TED日本語 - ミッコ・ヒッポネン: 3種類のオンライン攻撃

TED日本語

TED Talks(英語 日本語字幕付き動画)

TED日本語 - ミッコ・ヒッポネン: 3種類のオンライン攻撃

TED Talks

3種類のオンライン攻撃
Three types of online attack
ミッコ・ヒッポネン
Mikko Hypponen

内容

サイバー犯罪の専門家ミッコ・ヒッポネンは、私たちのプライバシーやデータを狙うオンライン攻撃には3種類あり、そのうちの2つだけが犯罪とみなされていると言います。「将来の政府をみんな盲目的に信じるのでしょうか? 権利を手放すなら、それは永遠に手放すことになるのです」

Script

In the 1980s in the communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody could do this, how much this would restrict freedom of speech. We would never do that in our own countries.

But today in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways that our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.

If we take a look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dimitry Golubov from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money, and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin form Tartu in Estonia. This is Alfred Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.

These guys make their fortunes online, but they make it through the illegal means of using things like banking trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The U.S. Secret Service,two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million U.S. dollars on it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.

The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.

So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states, governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a Certificate Authority from The Netherlands -- or actually, it was. It was running into bankruptcy last fall because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was yes.

So how do people die as the result of a hack like this? Well DigiNotar is a C.A. They sell certificates. What do you do with certificates? Well you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can if they hack into a foreign C.A. and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.

What about Arab Spring and things that have been happening, for example, in Egypt? Well in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building they found lots of papers. Among those papers, was this binder entitled "FINFISHER." And within that binder were notes from a company based in Germany which had sold the Egyptian government a set of tools for intercepting -- and in very large scale -- all the communication of the citizens of the country. They had sold this tool for 280,000 Euros to the Egyptian government. The company headquarters are right here.

So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago the so-called State Trojan was found, which was a trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.

Now when we think deeper about things like these, the obvious response from people should be that, "Okay, that sounds bad, but that doesn't really affect me because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument, which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any right we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.

1980年代 共産主義の東ドイツでは タイプライターを所持するには 政府に届け出る必要がありました タイプライターの 出力サンプルを 登録する必要があったのです それは政府が 文書の出所を追跡できるようにするためでした 悪い思想の書かれた 文書が見つかったとき その作者を 突き止められるように 私たち西側の人間には 考えがたいことでした これが言論の自由をどれほど制限することか 私たちの国で このようなことが行われたことはないでしょう

しかし2011年の今日 どこでも主要なメーカーの カラーレーザープリンタを買って ページを印刷してみると どのページにも 微かな黄色い点が 見つかります そしてそのパターンは 個々のプリンタに固有のものになっているのです これは今日 私たちに起きていることです しかしそのことで騒ぎ立てる人は誰もいないようです これは 政府が 私たち市民に対し テクノロジーを行使している ひとつの例です そしてこれは 今日 ネット上の問題の 主要な3つの源の1つです

ネットの世界で何が起きているかをよく見ると 攻撃は攻撃者によって分類できます 主なグループが3つあります まずオンライン犯罪者がいます このウクライナはキエフ市の ディミトリ・ゴルボフ氏のような オンライン犯罪者の動機は ごく分かりやすいものです 彼らは金を稼いでいるのです オンライン攻撃で 金を稼いでいます たくさんの金です 実際オンライン攻撃で 財を築いた億万長者は 何人もいます これはエストニアのタルトゥ市出身のウラディミール・チャスツィン これはアルフレッド・ゴンザレス スティーブン・ワット ビョルン・サンディーン マシュー・アンダーソンに タリク・アルデウア まだまだいます

彼らは ネットで富を築きましたが 違法な手段を使ってのことです トロイの木馬を使って ネットバンキング利用者から 金を盗んだり キーロガーを使って 感染したコンピュータでオンラインショッピングする人から クレジットカード情報を抜いたりしています 米国のシークレットサービスは 2ヶ月前に サム・ジェイン氏のスイス銀行口座を 凍結しました その口座には米ドルで 1490万ドルありました ジェイン氏自身は逃亡中です どこにいるのか誰も知りません 今日の時点ですでに リアルの世界で犯罪に遭うより オンライン犯罪の被害者になる可能性の方が 高いのではと考えています そして当然のこととして 状況は悪くなる一方です 将来 犯罪の大部分は ネット上で起こっているのではないでしょうか

今日私たちが目にするオンライン攻撃者の 主要なグループの2つ目は お金で動機づけられてはいません 彼らは何か別の理由 何かへの抗議や 主義主張のため あるいは悪ふざけで活動しています Anonymousというグループは この12ヶ月ほど活気づいていて オンライン攻撃において 大きな存在になってます

ですから主要な攻撃者には3種類 金のためにやっている犯罪者や Anonymousのような抗議活動をする ハクティビストがいて そして最後のグループとして 国家があります 政府が攻撃をしているのです DigiNotarの事例を 見てみましょう これは政府が その国民に攻撃を仕掛けるとき 何が起きるかの良い例です DigiNotarはオランダの 認証局です いや 認証局でした ハックされたことが元で この秋に 潰れたのです 何者かに侵入され 徹底的にハックされました 先週 オランダ政府関係者と会談したとき 彼らの代表者に DigiNotarのハッキングが原因で 死人が出たと思われるか 尋ねてみたところ 答えはイエスでした

このようなハッキングの結果として どうして人が死んだりするのでしょう? DigiNotarは認証局です 彼らは証明書を発行しています 証明書は何に使うのでしょう? Webサイトがhttpsを使うためには 証明書が必要です SSL暗号化されたサービスです Gmailなどはその例です 私たちの多くが Gmailのようなサービスを使っていますが こういったサービスは イランみたいな全体主義国家で 特に人気があり 反体制活動家は Gmailのような外国のサービスを使っています その方が国内のサービスよりも信頼でき SSL暗号化されているので 政府にスパイされる心配も ありません ただし認証局がハックされて 偽の証明書を発行されたら話は別です そしてまさにそれが DigiNotarの事件で起きたことでした

アラブの春はどうでしょう? たとえばエジプトで起きていることは? エジプトでは 2011年4月に 秘密警察の本部を 暴徒が占拠しました そのときに彼らはたくさんの文書を見つけました その中に“FINFISHER”という バインダがありました そのバインダには ドイツを本拠とする企業の文書があり その企業はエジプト政府に 傍受のためのツールを 売っていたのです とても大規模な傍受で すべての国民の通信が対象でした その企業は傍受ツールを 28万ユーロでエジプト政府に売りました 今出ている写真は その会社の本社です

欧米の政府が 全体主義国家が国民に対して使う ツールを提供しているのです しかし欧米の政府もまた 自国民に同じことをしています たとえばドイツで ほんの2週間ほど前に “State Trojan”というトロイの木馬が見つかりました これはドイツ政府が 自国民の調査をするために 使っているものです 犯罪の容疑者であれば 電話は盗聴されることになるでしょう しかし今日ではそれ以上です インターネット接続に侵入し コンピュータをState Trojanのような トロイの木馬に感染させ それを使って すべての通信を監視し ネット上の会話を盗み見 パスワードを抜き取っているのです

このようなことを よく考えた時 人々の典型的な反応はこんな感じでしょう 「まずいことに聞こえるけど 実際は影響ないよ 法を守っているんだから なぜ心配しなきゃいけないの? 隠すことなんてないよ」 そのような議論は 意味がありません プライバシーは黙示の権利です プライバシーは議論の対象ではありません これは プライバシー 対 治安 という話ではなく 自由 対 統制 という問題なのです 私たちは2011年現在の政府を 信頼しているかもしれませんが 権利を手放すなら それは永遠に手放すことになるのです 将来の政府をみんな 盲目的に 信頼するのでしょうか? 50年後の政府も? これは私たちが今後50年間 心配しなければならない問なのです

― もっと見る ―
― 折りたたむ ―

品詞分類

  • 主語
  • 動詞
  • 助動詞
  • 準動詞
  • 関係詞等

関連動画