TED日本語 - ケイレブ・バーロウ: サイバー犯罪は一体どこから来るのか?

TED日本語

TED Talks(英語 日本語字幕付き動画)

TED日本語 - ケイレブ・バーロウ: サイバー犯罪は一体どこから来るのか?

TED Talks

サイバー犯罪は一体どこから来るのか?
Where is cybercrime really coming from?
ケイレブ・バーロウ
Caleb Barlow

内容

サイバー犯罪により、昨年は世界各地で約20億件のデータが喪失・盗難に遭い、それにより違法に得られた利益はなんと約4500億ドル。IBMセキュリティーのケイレブ・バーロウは、データを保護するためには現在の対策では不十分だと警鐘を鳴らします。では、その解決策とは?バーロウは、医療危機に瀕した際と同じように、総力を挙げて感染者を特定し、どのように感染が拡大しているのかタイムリーな情報を提供し合うといった対処が必要だと述べます。「情報を共有しなければ、あなたも問題の一部になるのです。」

Script

Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year,100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.

So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.

So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this,445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.

So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.

Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.

Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.

These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.

The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --

(Laughter)

if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?

(Laughter)

This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?

(Laughter)

This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.

This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.

So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.

(Laughter)

So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.

And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.

Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.

Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.

But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.

About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.

But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.

We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.

Thank you.

(Applause)

サイバー犯罪が 猛威を振るっています 至るところで発生し 毎日のように話題にのぼります 今年は 20億件を超える情報が 喪失または盗難に遭いました 昨年は 約1億人の 医療保険情報が盗まれ 被害者のほとんどはアメリカ人で 私もその1人です サイバー犯罪で特に懸念されるのは 多くの場合 報じられた時点で既に 数ヶ月経ってしまっているということです

それゆえに夕方のニュースを見ても 大抵の場合は諜報活動か 単一民族国家による行為と思われがちです それもあります ご存知の通り 諜報活動は 国際的に受け入られている慣習です しかしサイバー犯罪の中では 我々が直面している問題の ほんの一面に過ぎません どれだけの情報漏えい事件に 「単一民族国家による高度な攻撃の結果…」 という説明がされているでしょうか? 大抵の場合 これは企業が 自社の情報セキュリティ管理の甘さを 認めるのを渋っているだけです また 広く抱かれた このような通念があります 「攻撃を単一民族国家のせいにすれば 少なくとも 一定期間は 規制当局を遠ざけられる」

では これらの攻撃は一体 どこから来るのでしょう? 国連の推定では サイバー攻撃の80パーセントは 高度に組織化され かつ 非常に優れた犯罪集団によるものです 今日までに サイバー犯罪は 世界最大の闇経済の一つとなり その規模は 今や頂点に達し 4450億ドルにもなります この数値を相対的に考えてみましょう 4450億ドルという数値は 世界160か国のGDPよりも大きく アイルランドやフィンランド デンマーク ポルトガルなどのGDPを 超える数値です

では その仕組みとは? 犯罪者たちの手口とは? 一例をお話します 約1年前に 弊社の調査員たちは 金融機関を狙ったトロイの木馬で 平凡に見えて実は巧妙な 「Dyre Wolf」を調査しました Dyre Wolfはフィッシングメール内の リンクを不用意に開いてしまった人の パソコンに感染します その後すぐには何もせず 標的が銀行のサイトに ログインするのを待ちます ログインすると 犯罪者が認証情報を盗み取り そして口座から預金を盗むのです ひどい話に聞こえますが 情報セキュリティ業界では この類のサイバー攻撃は よくあることです けれどもDyre Wolfには 大きく異なる二つの人格があります 一つは小口取引が対象です ところが 大口の電信送金をする事業者に対しては 全く別の人格になるのです

例えば こんなことが起きます 電信送金の処理を始めると ブラウザーに銀行からの ポップアップ画面が開き 口座に問題があると 表示されます そして画面にある セキュリティ担当部門の番号に すぐに問い合わせるように 誘導されます そこであなたは電話をかけます その後 自動音声ガイダンスを経て オペレーターが英語で対応します 「はい Altoro Mutual 銀行です ご用件は何でしょうか?」 あなたは銀行に電話口で いつもするように 名前と口座番号を伝え 本人確認のための セキュリティチェックを終えます 大抵の人は知りませんが 多額の電信送金の多くは 2人の承認が必要なので オペレーターは もう1人 電話に出るように求めます そして同様の認証作業を終えます

普通のことですよね? 一つだけ問題があります オペレーターは偽者なのです 相手は犯罪者です 英語のヘルプデスクや 銀行サイトの偽ページを 用意していたのです これが実に非の打ち所なく遂行され 1回につき 50万から150万ドルが 犯罪者の金庫へと動くのです

これら犯罪集団の運営は まるで厳格に統制された 正当な企業さながらです 従業員たちは 月曜から金曜まで勤務し 週末は休みます なぜ分かるのか? それは弊社の 情報セキュリティ調査員たちが 金曜の午後にマルウェアが 急増するのを何度も見たからです 悪人たちは 妻や子供と週末を過ごした後 仕事に戻って 標的がどうなったかを確認します

彼らの活動場所は ダークウェブといいます サーフェスウェブに対して インターネットの底部を指す用語です この場所で犯罪者たちは匿名で 人知れず活動できます ここで彼らは 悪意のあるソフトウェアを密売し 新たな攻撃手法について 情報を共有します ここでは何でも購入できます 初歩的な攻撃レベルの商品から 非常に高度なものまで 実際 多くの場合において サービスのレベルさえも ピンからキリまであります 評判を確かめたりもできます 商品の中には 返金保証付きのものまであります

(笑)

攻撃が成功しなくても安心です さて このような環境も マーケットプレイスも 見た目は まるでアマゾンかイーベイです 商品やその値段 評価やレビューを見ることができます 当然ながら もしサイバー攻撃商品を買うなら 評価の高い信頼できる犯罪者から 買いますよね?

(笑)

新しいレストランに行く前に Yelpやトリップアドバイザーを見るのと 何ら変わりありません 一例として これはマルウェア販売者のページの 実際のスクリーンショット画像です 販売者レベルは4 信頼レベルは6です 昨年は 400件の肯定的なレビューを獲得し 先月の否定的なレビューは たった2件でした ライセンス条項だってあります これは身元を変えたくなった時に 訪れるサイトの一例です 売られているのは偽の身分証明書や 偽造パスポートです でもここ 偽の身分証明書を買うのに 法的拘束力を持つ条項があります 冗談も大概にしてほしいものです 一体何のつもりでしょう 契約違反の際に訴えるとか?

(笑)

これは数か月前に発生した事例です 弊社の情報セキュリティ調査員が うちが突き止めた アンドロイドを標的とする マルウェアアプリを調べていました 「Bilal Bot」という製品です 調査員が書いたブログでは Bilal Botの評価として 犯罪の闇世界では普及している ― ずっと高度な製品GM Botを廉価にした ― ベータ段階の新製品という 位置付けにしました

Bilal Botの開発者たちは このレビューの内容が不満でした そこで調査員に 送ってきたメールがこれです 先方なりの言い分を述べ 「あなたが批評したのは 旧バージョンではないか」 と主張しました そして より正確な内容に ブログを更新するよう求め 自分らが開発したマルウェアが いかに 競合製品と比べて ずっと優れているのかを 詳細に説明したいと インタビューを申し出ました

いいですか 彼らがしている事に 好感を持つ必要はありませんが その取り組みの根幹にある 起業家精神は 敬意に値します

(笑)

では こういったことを 阻止するにはどうするか? とは言え 黒幕を特定することは 不可能でしょう いいですか あちらは法の及ぶ範囲を超えて 匿名で活動していることをお忘れなく 犯人を告訴することは まずできません ですから私は 我々には全く新しい 取り組み方が必要であると提言します その核心に据えるべきは 悪人たちの収益構造に 打撃を与える必要がある という考え方です

この仕組みを把握するために 例えとして 伝染病が大流行した場合の 対処法について考えてみましょう 例えばSARSやエボラ出血熱 鳥インフルエンザやジカ熱です 何を最優先にしますか? 感染したのは誰か そして感染が どう拡大しているのかを知ることです さてここで 政府や民間組織 病院や医師たちは 総力を挙げてオープンに そして迅速に対応します このような 集団での利他的な努力は 病の蔓延を食い止める目的や 感染していない人たちには 予防法や予防接種の受け方を 知らせるために行われます

残念なことに サイバー攻撃に対する 現行の対応は全く別物です 組織はサイバー攻撃に関する情報を 公開せずにおく傾向が ずっと強いのです なぜでしょう? その組織にとっての 競争上の優位性や 訴訟あるいは 法規制を気にするからです 情報セキュリティの脅威情報は 効果的に民主化する必要があります これらすべての組織に 溜め込んだ非公開情報を 開示し共有してもらう必要があります 悪人たちの動きは素早いので 我々は更に迅速に動く必要があります その最善の方法は 最新状況のデータを開示し そして共有することです

情報セキュリティ専門家とは どんな人なのか考えてみましょう DNAにまで 秘密保持が 組み込まれているような人たちですよね その思想を 覆さなくてはなりません 我々は 政府や民間組織 そして情報セキュリティ企業に 進んで迅速に情報を 共有してもらわなくてはなりません というのも もしもあなたが情報を共有すれば それは予防接種に相当します 共有しないなら あなたも問題の一部です 同じ攻撃方法で 他の人が被害に遭う可能性を 高めていることになるからです

情報共有には 更に大きな利点があります ほぼリアルタイムで 犯罪手段に対策を打つことになり 犯行計画を阻止できます 犯罪者たちの予想を はるかに超える速さで 標的になった人々に連絡できます 犯罪者の信用に傷をつけ 評価や評判に泥を塗ります サイバー犯罪が 儲からないようにするのです 悪人たちの経済情勢を変えるわけです しかし 誰かが 先陣を切らねばなりません そして情報セキュリティ業界全体の 考え方を変えるのです

およそ1年前に 同僚たちと一緒に ある過激な構想を練りました もしも我々IBMが 社内で保有するデータを取り出し ― 情報セキュリティの脅威に関する 世界最大級のデータベースです ― 中を見てみたならば? そこには 過去に起きたことばかりでなく ほぼリアルタイムで起きている 情報も含まれていました もしもインターネット上で 全てを公開したらどうなるか? ご想像通り かなりの反響が起きました まずは弁護士が来て 「法的に問題は起きないのか」 と聞かれました 次に企業が来て 「商業面で影響はないのか」 と聞かれました さらに大変多くの人たちから 正気を失ったんじゃないか と言われました

しかし どんな会話においても 必ず話題にのぼる点がありました 「もしもこれを試さなかったら 我々も問題の一部である」 という気づきです そこで 情報セキュリティ業界には 前例のなかったことをしました データの一般公開を始めたのです セキュリティ脅威に関する 700テラバイトを超える対処可能なデータで サイバー攻撃の リアルタイム情報も含まれ その足跡からサイバー犯罪を 止めるのに利用できます そして今までに 4000以上の組織が このデータを活用し その中には『Fortune 100』企業の 半数が含まれます 我々が次段階として期待しているのは これらの組織全てが戦いに加わり 我々と同じように いつどのように攻撃されているか 情報を共有してくれることです

サイバー犯罪を阻止する機会は 誰にでもあり その手段も既に誰もが知っています 我々は 医療の世界で起こること ― 疾病の流行にどう対処するかに 倣うだけでいいのです つまり 情報を開示し 協力し合うべきだということです

ありがとうございました

(拍手)

― もっと見る ―
― 折りたたむ ―

品詞分類

  • 主語
  • 動詞
  • 助動詞
  • 準動詞
  • 関係詞等

関連動画