日本人マルウェア開発者インタビュー（後編）攻撃者が考える「良いセキュリティ専門家」とは？

October 27, 2017 08:00
by 『THE ZERO/ONE』編集部

前編の「プログラムの『悪意』とは」ではTさんがマルウェア開発者になるまでの経緯を中心に記した。後編では、マルウェアの開発環境から日本のセキュリティ業界に対する印象まで語ってもらった。刺激的な意見が述べられている箇所もあるが、マルウェアを作っている人間がどのような考えを持っているかが垣間見えて興味深い。

マルウェア開発者の年収は600万円

　
編集部：開発作業はどんな場所でどの程度の規模で行われていたのですか？
　
Tさん：普通のオフィスですよ。外見的にはミドルウェアのソフトウェアデベロッパーです。C/C++に書き直した「Y」は明らかにマルウェアでしたが、その会社は防衛産業や原子力関係から受注もあるようなところで、契約書の時点で法的な洗浄ができていました。だから特にコソコソはしていません。
　
現在もそこで維持開発が行われているんですか？
　
いいえ、会社が大きくなり社長が潮時なんじゃないかと言い出しました。「もし続けるのなら、のれん分けするけどどう？」と言われたので、チームで話し合って販路ごともらい受けました。ただ私はそのころ好きな人がいて、子供も欲しかったので、地元に戻るけどいい？　ということで、チームの承諾を得ました。
　
その頃の年収は？
　
私は600万円ぐらいでした。チューナーやバイヤーはもうちょっともらっています。
　
現在は地元の高校で先生をされているんですよね。
　
そうです。おかげさまで。

画像はイメージです

　
でも、いまでもマルウェア開発はつづけてらっしゃる。
　
そうです。
　
それはなぜですか？
　
需要があって、それに私が応えることができるからです。
　
違法であってもですか？
　
倫理的に正当化するつもりはありませんが、法的な責任が私にまで遡及することはないように、受注の段階でクリアにしています。
　
先生を続けながらの作業は大変ではありませんか？
　
クラスや学年を持っている教員は激務ですが、私は受け持っている校務の関係で、それほどではありません。ただ育休から復帰するときに、チューナーのひとりがメンタルダウンして、そのフォローと育児と校務が重なったときは、さすがにバテましたね。
　
Tさんがマルウェアを作り始めてから20年ほど経っているわけですが、プログラムの作り方に変化はありましたか？
　
私にとっては、まったく変わらないですね。20年前のアーキテクチャのワームが、いまでも現役で検出される続けるような状況なので、技術的な更新もそれほど必要としません。

　
「組合」間の交流ってあるんですか？
　
バイヤーはよくあるみたいですね。私は、ちょっと興味があったウイルスがあって、その作者がたまたまAMA（編集部注：Ask Me Anything、〇〇だけど聞きたいことある？）をしたときに、質問したことなどがきっかけで、複数の方と連絡をとっています。
　
Tさんが、もしマルウェア開発者を引退して、セキュリティ側につくことはありますか？
　
以前は、絶対にない！　って言いきってましたけど、最近はどうかな。

日本のエバンジェリストに対する信頼度

　
さきほど仲間にはなりたくないと言ってましたが、将来的には変化があるかもしれない、ということですか？
　
日本のセキュリティ・エバンジェリスト（指導者層）って、国内外で評価がぱっとしないんですよね。教え方が下手だなって思うのは教師だから割り引いて見なきゃいけないんでしょうけど、それだけじゃないんですよね。
　
つまりどういうことですか？
　
5年ぐらい前に猛威をふるったNというウイルスがありましたが、ご存じですか？
　
政府機関にもかなりの感染が確認されましたよね。
　
Nを作成したひとりが、私の知っている方で、日本人なのですが、その方が勤務している組織は比較的被害が少なかったんです。
　
ゼロってわけじゃなくて、少ないというのがポイントですね。
　
その方、被害の極小化に成功したことが評価されて、どういうわけか他の関連組織に原因と対策をレクチャーしに行かされるハメになったんです。
　
それは皮肉ですね。
　
だけど私、ネットでそのスライドを見て、さすがだなって。最小限のコストで被害を極小化しているのですが、作者だからあたりまえってことじゃなくて、広くみんなが意識することと、その組織の特徴を見てローカライズして考えるべきことが、これまでになく正確だったんですね。やっぱり自分で作ってるからよくわかってるわけです。
　
なるほど。
　
ところがですよ。このスライドを日本のセキュリティ・エバンジェリスト達がどういっていたかというと。まず「誰この人？」ですよ（笑）。「誰か知ってる？　この人」ってみんなが尋ねあってる。次に、自分たちのどの勉強会にも参加していない人物だと判ると、矮小化合戦がはじまって、TwitterやFacebookで悪口を言い合っているんです。とても価値あるドキュメントを作成・発表したにもかかわらず、基本的に「なんでこんなヤツにしゃべらせるんだ？」っていうことを、みんなで言いたくてしょうがない感じでした。
　
こんな態度の人たちが、たとえば日本国内のSIや情シスから信頼を得られるはずがないじゃないですか。国内外の多くの人が同じドキュメントを読んでいて、非常に高い評価が出ていたのに、それに対して、自分たちが知らない人だからって、さしたる根拠もなく悪口言ってるのを見れば、当然、この連中は使い物にならないって思われてしまうわけです。そしてそういう使い物にならない実態が国内産業全体に知れ渡ったがゆえに、国内の金融・物流・情報通信は、商社などを通じて、どんどん海外のアナリストやエバンジェリストを頼るようになってしまっているわけです。

優秀セキュリティ専門家の見分け方

　
政府も危機感を持っていますね。
　
はい、でももうこの流れはどうにもならない。思想の違いもあると思うんですよね。日本のセキュリティ・エバンジェリストは、リテラシーが「低い」人を「全体的に」高めることで被害を軽減するというスタンスじゃないですか。あるいはノウハウが不足している人に、ノウハウを充足することでセキュアに近づけるというアプローチな気がします。確かに効果がないとは言わないですけど、コストパフォーマンスがとにかく悪いですよね。なのにどうしてそういうスタンスになっているかというと、そういうカタチでないと自分たちが生きていけないからですよね。知っているから教えてあげる、という落差を作ることでマネタイズしているわけです。
　
海外では、そういう発想はなくて、「起きてからどうする」っていう「Do」の発想なんですね。多重化の目的が、信頼性ではなく、迅速に対応するための時間稼ぎにあったりする。そのための可用性という発想が出てきてたりもする。火事が起こることは防げないけど、防炎加工で延焼を食い止め、専門家の到着を待つ。ここまでは破壊を許可するけど、それ以上はさせないといった思想ですよね。破壊されることが前提なので、現場との関係もいいんです。自分たちがやりたいことを代弁してくれる存在なので。日本の企業が求めているのもそういった関係ですよね。

　
良いセキュリティ専門家を見分ける方法はありますか？
　
人となりを見て、ああこの人、セキュリティしか仕事がないんだな、という人は敬遠するべきですね。組織から独立してセキュリティに携わることは、思いのほかジェネラリスト（万能）であることが要求されます。スペシャリストは社内に置くものですが、いざ意見を誰かに聞く時は社外のジェネラリストでなければならない。それについては「逆でしょ？」っていう考え方があることも理解しますが、私はネットワーク管理ってまだ成長途上にある分野なので、社内側にスペシャリストを置いて専任させないと知識の更新が追いつかないと思っています。
　
しかもそういうところに、外のスペシャリストを呼んで話を聞くとぶつかりやすいわけです。だから意見を聞く相手が、セキュリティしか仕事ができなさそうな人だったら、無用な混乱を招くだけになりかねない。指導を仰ぐときは、セキュリティ「を」いまやってるぐらいの人から話を聞いたほうがいいと思っています。
　
インタビュー、ありがとうございました。
　
（了）