カスペルスキーソフトウェアの使用をやめるべきでしょうか?おそらくそうではないでしょう。しかし、誰もが自分のデータがどのような境界を越えているかを認識する必要があります。
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
英国国家サイバーセキュリティセンターが英国政府によるカスペルスキー社のウイルス対策ソフトの使用に対して警告したことでおそらく最も驚いたのは、英国が数年前に同様の警告を出さなかったことだ。
カスペルスキーは英国に地域部門と持株会社を持っているが、マルウェア分析の多くはロシアのスタッフによって行われており、カスペルスキーのクラウドデータはすべて欧州経済領域外に移動されている。
つまり、感染したファイルのコピーはロシアのアナリストの手に渡る可能性があるということです。これはNCSCのガイダンスにも記載されており、カスペルスキーが10月にNSAのリーク疑惑に関する内部調査で明らかにされています。この調査では、カスペルスキーのソフトウェアが(正しく)ウイルス対策研究者にデータを送信し、分析させていたことが判明しています。「アーカイブには、Equation Groupに関連すると思われるマルウェアのソースコードと、機密扱いのマークが付いた複数のWord文書が含まれていました」と報告書は指摘しています。
感染したファイルを返送して手動で分析することは、ウイルス対策業界では標準的な手法です。実際、これは新たなマルウェアの出現を調査・防御する上で不可欠な要素です。
NCSCは、「ロシア政府による情報へのアクセスが国家安全保障上のリスクとなると評価される場合、ロシアに拠点を置くAV企業は選択すべきではない」と勧告し、ロシアを「英国中央政府と英国の重要な国家インフラを標的にする意図を持つ、非常に有能なサイバー脅威主体」と表現している。
このガイダンスは、ロシア最大のクラウドサービスプロバイダーであり、マルウェア対策企業のカスペルスキー研究所に特に焦点をあてている。同社は最近、このセキュリティベンダーが、国家安全保障局(NSA)の契約社員が持ち帰ったファイルがロシアのハッカーの手に渡り、ロシアの国家諜報機関であるFSB経由で流出したという、まだ証明されていない米国の主張を受けて、世間の注目を集めている。
NCSCはカスペルスキー社と協力して「私たちや他の人達が独自に検証できる枠組みを開発中」だと述べているが、この警告はカスペルスキー社が英国政府と取引を続ける能力だけでなく、英国企業における同社の評判にも明らかな影響を与える。
カスペルスキーを信頼できますか?
バークレイズはこのニュースを受けて、顧客に対するカスペルスキー社のウイルス対策ソフトの無料提供を撤回し、The Register紙が報じた書簡の中で、この措置は「予防措置」であり、「顧客がカスペルスキー社の使用をやめる必要がある」と示唆するものは何もない、と説明した。
カスペルスキーの代表者はWIREDに対し、同社はバークレイズの決定に「失望している」と語り、NCSCは「消費者や企業にカスペルスキーのソフトウェアを使用しないよう勧めているわけではない」と指摘した。
実際、NCSC の国民向け声明では、「現時点では、このアドバイスをより広範な公共部門、より一般的な企業、または個人にまで拡大適用する説得力のある事例は見当たりません。カスペルスキー ソフトウェアを全面的に削除するような行為は、ほとんど意味をなさないため、私たちは本当に望んでいません」と明記されています。
カスペルスキー社内での漏洩疑惑について、SE Labsのセキュリティ研究者であり、アンチマルウェアテスト標準化機構(ATSTOS)の議長を務めるサイモン・エドワーズ氏は、現実ははるかに複雑だと指摘する。「世界のセキュリティコミュニティは比較的小規模であることを理解することが重要です」と彼は言う。「ロシアでロシアのセキュリティ企業に勤務していた人が、アメリカでアメリカのセキュリティ企業に勤務していることもあります。逆もまた同様です。これらのビジネスを支える専門家は世界中の国々から集まり、定期的に企業間を移動している状況で、企業を『彼ら』や『私たち』と分類するのはあまりにも単純すぎるように思われます。」
機密データに関する政府の懸念にもかかわらず、カスペルスキー社のウイルス対策ソフトウェアは、国際的なスパイ活動に関する政治的な噂よりも、私たちのほとんどにとってはるかに差し迫った脅威であるマルウェアに対する保護に引き続き効果を発揮しています。
「個人のセキュリティの観点から言えば、カスペルスキー製品から乗り換える理由はないと思います」とエドワーズ氏は言う。しかし、ビジネスや家庭での使用に適した代替製品を探しているなら、ESET、Microsoft、Sophos、Symantecの製品がいずれも十分な性能を備えていると付け加えた。
ニコラス・カム/AFP/ゲッティイメージズ
クラウドデータはどこに行くのでしょうか?
あらゆるファイルが非EEAサーバーに送信できるという事実は、国家安全保障に影響を与えるだけでなく、一般市民の個人情報を含むデータは「適切な保護なしに欧州経済領域外に転送されない」ことを義務付ける英国の基本的なデータ保護法にも影響を与える。
大規模な政府セキュリティソフトウェア契約がその部門で一定の保証を提供すると期待する人もいるかもしれないが、GoogleのG SuiteやMicrosoft Office 365からウイルス対策や顧客関係管理(CRM)ツールに至るまでのクラウドサービスの普及により、多くの英国企業にとって、顧客のデータがどこに行き着くのかを追跡することがますます困難になっている。
2015年にEUと米国間のセーフハーバーデータ共有協定が崩壊したことで、国際協定にかかわらず、米国政府の諜報機関が米国内に保管されているヨーロッパのデータを自由に利用できるという事実が浮き彫りになった。
2016年に採択された、これに代わるEU・米国間のプライバシーシールドも人権団体から批判を受けており、「プライバシー侵害に対する米国の救済および監視の仕組みの欠陥、個人データの収集、アクセス、使用の制限の不十分さ」が指摘されている。ただし、欧州委員会の9月のレビューでは、「プライバシーシールドは引き続き適切なレベルの保護を確保している」と結論づけられている。
また、EU の新しい一般データ保護規則 (GDPR) が 2018 年 5 月に施行されるまであと数か月です。GDPR では、処理場所を問わず、欧州市民に関するデータの保護と処理に関する新しい要件が追加され、企業が「個人の権利と自由に対するリスクをもたらす」可能性のあるデータ侵害を速やかに報告することを要求する新しい規則も追加されます。
ロシアのハッカーや国際的なスパイ活動が注目を集める一方で、企業や政府の両方が当然のように大量のデータ収集を行っている世界的なセキュリティ文化は、個人データ、機密文書、ハッキングツールの漏洩が今後も続く可能性が高いことを意味している。
この記事はWIRED UKで最初に公開されました。
