タカハシヤマダ氏の「セキュリティソフトの闇」への反論

この記事はYouTubeの「タカハシヤマダ ENDSTART」というチャンネルに投稿された、「【絶対に買うな】セキュリティソフトの闇を知っていますか?ホントは買わなくていいです。理由を12分で簡潔に説明します。」という動画への反論のために作成いたしました。

率直に言って内容があまりに杜撰でしたので、記事での反論という形を取らせていただきました。

 

とりあえず一番言いたいことは、サイバー攻撃の脅威を矮小化して攻撃を受けた側が悪いかのような言い方はやめろ」ということです。

単に間違っているだけならまだしも、一般ユーザーの方に非難の目を向けかねない表現が含まれているのは問題だと考えます。

 

なお、セキュリティソフトを買わなくていいケースや買わないほうがいいケースが案外多いという主張自体には同意しています。

 

自己紹介

私は2年前まで情報セキュリティに携わっていました。今は転職してソフトウェア開発者です。

 

1.重要な機密情報を持っていなくても攻撃は受ける

まずこの動画で前提とされている「重要な機密情報を持っていないと攻撃は受けない」という点が間違いです。

例えば、Miraiというマルウェア*1があります。

これは家庭用ルーターやネットワークカメラのような機器を乗っ取るマルウェアです。

当然そんなところに機密情報はめったにありません。攻撃者の狙いは他にあります。

 

この手の人の機器を踏み台にするたぐいのマルウェアは、普通では気づきにくいものです。なぜなら、気づかれて除去されないようにしたほうが傀儡となる機器を増やせるからです。

私は2年前まで実家暮らしでしたが、当時母親のPCがマルウェアに感染しました。*2

私の母はITの専門家でこそないものの、PCを使いこなして文章作成から写真加工などを行い、SNSも使いこなし、仕事ではExcelを高度に扱うなど、一般人の中では相当にITリテラシーのある部類だと言えます。

しかし、母は自分のPCがマルウェアに侵されていたことに一切気が付かなかったのです。

マルウェアはそこまで何の前触れもなくPCに忍び込みます。

 

当時攻撃に気づいて早期対応できたのは、当時実家に住んでいた3人のうち2人が情報セキュリティスペシャリスト試験*3合格者で、専門知識を持っていたからにほかなりません。*4

「攻撃なんて受けたことがない」と主張している方も、知らず知らず感染して加害者側に回っている可能性もあるのです。

 

攻撃に加担させられるだけではなく、それが原因で逮捕されてしまうケースもあります。

2012年に発生したパソコン遠隔操作事件では、遠隔操作被害を受けた方が誤認逮捕されました。彼らには犯人との面識はありませんでした。

この事件そのものはかなり昔の事件ですが、CSRFなどの攻撃手法で似たようなことは現在でも不可能ではありません。また、警察に大改革があったわけでもなく、最近でもアラートループ事件のような警察のサイバー関連の調査についての姿勢が疑問視される事件はありますので、このようなリスクは現在でも存在していると言えるでしょう。

 

他にも、身近なところではLineアカウントを乗っ取られて詐欺に使われるという事件や、データを暗号化して身代金を要求するような攻撃もありましたね。

攻撃者にとって価値のない情報でも、本人にとって価値のある情報ならば、このようにお金にすることもできるのです。

 

個人のセキュリティは感染症予防と同じです。

自分の情報や金銭、社会的立場はもちろん、あなたの近くの人たちを守るためにも徹底しましょう。

 

2.エロサイトを見なくてもウイルスには感染する

動画では、「現代でもウイルスに感染するのはエロサイトなどを見ている人」という旨の説明がありました。挙げ句「仕事中に感染した人は、仕事用PCでエロサイトを見て感染」など、攻撃を受けた側に問題があるかのような説明をしていました。

これは攻撃の被害者に対する二次的な精神的苦痛を与えるものであり、このような内容を発信することは到底許されることではありません。

仕事であれば、企業担当者に対する標的型攻撃など高度な攻撃は多く発生しています。

 

また、ウイルスをダウンロードさせようとする偽サイトはエロサイトだけではありません。

「とりあえずエロサイトを警戒すればいい」など、それこそ動画中で非難していた時代遅れな対策でしかありません。

標的型攻撃でなくとも、今どきは銀行を装って個人情報保護用のソフトウェアとしてマルウェアをインストールさせようとする、仕事中に検索することが多いであろう技術資料などのサイトを偽装して巧みにマルウェアをインストールさせようとするなど、多種多様な騙し方でマルウェアに感染させようとしてきます。*5

 

さらに言えば、感染経路はこの手の偽サイトのみではありません

普通のWebサイトからでもマルウェアに感染することはあるのです。

 

皆様がWebサイトを見ていて、広告を目にしない日はないと思います。

あの手の広告は一般に、企業の広告配信ネットワークを介してWebサイトに表示されます。

Webサイト管理者は具体的に何の広告が表示されているかを認識していませんし、広告配信ネットワークを管理する企業も、膨大な広告全てを把握することはできていません

とはいえ、ブラウザ標準のセキュリティでも広告経由の攻撃くらいなら防御することはできると考えられるかもしれません。確かに多くの場合防御することは可能なのですが、万全ではありません。

 

現代のブラウザは自動アップデートでセキュリティが保たれます。

しかし、何かの拍子でアップデートが失敗した時、アップデートが成功するまでの間ブラウザは危険にさらされるのです。

また、ブラウザを開発するのも人間ですし、脆弱性を探すのも人間です。対応するアップデートが配信されたり、研究者が脆弱性を発見したりする前にその脆弱性をついてくるようなケースもあります。

こうしたわずかなほころびをついて、攻撃者は巧みにPCに侵入します。

 

また、そこまで高度な攻撃でなくとも、広告にメッセージを仕込み、ユーザーの見える場所で自動ダウンロードを行うくらいまでなら通常のスクリプトの権限でも可能です。

Webサイトを見ている時に「Google Chromeの更新があります」というメッセージが表示され、突然EXEファイルのダウンロードが始まったら、PCに詳しくない方なら実行してしまってもおかしくはありません。

私事ですが、今月に入ってからこの手のブラウザ更新を装う攻撃を狙ったURLがSMSで送られてきました。荷物の再配達を装ったものでした。今でも一般人を狙ったこの手の攻撃が存在するという証拠にはなると思います。(十分に安全対策を行った上で自己責任においてURLを確認しています。読者の方は少しでも怪しいと思ったら絶対にURLを開かないでください。)

 

他にも正規のサイトをハッキングして改ざんする、ブラウザの拡張機能の制作会社を買収して悪質なものに変えてしまうなどなど、多くの攻撃手段があります。

 

また、動画中では「ルーターがあるから安全」というような内容が紹介されていました。

確かにルーターはないよりはあったほうが安全です。とはいえ、ルーターにも脆弱性は発生します。逆にルーターが狙われてしまうような事態も考えなくてはありません。

 

 

また、話が本筋から逸れますが、「エロサイト=危険」というレッテルはエロサイトにも失礼です

もちろん違法コンテンツを配信してウイルスをばらまくエロサイトは存在するものの、正規にアダルトコンテンツを提供しているエロサイトまで一緒くたに批判するのでは、「悪質な違法動画で客寄せして詐欺を働くサイトがあるから動画投稿サイトは危険」というのと同じくらい乱暴です。

例えば、ある時GoogleMozillaなどのWebの大手企業が「コストをかけてでも通信の常時暗号化を必須にすべきだ」と主張した時、日本で広く一般に社会的に信用されている企業ですら反論していました。*6

当時は私も仕事で様々な業種の対応状況を確認していたのですが、アダルトコンテンツを取り扱っているある大手企業のサービスは、比較的早い段階でサイト全体に強固な暗号化を導入していたと記憶しています*7

 

業種を問わず、セキュリティ対策に真摯に取り組んでいる企業はたくさんありますし、逆もまた然りです。

それを雑なくくりで批判するのは、企業にも、そこで働くセキュリティ担当者にも失礼です

 

それで結局、セキュリティソフトは別途購入する必要があるのか?

これについては、動画で触れられている通り購入しないほうがいいケースが多いと思われます。

というのも、下手なソフトを導入してしまうと、効果がないどころかセキュリティソフトの穴を逆用されてしまうケースがあるのです。

 

例えば、ウイルスバスターの企業向け製品の脆弱性が悪用された事例は記憶に新しいですね。

www.ipa.go.jp

www.zdnet.com

個人向け製品でもセキュリティ上の問題が指摘されるセキュリティソフトウェアは多く、よほど信用できる製品以外は入れないことが得策です。

 

そして、先述の通り国内トップシェアを誇るトレンドマイクロ社の製品ですらこの始末なので、初心者の方が信用できるセキュリティソフトを選定することはほぼ不可能です。

そういう意味で、セキュリティソフトを別途購入しないというのはありだと私も考えています。

 

なお、動画中で紹介されていたウイルス検知率の第三者機関によるテストについては、実環境での利用時の安全性を正確に測れるものではないのであまり役に立ちません。

(特に問題に成り得るセキュリティソフト本体の脆弱性についてのテストなどは行っていないはずです。)

 

セキュリティの情報はどこから得るといいのか?

個人のYouTubeチャンネルにしろ、個人のブログにしろ、十分に内容が検証されたものとは限りません。

また、セキュリティ会社による記事についても、商品を売りたいがために偏った情報が含まれるケースがあります。(もちろんそれらは専門家が書いた記事である以上、有益な情報も多いです。ある程度知識をつけてから参考にするのは良いと思います。)

 

セキュリティの情報を得たい場合、独立行政法人であるIPAのページに質の高い入門用コンテンツなどがありますので、こちらをご覧ください。

www.ipa.go.jp

まとめ

セキュリティソフトの購入が必要ないという意見そのものは一理ありますが、根拠として挙げている内容が不適切だったり誤解を招くものであり、非常に悪影響の大きい動画だと考えています。

ご自身の影響力を考え、この動画については視聴者に十分に伝わるように訂正すること、今後の動画ではより慎重に内容を精査してから公開することを強く望みます。

*1:悪質なソフトウェア。よく耳にするコンピュータウイルスは自己複製能力があるマルウェアの一分類

*2:プライバシーの関係上感染経路は公開しませんが、ひと目でわかるような怪しいサイト経由ではありません。

*3:情報セキュリティに関する国家試験。現在は後継の情報処理安全確保支援士があります。

*4:父がルーターのログから不正な通信を発見し、私が母のPC内に潜んだマルウェアを特定しました。皆様はちゃんとログを監視していますでしょうか?

*5:マルウェアをインストールさせようとするものとは違いますが、偽の通販サイトで個人情報をだまし取ろうとするケースもあります

*6:GoogleMozillaが絶対的に正しいわけではありませんが、反論していた企業にはログインフォームの保護すら不完全な企業も割と存在し……。

*7:はてなの規約でアダルトサイトへの誘導は禁止されているため、具体名を出せないのが残念ですが……。