攻撃の特定は情報セキュリティの最大の課題の 1 つです。専門家は攻撃元を特定するのに苦労しており、証拠が覆せないと感じた場合にのみ攻撃元を特定します。
しかし、カスペルスキー研究所の「透明性ツアー」では、同社は最近の苦境について何の証拠もないまま説明を進めている。
このツアーは、同社がサイバー犯罪者以外の誰にとっても危険ではないことを私たち全員に納得させ、それを証明するために近々「透明性ラボ」を開設することを説明する試みである。
同社は今日、これらの点を訴えるため、オーストラリアのシドニーに重鎮を派遣した。広報担当副社長のアントン・シンガレフ氏とアジア太平洋担当マネージング・ディレクターのステファン・ノイマイヤー氏は、サンドイッチとサラダを囲んでメディアの前に座り、プレゼンを行った。
同社の主張の要点は、同社は全く無実であり、素晴らしい製品を作っており、同社にかけられた疑惑に衝撃を受けており(衝撃を受けている!)、同社の問題は地政学的なチェスの駒にされたことに起因していると考えているというものだ。
こうした事態が起きたのは、同社の開発者の多くがロシアに居住しており、同社を中傷することが容易だったためだ。
「これは裏目に出ます」とシンガレフ氏は述べたが、開発者たちは仕事が得意なので、会社が彼らを異動させたくないと付け加えた。それに、他の地域のプログラマーと比べても給料が安いのだ。
シンガレフ氏とニューマイヤー氏はその後、マルウェアの出所を問わず追跡するという果敢な任務の中で、カスペルスキーの研究者たちが複数の国家によって開発されたサイバー兵器を発見し、解除し、暴露したという説を展開した。国家主体は請負業者との公正な取引を通じてこのような兵器を製造しているため、公の場でカスペルスキーに不満をぶつけることは選択肢になかったと彼らは主張した。
しかし、米国は自国の取り組みが妨害されたことに憤慨し、カスペルスキーを中傷することで報復した。その結果、カスペルスキーが国家安全保障上のリスクをもたらすという主張を根拠に、米国政府機関への同社製品の販売が禁止された。
両氏は、そのリスクは軽減されたと付け加えた。禁止措置が最初に発動された際、同社は現実の脅威とみなされていたと両氏は述べた。しかし最近では、単なる「潜在的な」脅威が禁止措置の正当化に利用されており、言葉遣いの変化が、その真剣さ、あるいはその欠如について必要な情報をすべて示していると両氏は述べた。
カスペルスキー研究所、Twitterへの広告費提供の特権を失う
続きを読む
The Register紙の追及に対し、どちらの幹部もこの説を裏付ける証拠を提示しなかった。しかし彼らは、米ロ間の緊張関係は周知の事実であり、貿易戦争が勃発していることも周知の事実であり、カスペルスキーの売上は世界的に伸びていることから、同社が我々の理解をはるかに超える規模のゲームで何らかの打撃を受けたことは明らかだと指摘した。
ニューマイヤー氏はまた、米国だけがカスペルスキーに対して行動を起こしているという事実は、地政学的な不正行為説を証明していると述べた。
その時点で、レジスター紙は、欧州連合(EU)加盟28カ国が先週、カスペルスキー製品が「悪質であると確認された」とする拘束力のない動議を可決したと指摘した。
ノイマイヤー氏は、カスペルスキー社は数ヶ月前からこの文言を認識しており、ポーランドの欧州議会議員アンナ・エルジュビエタ・フォティガ氏が同社を危険視していることも認識していたと反論した。ノイマイヤー氏は、動議の文言はフォティガ氏に責任があり、他の議員は黙認した上で動議に含めただけだと述べた。さらに、フォティガ氏はカスペルスキー社が説明を求めていた2度の面会要請を無視したと付け加えた。フォティガ氏が委員を務める委員会の委員長は、さらに上を行く3度の面会要請を無視した。
そのため、ノイマイヤー氏は、先週の動議はカスペルスキー社に正当な説明の機会を与えずに提出されたと感じた。フォティガ氏がカスペルスキー社について最初に質問した内容が、米国の不当な行為に関する説明に基づいていたという事実も踏まえると、カスペルスキー社は再び不当な扱いを受けたと考えている。
透明性の時代
カスペルスキーは、いかなる企業も制御できない地政学的勢力の犠牲者となっているにもかかわらず、透明性を高めることで懐疑論者を黙らせることができると考えている。
そのため、データストレージをスイスに移転する計画が浮上した。そう、あのスイスだ。素晴らしい秘密保持法を持つスイスだ。シンガレフ氏とノイマイヤー氏は、これらの法律は顧客にとって良いことだと述べた。顧客のデータが詮索好きな目から守られるからだ。カスペルスキーにはそもそも価値のあるデータがあるのかどうかはさておき、両氏によると、カスペルスキーは事業を運営するために必要な基本的な情報だけしか持っていないという。
チューリッヒには「透明性ラボ」も設置され、世界中の人々がそこを訪れて何かを見ることができるようになると2人は語った。
シンガレフ氏は、この研究所では、大手4社のコンサルタント会社のうち1社が同社のソースコードをレビューし、それが実際に同社製品にコンパイルされているかどうかを検証すると述べた。また、定期的なウイルス定義ファイルの更新によってカスペルスキー製品が数時間だけ危険な状態に変わる可能性があるという主張を防ぐため、製品更新の検査を可能にする制度についても言及した。
同社はまた、顧客向けのソースコードレビューや、場合によっては大学のコンソーシアムによるソースコードレビューも約束しており、共同で目を通すことで 300 万行に及ぶコードすべてに目を通すことが可能になります。
カスペルスキーの開発プロセスを検証する機関に検査させ、不正行為が行われていないことを証明させる計画もある。シンガレフ氏は、その機関の正体が明らかになれば、誰もが非常に感銘を受けるだろうと述べた。その機関はすでにカスペルスキーと役割を明確にするための協議を進めている。
シンガレフ氏は、透明性ラボが2018年末までに稼働することを期待していると述べたが、膨大な作業量があるため、期限に間に合うかどうかは難しいかもしれないと述べた。また、透明性活動がいつ開始されるかについては保証できなかった。
The Registerから、ラボの訪問者は何を見ることができるのかと尋ねられると、彼はソースコードのレビューについては言及したが、それ以上の具体的なことは何も語らなかった。
研究所で何が起ころうとも、カスペルスキーはさらに2つの拠点を計画している、とシンガレフ氏は語った。1つはアジア、もう1つは北米だ。
ニューマイヤー氏は、この研究所は非常に巧妙な計画であり、カスペルスキー社がこのような施設を運営する先見の明を持つウーバーのような破壊者として認知されるのもそう遠くないだろうと付け加えた。
罪を犯されたのか、それとも罪人なのか?
シンガレフ氏とノイマイヤー氏は、90分間の質疑応答の間、誠実で前向き、そして真剣な態度を貫き、完全な無実と被害者であるという主張を一度も揺るがさなかった。
では、その会社は罪を犯したのでしょうか、それとも罪を犯されたのでしょうか?
「アメリカは我々を滅ぼそうとしている」という主張は、大まかな説明だけで、証拠は全く示されていませんでした。トランスペアレンシー・ラボはカスペルスキーの無実を証明する揺るぎない証拠を提供すると宣伝されましたが、それがどのように明らかになるのか、いつ最大限の透明性で運営されるのかといった詳細はほとんど示されていませんでした。
そして、国家とつながりのあるテクノロジー企業が脅威となるためには、必ずしも怪しい製品を持っている必要はないという問題については全く議論されなかった。企業の従業員はソフトウェアではできないスパイ活動を実行できるし、無実で無知なパートナーのネットワークは巧妙な攻撃や情報収集活動のベクトルになる可能性があるのだ。
個人的な意見ですが、カスペルスキー研究所は責任追及に問題があると感じました。被害者であるという証拠を一切提示せず、そうでないという証拠を端的に提示するだけで、情報セキュリティ研究者が責任追及に慎重である理由を巧みに示しています。カスペルスキーのスタッフがそうした規範を超えて会社を擁護したことは、イベントで彼らが述べた他のどの発言よりも雄弁でした。®
