「サイバーセキュリティ」の問題がほとんど見向きもされない時代に早くもセキュリティ専門の企業を立ち上げ、プライベートでも、米ラスベガスで開催される世界最高峰のCTF(Capture The Flag)大会、「DEFCON CTF」に連続出場。今は、シンガポールに設置されたインターポールの「The INTERPOL Global Complex for Innovation(IGCI)」にサイバーディフェンス研究所(CDI)から出向し、サイバーセキュリティの技術面で各国の警察にさまざまな指導・支援を行っている福森大喜さん。

こう書くと、まるで漫画や小説の主人公のようなスペックの持ち主だが、実際にお目にかかると、いたって普通の、物腰の丁寧なエンジニアだ。そんな同氏がなぜサイバーセキュリティの世界を志し、高度なマルウェア解析や脆弱性診断といったスキルをどのように身につけていったのだろうか。PCのデータを暗号化して金銭を要求する「ランサムウェア」や、重要な知的財産や個人情報を盗み出す「標的型攻撃」が頻発する中、セキュリティ人材育成の必要性が叫ばれているが、これから福森さんのようなセキュリティエンジニアを目指すには、何が必要なのだろうか。弾丸スケジュールで日本に一時帰国した福森さんに、お話を聞いた。

脆弱性だらけのソフトを提出した学生が、「セキュリティの仕事がしたいんです」と言い始めるまで

ーー学生の頃からセキュリティ技術者を目指されていたわけではなかったんですよね?

高校で進路を決めるとき、「これからは情報化社会だろう」と情報系の学部に進学しました。で、入ってみたはいいけれど、正直あんまり面白くなかったんですよね、数学とか物理とか。生きていくのに何の役にも立たないだろって。なので、授業をさぼって遊びにいってばかりの学生でした。ただ、遊んでばかりとはいえ留年だけは避けたい。てことで、プログラミングの課題を出したんです。それが、「FTPサーバとクライアントを自作し、提出しろ」っていうものでした。何とか動くものを作って提出したら、教授に「うーん、君のこのコードには脆弱性があるね、バッファオーバーフローで任意のコードが実行できちゃうね」と指摘されました。

丁寧な物腰で2時間に渡るインタビューに答えていただいた福森大喜氏

ーー脆弱性を作る側だったんですか?

そのときは正直、何を言ってるのかチンプンカンプンでした。文書を調べてみたら、「乗っ取りでも何でもできる」って書いてあったんですが、しっくりこない。これは自分で乗っ取ってみないと分からないだろうとExploit(注1)を書き始めたんですが、最初は訳が分かりませんでした。けれど調べていくうちに、アセンブラの読み方とか、CPUの中身の仕組みとか、これまで学んできたけど面白くなかったことが一つにつながってきて、面白みを感じたんです。そのExploitを完成させるのには3カ月くらいかかったんですが、それまで落ちこぼれだった自分が、気がついたら友達の中で一番詳しくなっていて、学ぶって面白いなって思いました。

(注1:攻撃用ソースコード。脆弱性が実際に悪用可能なことを実証し、対策を促すためのコードで、作成にはスキルを要する。)

ーーその辺りからセキュリティ技術にはまっていったんですね。

福森:研究室の先輩が、Exploitをどうやったら防げるかの研究をしていました。で、案の定、自分が作ったExploitは防がれてしまったので、それをどう乗り越えるか……というのを互いに繰り返し、切磋琢磨していました。

ーーそれはいつごろのことですか? Windows XPが出た頃ですか?

Windows 98が出た頃ですが、研究ではLinuxをベースにそういうことをしていました。当時はこうした技術に関する文献もあまりなくて、Aleph One(注2)やUNYUN(注3)さんの書いたドキュメントを頼りに知識を身に付けました。それだけでは足りないところは夜中まで先生を拘束し質問攻めにして。

(注2:1990年代、脆弱性に関する情報を交換していたメーリングリスト「Bagtraq」の主催者だった人物。)
(注3:知る人ぞ知る、日本のセキュリティエンジニアの先駆けの一人。今は上場企業の社長を務める。)

ーー就職活動はどんなふうに進めたのですか?

福森:そのころにはもう「セキュリティの仕事をしたい」という思いでいっぱいだったんですが、なにせ当時のことですから、就職担当の先生に話を聞いても「そんな求人はないよ」とすげなく言われて。あるとしたら大手システムインテグレータにプログラマーとして入社して、その後の異動でセキュリティ関連の部署に移るしかないよね、と言われました。でもそれは嫌だったので、一生懸命検索して、ようやく見つかったのが最初に就職した会社です。

ーー念願かなって、セキュリティの仕事ができたんですね?

面接のときに、「僕は何が何でもセキュリティがやりたいんです!」と訴えて、採用してもらいました。入社直後はちょうどSQL Slammer(注4)ワームが大流行した頃で、現場に行ってみるとIDS(不正侵入検知システム)からアラートが出っぱなし、ワームが拡散しまくるのでデータベースの負荷が大変なことになり、HDDのアクセスランプがつきっぱなし。みんな対応に追われて床で寝てて、ふらふら歩いてたら寝てる人につまづいて自分も倒れる、なんてことは今となってはいい思い出ですね。

(注4:Microsoft SQL Serverの脆弱性を突いて拡散した、自己増殖型のマルウェア。攻撃パケットを受け取るだけで感染し、感染後は拡散のため大量のパケットを送信するため、当時のネットワークインフラに多大な影響を与えた。https://ja.wikipedia.org/wiki/SQL_Slammer

で、そうこうしているうちに、今度はクロスサイトスクリプティング(XSS)に代表されるWebアプリケーションの脆弱性が浮上してきました。当時は、調べればほぼ全てのWebサイトで見つかるような状況で、まずは自社グループ企業全体のWebを調べて回りました。

セキュリティの仕事を志しての就職から起業、転職、そしてインターポールへの出向とキャリアを重ねてきた

ーーそれが後の起業につながったんですか?

Webアプリ検査のためのチームを作ってノウハウも溜まったので、サービス化したところ、業界のはしりだったこともあって、非常にもうかりました(笑)。当時はまだセキュリティ市場が立ち上がり始めたばかりで、脆弱性を見つけるためのExploitを書けるスキルを持つ人がほとんどいませんでしたから。そしたら当時の役員が私のことを認めてくれて、お給料が一気に上がったんですよ。人事部からクレームが入るくらい。最初は嬉しかったんですが、よく考えてみると脆弱性やExploitの分野で自分より詳しい人がこの会社にはもういないんだな、という寂しい気持ちになって。そこで、高まっていたWebアプリ脆弱性検査の需要に応えるため、Webセキュリティ専業の会社を立ち上げました。

ーーでも、いきなり起業するのは勇気がいりませんか?

一生のうちに一度は起業したいと、心の中ではひそかに思っていました。サン・マイクロシステムズやシスコシステムズといったITベンチャーが急成長していたのを見ていて、「いつか自分もやってみたい」と。で、知り合いを誘って5人で起業しました。

ーー経営やら経理やら、技術以外の仕事もやらなくちゃいけなくなりますよね?

いや、そこは他の人にお願いしました。マネジメントや営業は知り合いにお願いして、僕は技術の心臓として、ひたすらさまざまなWebサイトの脆弱性検査をしていました。大学の頃、Perlで掲示板を作るアルバイトもやっていたので、Web系の知識はありましたから。
それにその一時期、バッファオーバーフロー関連の脆弱性って枯れてたんですよ。脆弱性はWindowsなどのOSやクライアントで動作するアプリケーションの脆弱性と、Webアプリケーションの脆弱性に大別できます。このうち、OS関連の代表的な脆弱性がバッファオーバーフローです。しかしこの問題は、2000年代、マイクロソフトが対策を進めるようになったこともあって、悪用が困難になっていきました。それに比べてWeb系は、新たにさまざまな攻撃方法が発見され、どんどん拡大していたので、やればやるほど詳しくなれました。

ーーでは、今所属するサイバーディフェンス研究所に移ったきっかけは?

Webのセキュリティ診断をしていると、実はシステムがウイルスに感染していたり、既に情報が漏えいしていた、なんていうケースに出会うことがありました。「先客がいた」というやつです。お手伝いしたいんだけれど、当時の自分の業務はWeb診断に限られているんですよね。お客さんの期待に応えたい、要望に応えてWeb以外のこともやりたい、というのが動機です。
そんな中で、久しぶりにバッファオーバーフローなどの脆弱性業界を覗いてみると、攻撃側防御側ともに新しい技術がたくさん出ていて、自分の知らない世界がまだこんなにもあったのかと驚きました。枯れたと思い込んでいたことが恥ずかしくなって、実戦的かつ幅広い知識をキャッチアップし続けるためCapture The Flag(CTF)に参加するようになりました。
まだ初期の頃でしたから、DEFCON CTFくらいしか主要な大会がなく、日本人エンジニアでCTFに参加していたのは数えるほどしかいませんでした。そんな中で、サイバーディフェンス研究所のチームがけっこういい成績を収めていたんですね。問題の解き方について情報交換したりする中で、「転職してうちにおいでよ」と声がかかったのもきっかけです。

ーーCTFには学生の頃から参加していたんですか?

いやいや、学生の頃はCTFなんてありませんでした。社会人になってからですね。起業した直後はなかなか余裕がなかったんですが、少しずつ時間を取って、CTFの問題を勉強するようになりました。tessyさん(注5)ら、CTFに興味を持って参加していた人たちを誘って、「うちでやってみれば」と会社の会議室でやってみたこともあります。
当時は著名な大会はDEFCON CTFくらいしかありませんでしたが、セキュリティに興味を持つメンバーで構成した「チームチドリ」にゲストとして混ぜてもらって参加し始めました。みんなの力を合わせて問題を解くのが楽しかったり、解けなくて答えを見て、それまで自分が知らなかったジャンルに出会って「ああ、この辺も勉強しなくちゃいけないな」と感じたり、とにかく純粋に楽しかったですね。

(注5:日本のCTFチーム、sutegoma2のリーダーやセキュリティイベント「AVTOKYO」の仕掛人も務める寺島崇幸氏。現在、日本最大のCTF大会「SECCON」の副実行委員長を務める)

ーー今はもう参加されていないのですか?

物理的に遠くに来ちゃったというのが大きいですね。自分はやっぱり、一つの部屋に集まって、事前に食料を買い込んで、オフラインで議論しながら、時にはケンカしながら問題を解くのが楽しいんですよ。難問を解けた時の喜びを共有できる人がいないと。
その辺、インターポールから話があった時に天秤に掛けて悩んだんですけど、CTF人口はだいぶ増えてきていたのに対して、インターポールの方はサイバー専門チームに民間企業から人が入るのは第一号ということだったので、まだ人が誰もやってない方の道に進もうと決心したんです。もしインターポールの仕事に飽きてきたらやるかもしれません(笑)

解析やフォレンジックとトレーニングで間接的にサイバー犯罪捜査を支援

ーーでは、インターポールでのお仕事について伺いたいと思います。確か、インターポールのWebサイト検査で印象に残る指摘を行ったのがきっかけで、声がかかったと聞いていますが。

CDIの仕事でインシデントレスポンスに出かけ、フォレンジックやマルウェア解析を行うと、どこからやられたかというIPアドレスが判明するんですね。それが中国など海外のIPアドレスだったりすると、それ以上は何もできない。「それはどうなんだろう、警察は一体何をやってるんだよ」という思いがありました。それに、CDIに入って3〜4年経っていたので、そろそろ環境を変えて海外でも働いてみたいなと思っていました。その話を小林さん(編集部注:当時の代表取締役小林真悟氏)にしたところ、いくつか打診してくれて、その1つにインターポールがあったという形です。

ーー今のお仕事の内容を教えてください。インターポールというと日本人の大半は「銭形警部」を連想しますが、あんな捜査活動は……。

いやいや、インターポールというのは、加盟する各国の警察がお金を出し合って運営している組織ですから、加盟国のリクエストに応えるのが仕事で、ああいうふうに個人的な思い入れで犯人を追いかけることはしません。埼玉県警のパトカーも使えませんよ。

ーーもし、複数の国にまたがる犯罪だった場合は?

例えば、ある国の警察がサイバー犯罪捜査を進めた結果、共犯者が別の国にいることが分かったので当該国に照会をかけたい、というときに情報を中継するのがインターポールの役割です。まさに、各国警察どうしをつなぐ「ハブ」ですね。犯人の逮捕権もないですし、法廷に立って証言することもありません。

世界中から人が集まるシンガポールで解析業務に携わる福森氏。「下手な英語を話し、聞き取ることにお互い慣れているので楽ですよ」という

ーー福森さん自身はどういった業務をなさっていますか?

一番メインの任務はサイバー犯罪捜査の支援で、マルウェア解析やフォレンジックを行っています。インターポールの加盟国から「手に負えないマルウェアがある」と連絡があったら、送られてきた検体を解析したり、どこから手をつけたら分からない状況であれば現地に行って支援を行ったりしています。
もう一つの柱となる任務はトレーニングで、インターポールに出向している人や現地の警察に対して、「今回はフォレンジック初級だ」「次はマルウェア解析の上級をやろう」と、けっこうひんぱんにトレーニングを行っています。

ーー今力を入れて解析、捜査している案件はどんなものでしょう?

先日話題になったランサムウェア、WannaCryの解析はその1つです。金銭目的のサイバー犯罪に用いられるマルウェアを解析し、犯人につながる情報を見つけ出そうと試みています。あと、今力を入れているのは「BEC」、いわゆるビジネスメール詐欺です。また先日はインターポールとして、ASEAN地域で集中的にC&Cサーバやフィッシングサイト、改ざんサイトを見つけて、誰がどのように不正アクセスを行ったかという証拠を探り、捜査につなげました。他の地域でも同様の集中捜査を行っています。

ーーWannaCryも解析されているんですか?

あれは面白いですね。今出回っていて話題になっているのはバージョン2.0で、その前に1.0やβ版がありました。そのころはAPT(Advanced Persistent Threat:注6)的な攻撃に使われていたのに、なぜ2.0になってランサムウェアに変わったのか。背後にいる人たちの目的が気になります。アセンブリレベルで見ると、細々とした目くらましコードが入っていて高度なスキルを伺わせる一方で、キルスイッチの設定やBitCoinのアドレス表示にバグがあったりと雑なところもあって、まるで多重人格者が作ったかのように思えるところがあるんですね。それか、統率の取れていない組織が関与しているんでしょうね。すいません、言えることはこの辺までで。

(注6:国家主体、もしくはその支援を受けた組織による、特定の標的に対する高度かつ執拗な攻撃)

ーー民間と違うインターポールならではの難しさはありますか?

ある程度予想はしていましたが、技術以外の部分で面倒くさいところがあるのは否定できません。インターポールの目的や原則を定めた「ICPO憲章」では「インターポールは政治的な争いや宗教的な争いには一切関知しない」とされています。なので、WannaCryでも何でもいいんですが、マルウェアが出てきてもどこかの国の政府が諜報活動として関与しているとなると、インターポールはいっさいタッチできなくなっちゃうんですね。

ーーどれほど歯がゆくても……

タッチできません。ただ、そう断定するためにはある程度捜査しなくちゃいけませんから、鶏が先か、卵が先かの話で議論になることも度々あります。その辺は技術的な裏付けを持ってしっかり意見を言わないといけない部分ですね。

ーーシンガポールというアジアのハブから見て、国による傾向の違いはありますか? 日本のレベルはどうでしょう。

やっぱり世界で見ると、日本はけっこう安全というか、ちゃんとやっていると思います。国によっては、政府機関でも改ざんされっぱなしのページがたくさんあって、それを報告しても「え、これの何が問題なの?」なんてこともありますし。その国の法律によるところも大きいですね。フィッシングサイトの作成一つ取っても、日本でさえ数年前の不正アクセス禁止法改正でやっと違法とされるようになったレベルですから、他の国では、まだ犯罪ではないところがあっても不思議ではないですね。

ーーサイバー犯罪が増えている国はありますか?

アフリカで見つかることが多いんですが、それは本当にサイバー犯罪が増えているのか、それとも単に彼らの技術の歴史が浅く、稚拙だから見つかる数が多いだけなのか。もしかすると、ロシアなど他の国でも同じくらい多くのサイバー犯罪が起きているけれど、巧妙なので見つかりづらいだけだ、という捉え方もできますよね。

ーーそうした国では急激にIT化が進んでいて、サイバー防御まで手が及んでいないんでしょうか?

IT化が進んでいてIT系の学校も増えているんですが、せっかく学校でITの勉強をしても職場がない。でも生きていかなきゃいけないし、家族も養わなくてはならない。だから、生きるためにBECに手を貸したり、犯罪をやるしかないという現実があると思います。

ーーでは、世界を安全にするには、世界のエンジニアにもっとお金が回るようにすればいいんでしょうか……難しいですね。

先日インターポールでは、BECのリーダーを逮捕したというプレスリリースを発表しました。ナイジェリアの警察は、「昔はナイジェリア詐欺で有名だったが、もはやナイジェリアはサイバー犯罪の天国ではない」というメッセージを強く打ち出し、ものすごく頑張って検挙を続けています。他にもそのように頑張っている国がある一方でインターポールからはリーチしにくい国や地域もたくさんあります。北朝鮮は非加盟国ですし、クルド人自治区は独自の行政システムを持っているのにも関わらず、インターポールからはイラクとしてしか映りません。日本人には馴染みのある香港や台湾も、中国の一部のような、そうでないような微妙な立ち位置です。現地で話をすると、「Hong Kong, China」と「Chinese Taipei」の違い、チャイナという単語が前に来るか後ろに来るかでどれだけ大きな違いがあるのかを一時間以上に渡って語り合うことになります(そして結論は出ません)。さらに、「インテリジェンス」(編集注:いわゆるスパイ活動、諜報活動)という言葉で片付けられるか分かりませんが、国家や国家と密接に関係する組織による情報収集の動きも、サイバーの世界に及んでいるわけです。
結局インターポールというのは、各国の警察を支援するための組織でしかなくて、最終的には、各国警察のモチベーション次第というところがあります。例えばWannaCryにしても、被害者が警察に相談しても「ああ、どうしようもないですね」で終わってしまって、被害届を出す人が少ないとも聞いています。警察にとってモチベーションのない部分はインターポールにも手が出せないんです。

ーーこの先脅威はどう変化していくでしょうか? ますます増えるでしょうね、というのは簡単ですが……。

ますます「分からなく」なっていくんじゃないでしょうか。例えば、これまで見えていたIPアドレスがTor経由になって分からなくなるとか。マルウェア本体も、少し前は「誰が作ったか」が推測できるアトリビューション情報が残っていたんですが、今はその辺が研究し尽くされてきて、痕跡が残っているケースがますます少なくなっています。

少しずつでも確実に技術者の底上げを

ーーそんな中で、人によっては「ホワイトハッカー」と言ったりしますが、セキュリティエンジニアに今できることって何でしょう。

自分の場合は、少しずつですけれど、トレーニングを通じて人材を育てています。そもそも、サイバー犯罪が起こったことのない国(正確にはサイバー犯罪に気がついたことのない国)には「デジタルフォレンジック」という概念すらないですし、一度消去したファイルが復元できることも知らない。そういった国の人に、少しずつですが知識を伝えて底上げをしています。技術があれば、今まで諦めていたことが可能になるんだと。また、インターポールのメンバーは、各国警察から3年といった期限で出向してくる人たちです。そうした人たちにトレーニングして、国に帰ってサイバー部門のトップに立ってもらう、そんな人たちが増えてくれば少しずつですが良くなるんじゃないかと。

また、先日僕がバングラディシュに捜査支援に行って知り合いになった警察官からは、「お前がやっていた仕事を見てて、自分はもう一度大学へ行って勉強しようと思った。お前のような技術者になるには、どういう分野の勉強をすればいいんだ? マルウェア解析やフォレンジックみたいな実用的なコースに行った方がいいのか、それとももうちょっと数学とか科学技術の基礎的な方がいいのか」と相談を受けました。

インターポールにできることにも限りはあるが、少なくとも、困っている人がいるのに助けにいかないわけにはいかない、という

ーーで、何て答えたんですか?

僕は、「基礎的な方を」って答えました。マルウェアにしてもフォレンジックにしても、研修はたくさんあるじゃないですか。反対に、数学を何年もかけてみっちりやるチャンスは少ないですから。それに、今流行っているAIや機械学習は全部、数学の知識の上に成り立っています。だからそれができれば、これから30年、40年とキャリアの礎になるんじゃないかなと。
そもそも将来、何がどうなるかなんてまったく分からないじゃないですか。もしかしたらマルウェア解析もフォレンジックも、30年後には必要ないかもしれない。けれど数学は、例えば1700年代に発表された公式なんかが、数百年後の今も現役で使われているわけですから。

ーー福森さんご自身が技術を磨き、伝えていく「使命感」の源はどこにあるんでしょう。

バングラディシュ中央銀行が不正アクセスを受けた件で、捜査支援のために現地に行った数週間後に、日本人が数人巻き込まれるテロが発生しました。捜査はまだ途中で、もう一度行かなくちゃ話が進まない状態。他にこういう調査ができる人は他にいなくて……でもテロの直後で、自分には子供もいるし、とけっこう考えました。家族にも反対されました。
でも、技術者として「ハッキング大会で何位になりました、決勝に何回も残りました」って偉そうに言っていながら、困っている人がいるのに助けにいかない、という選択肢はないなという使命感を感じて。

ーー他にもさまざまな国に行かれてますよね?

はい。時にはものすごく初歩的なこと、例えば「レジストリエディタというものがありまして」といったところから始めたりしています。でもそれが、その国にとって今必要なことですから。
日本も含めた先進国は、「国際協力の一環として何億円支援しました」とよくアピールしていますが、本当にそれが、その国のためになっているのかなって思うことがあります。現地に行って「マルウェア解析はどうやるんだ」「それはだ、『IDA Pro』っていうツールがあって、○○ドルするんだけど……」「何だそれ、そんなの買えないぞ」とやり取りしてデモを見せたら、実は既に現地のPCにインストールされていたことがありました。ある国が寄付してくれたんですね。でも、偉い人どうしが握手してる写真を撮って、「支援しました」とプレスリリースを出して終わり。使い方も教えず、本当にその国をサポートしているのかというと、疑問ですよね。

ーー技術って何のためにあるのか、技術者の仕事って何かっていう話ですよね。

やっぱり技術というものは、それを必要としてくれている人のために使った時点で初めて技術として成立するもので、そうやってきちんと成立させるために磨いていくものだと思います。僕の場合、Webをやってただけじゃだめで、CDIに行っただけでもだめで、インターポールに行って初めてできることもあって、それでもやっぱり他にやらなくちゃいけないことがたくさん見えてきて……そう考えていくと世界が広がっていくんじゃないでしょうか。

ーー日々さまざまな国の捜査支援などで多忙ですよね。プライベートタイムはちゃんと確保できていますか?

今は育児の時間が多いですね。あと、インターポールでサッカーチームに入っていて、フランス大使館のチームとか、シンガポール労働省のチームとかと対戦してます。練習もけっこうガチで、ナイジェリア人のチームメイトに削られてじん帯を損傷して、しばらく松葉杖で生活してました。

ーーちなみにポジションは? セキュリティ専門家だけに守備側ですか?

フォワードです。あ、やっぱりここでもなぜかExploit(攻撃)をする側の人間になってますね(笑)

最前線でサイバー犯罪に立ち向かう「トップガン」は、体を鍛えることも怠らない(BGMは「Progress」で)