどたくさんあるか お分かりいただけるでしょう 1日に何万 何十万と見つけています たった20分でこれだけになり それが毎日なのです

このウィルスはいったい どこからやってくるのでしょう? 今日では 犯罪組織が ウィルスを作っており 金儲けに使っています この? GangstaBucks.comのような集団です これはモスクワで運営されているWebサイトで 感染したコンピュータを買い取っています だからウィルス作者が Windowsコンピュータを感染させたけど それでどうしたらいいか分からないというとき その感染させた他人のコンピュータを この連中に売ることができます 彼らは実際それに対してお金を払ってくれます では彼らはそれをどうやって お金にするのでしょう? 方法がいくつかあります たとえばネットバンキングを狙ったトロイの木馬は ユーザがネットバンキングを利用したときに お金をかすめ取ります あるいはキーロガー キーロガーはコンピュータの中に潜んでいて ユーザがタイプしたことをすべて記録します だから皆さんがコンピュータに向かってGoogle検索したら すべての検索語が記録され 犯罪者の元へ送られます 皆さんが書くすべてのメールも 記録され犯罪者の元へ送られます パスワードやその他すべてそうです

彼らが一番求めているのは 皆さんがオンラインストアで買い物をする セッションです オンラインストアで買い物するとき 自分の氏名 送り先の住所 クレジットカード番号 クレジットカードのセキュリティコードを入力します これは何週間か前に あるサーバで見つけたファイルの例です クレジットカード番号 有効期限 セキュリティコード カード所有者の氏名の一覧です 他人のクレジットカード情報を手に入れたら その情報を使ってオンラインで何でも 買うことができます もちろんこれは問題です いまではオンライン犯罪をめぐって築かれた 闇のマーケットプレースや ビジネスエコシステムが存在しているのです

そういった連中がどれほどの 金を得ているかの1つの例として インターポールのサイトに行って 指名手配リストを見てみましょう ビョルン・サンディンというスウェーデン人が見つかります 共犯者も同様にインターポールの 指名手配リストに載っています シャイレスクーマー・ジェイン氏 アメリカ人です 彼らはI.M.U.というサイバー犯罪をやっていて それにより何百万ドルも手にしました どちらも逃亡中です 彼らの居所は誰も知りません 何週間か前にアメリカ当局が ジェイン氏のスイス銀行口座を 凍結しましたが 残高が1490万ドルありました

オンライン犯罪はとても 金になるということです それはまた オンライン犯罪者が 攻撃のために多額の投資をできるということでもあります オンライン犯罪者が プログラマやテスタを雇い プログラムをテストし SQLデータベースを使ったバックエンドシステムを 築いているということが分かっています 彼らは私たちのようなセキュリティ専門家の 活動を監視する資金も持っています そして私たちが構築するセキュリティ上の備えを 回避する方法を見つけようとします そして世界的であるという インターネットの特性を利用します インターネットはインターナショナルなものであり それがインターネットと呼ぶゆえんです

オンラインの世界で 何が起きているか 見てみましょう これはClarified Networksのビデオで 1つのマルウェアが世界を飛び回る様子が描き出されています この活動はエストニアから始まり Webサイトがシャットダウンしようとするとすぐに 別の国へと移動しています だからこの連中を潰すことができないのです 1つの国から別の国へ 1つの司法権から別の司法権へと切り替え 世界を動き回っています このような活動を国際的に取り締まる能力が 私たちにないことを利用しているのです インターネットは 世界のオンライン犯罪者たちに 無料の航空券を与えたようなものです かつては私たちに手の届かなかった犯罪者が 今や手が届くのです

ではどうすればオンライン犯罪者を見つけられるのでしょう? どうすれば彼らを追跡できるのでしょう? 例をお見せしましょう これは攻撃が仕組まれたファイルです いま攻撃用のコードが組み込まれた画像ファイルの 8進ダンプを見ています この画像ファイルをWindowsコンピュータで見ようとすると 制御を奪ってコードが実行されます

この画像ファイルの中身を見ると 画像ファイルヘッダがあり その後に攻撃用のコードがあります コードは暗号化されているので 解読しましょう 97とXORを取って暗号化してあります そうなんです 信じてください ここから 解読していきましょう 黄色くなっているのが解読された部分です 元のと大して違わないように見えますが ここのところに Webアドレスが 出てきます http://unionseek.com/d/ioo.exe この画像をコンピュータで開くと ファイルがダウンロードされ 実行されますが それはバックドアで コンピュータが乗っ取られることになります

さらに興味深いことに 解読を続けていくと 奇妙な文字列が出てきます O600KO78RUS 暗号化されたところに書かれた 一種の署名です 何かに使われるわけではありません 私はこれを見て 何を意味するのか突き止めようと思いました 当然Googleで検索してみましたが ヒットしません 研究所の仲間に聞いてみて ロシア人が何人かいるのですが その1人がRUSはロシアのことで 78はサンクトペテルブルクの 都市コードじゃないか と言いました 電話番号や 車のナンバープレートに付く数字です それでサンクトペテルブルクのチャンネルを探りはじめ 紆余曲折あって 最終的にはこのWebサイトに辿り着きました

Webサイトを何年もやっている あるロシア人のサイトで 彼はLive Journalでブログも書いています このブログで彼は自分の生活 20代前半の彼の サンクトペテルブルクでの生活や 猫や ガールフレンドのことを書いています それから彼は とてもいい車を持っています メルセデスベンツS600 6リッター12気筒 400馬力の エンジンを備えています サンクトペテルブルクに住む20代の若者にしては かなりいい車と言えるでしょう

どうして車のことがわかったのか? 彼がブログに書いたからです 彼は車の事故を起こしたのです サンクトペテルブルクの街中で 他の車にぶつけ 事故の写真をブログに載せています これが彼のベンツで こちらはぶつけた相手のラダサマラです ナンバープレートの最後が 78 RUSになっているのがわかります そしてこの写真を見ると ベンツのナンバープレート番号が O600KO78RUSだとわかります 私は法律家ではありませんが もしそうだとしたら 「以上で論証を終わります」と言っているところです

(笑)

ではオンライン犯罪者が特定されるとどうなるのでしょう? 多くの場合そこまで行きません オンライン犯罪の大半のケースでは 攻撃がどの大陸から来ているのかすら分からないのです そしてオンライン犯罪者を突き止められた場合でも 多くの場合どうにもできません 地元の警察が動かないとか 動いたとしても証拠不十分とか 何らかの理由で取り押さえられないのです もっと簡単になることを望みます あいにくとそうなってはいませんが

ものごとはとても早く 移り変わっています Stuxnetについてはお聞きになっているでしょう Stuxnetが感染したのは こういうものです Siemens S7-400 PLC プログラマブルロジックコントローラです PLCというのは私たちのインフラを動かしているものです 私たちの身の回りのあらゆるものを動かしています PLCはディスプレイもキーボードもない プログラムの入った小さな箱で 設置されて それぞれの仕事をします たとえばこのビルのエレベータも PLCでコントロールされているはずです そしてStuxnetがPLCに感染したとき 私たちの懸念しなければならない リスクの種類が 劇的に変わったのです 私たちの身の回りのあらゆるものが PLCで動いているからです 私たちにとって重要なインフラがあります どんな工場に行っても 発電所であれ 化学プラントや 食品加工工場であれ 見回せば あらゆるものがコンピュータで制御され

すべてがコンピュータで動いています あらゆるものがコンピュータの働きに依存しているのです 私たちは コンピュータの働きや インターネットや 電気のような基本的なものに 大きく依存するようになっています だからこれは私たちにとって まったく新しい問題を生むことになるのです 私たちはコンピュータが故障しても 機能し続けられる手段を 持つ必要があります

(笑)

(拍手)

備えができているというのは 当然だと思っているものがなくなっても やりくりできるということです これは実際とても基本的なことです 継続性について考え バックアップについて考え 大事なものが何かを考えるということです

前にも言いましたが

(笑) 私はインターネットが本当に好きです 私たちがネット上で使っているサービスを考えてみてください それが取り上げられたら ある日突然 何かの理由で それがなくなったら どうなるか考えてみてください 私はインターネットの素晴らしい未来を夢見ていますが 私たちが実際それを目にすることは ないかもしれないのです オンライン犯罪によって 壁に突き当たることを懸念しています オンライン犯罪は私たちから すべてを取り上げてしまうかもしれません (「スライドショーの最後です クリックすると終了します」 ? 笑)

私はインターネットを守ることに 生涯を捧げてきました オンライン犯罪と戦わないとしたら 私たちはすべてを失うリスクを冒すことになります 私たちはこの戦いを世界規模で 今すぐ始める必要があります 私たちに必要なのは オンライン犯罪組織を見つけるための もっと世界規模で国際的な法執行活動です 犯罪組織は ネット上の攻撃によって 何百万ドルという金を手にしています アンチウィルスやファイアウォールよりも 重要なことです 大事なのは 攻撃の背後にいる人間を見つけ出すことです さらに重要なのは オンライン犯罪の世界に 手を染めようとしていて まだ始めていない人間を 見つけるということです スキルは持っているが 機会に恵まれない人たちを見つけ 彼らにそのスキルを良いことに使える 機会を与えることです

どうもありがとうございました

(拍手)

― もっと見る ―
― 折りたたむ ―

品詞分類

  • 主語
  • 動詞
  • 助動詞
  • 準動詞
  • 関係詞等

関連動画