トレンドマイクロが発表した「ウイルスバスター for Home Network」は、ルーターに挿し、管理用のスマホにアプリを入れるだけで“家族を守る”という、ちょっと変わった、そして現実的な解だ。ホームネットワーク内の機器を毎日スキャンし、簡易なパスワードがあれば管理者に連絡する。さらに、パケットのアプリケーション層までチェックするDPI(ディープ・パケット・インスペクション)機能に、ホームネットワークのWebレピュテーション機能。企業の話ではなく、これを「自宅」で実現するデバイスが登場したのだ。
今回、新たな守り方を1つのデバイスで実現したトレンドマイクロの開発者と、はてなのネットワークを管理して守ってきたエンジニアがざっくばらんにその思いを語った。「ウイルスバスター for Home Network」はあえて技術面の詳細を隠し、シンプルさを売りとして掲げる製品だが、エンジニアとしての視点ではどう見えたのだろうか。
座談会出席者は、トレンドマイクロ株式会社 コンシューママーケティング本部 ホームネットワークセキュリティグループ マネージャーの和田克之さんと、株式会社はてな システムプラットフォーム部の村松雄介。構成はITジャーナリストの宮田健です。
家庭内機器の3割が「非PC」──これを守らねば、未来はない
ー まずは自己紹介からお願いいたします。
和田トレンドマイクロの和田です。新卒からトレンドマイクロで、これまでコンシューマー向け新規製品の企画開発を担当してきました。
村松はてなでシステムプラットフォームを担当している村松です。システム運用に携わって6年、自作サーバーを組み立てたり、仮想化したりといろいろやりつつ、比較的低いレイヤーの部分を中心に見ています。
トレンドマイクロ 和田克之
ー 今回は、トレンドマイクロさんが新しく作った「家庭用のセキュリティ機器」についてお話を伺いたいと思います。この製品の企画はどのように始まったのですか?
家庭内ネットワークの現状。PC、スマートフォン“以外”のホームネットワーク接続端末が占める割合は無視できない
和田今や、家庭にも「ネットワーク」があるのが当たり前の時代です。しかも、いわゆるWindowsやMacなどのコンピューターだけでなく、スマートフォン、そしてそれ以外にさまざまなものが家庭内ネットワーク(ホームネットワーク)につながるようになりました。無線LAN内蔵のプリンターやNAS、それにテレビ、ゲーム機など。弊社調べでは、接続機器の3割が非PC/非スマホになっています。そして、それら3割の機器が狙われ、脅威が出始めました。これらを守るためのソリューションが必要だと感じたことがスタートです。新しい機器に対する脅威の状況はご存じですか?
村松今や家電の中でBSDやLinuxが動いていますね。自分もLinuxが動くNASを使っています。このNASはときどき脆弱性が発見されていて、インターネットに公開するとまずいことも。なので、インターネットとホームネットワークの間で何とかしたいと思っていました。これまで守るソリューションがなかったところですね。
はてな 村松雄介(id:halfrack)
最近では、IoT機器を狙った「Mirai」も話題です。先日はDNSサービスに対するDDoS攻撃が行われ、はてなのサービスもほんの少し影響を受けました。これはIoT機器が悪用された事例です。私たちの管理する家庭内の機器が加害者になってしまうかもしれない。
ですので、この製品を知ったとき、まず思ったのは「楽しそう!」そして「欲しい!」でした。
ウイルスバスター for Home Networkが守る範囲
Mirai
スマート家電などをターゲットとし、ボットネット構築するマルウェア。分散型サービス運用妨害 (DDoS) に利用され、多くの機器のデフォルトパスワードやtelnetポートが狙われた。
ポート1個、電源ケーブルのみ ──ルーターにつなぐだけで使える
和田これがパッケージです。ぜひ、開けてみてください。
村松わっ、シンプルなんですね。
和田インターフェースは極力シンプルにしました。ネットのコネクタ、そして電源だけ。ルーターの空きポートに、同梱のイーサネットケーブルを付け、電源を入れるだけです。この部屋にも実は1つ、設置してあります。
村松(実際に稼働している製品を触り)熱くなってない! こういうルーター製品は熱設計がダメなものも多いのに、ちゃんとしてますね(笑) 「徐々に調子が悪くなって再起動」とかしたくないから、とてもいいです。これは、どこで作ってるんですか?
和田ハードウェアは台湾のメーカーに外注しています。トレンドマイクロは本社が日本にありますが、エンジニアの多くは台湾にいます。
ウイルスバスター for Home Network本体
ー エンジニア視点だと気になる部分が多そうですね。
村松まず気になってるのは、ポートが1つしかないことです。実際はどのように通信を見ているのですか?
和田ARPテーブルを見ています。これをルーターに挿し込むと、ARPの仕組みを利用して、PCやスマートフォンなどの機器がウイルスバスター for Home Networkをゲートウェイと見なし、これを経由して通信を行うようになります。ここでDPIを行います(詳細は後述)。
そのため、実際にウイルスバスター for Home Networkを使うために必要なことは、ルーターにイーサネットケーブルを「挿すだけ」です。
村松なるほど。つまりL2レベルでねじ曲げると。L3レベルではなくARPならば、個別のクライアント設定が不要になる。
和田はい。普通に考えるとルーターの中に機能を実装すると思いますが、普通の人がルーターを買い換えることは難しいし、面倒ですからね。
村松確かに。パワーユーザーだと、ルーターは自分で選びたいという人もいるでしょうね。私も「802.11ac Wave2」を使いたいし、こだわりたいところです。
通常エンタープライズ向けの製品だとポートを2つ付けるような気がしますが、そうしなかったのはコスト的な問題ですか?
和田それもありますが、当初計画していた機能を実現するのであれば、ポート1つでもいけるだろうと判断したこともあります。まずこの製品のプロトタイプはRaspberry Pi(ラズベリー パイ)で実装、検証していました。作ってみたら「いける!」という手応えがあったこともあります。
村松発想はラズパイですか!
2つの大きな機能、DPIとWebレピュテーションとは?
ー このような家庭用の機器では、通常なら技術的な用語は避けると思いますが、あえてそこをエンジニア用語で説明していただけますか。どんな機能があるのでしょう?
和田この製品を我々がよく知る言葉で表現すると、まず「DPI(ディープ・パケット・インスペクション)」が挙げられます。通常のファイアウォール機能だけでなく、データの中身を見て、フィルタリングやブロック、警告を表示させます。
村松私たちがデータセンターに入れるような機器が家庭にまで降りてきた。ちなみにどこまで見ているんですか?
和田詳細は非公開ですが、HTTPやDNSなどの代表的なプロトコルを含め、40以上のL7プロトコルをサポートしています。例えば、HTTP通信ではリクエストやレスポンス行はもちろんですが、User Agentなどのヘッダや、メッセージボディの情報まで見ています。
ー そのほかにありますか。
和田もうひとつは「Webレピュテーション」です。不正であると思われるWebサイトをブロックする機能ですね。この2つが大きな機能です。
ここでひとつ、デモをさせてください。これは中国製のセットトップボックスです。ウイルスバスター for Home Networkが外れている状態で、ルーターに接続します。テレビ画面を見ていてください。
実はこのルーターの設定が既に書き換えられてしまっているので、セットトップボックスは不正サイトにアクセスさせられてしまいます。その結果、マルウェアをダウンロードしてしまう状態になって……。
村松ランサムウェアだ。
和田はい。このセットトップボックスにはファームウェアアップデートの機構にセキュリティ設計上の問題があり、本来ならダウンロードすべきではないプログラムをインストールできてしまいます。
例えば、ランサムウェアに感染すると、このようにコントロールが利かなくなります。普通の人がこれを見たらパニックになりますよね。
このようにセットトップボックスをはじめとして、今やスマート家電も攻撃対象となるのです。
村松私もセットトップボックスが狙われることは相当にまずいことだと思っています。先の「Mirai」などもそうですが、家庭内の機器がボット化するのが本当に怖いです。
和田さすがエンジニア視点ですね。ランサムウェアですと被害が目に見えて分かるのですが、機器のボット化では自分自身が困ることはなく、一般の方には注目されにくいのが実情です。
村松エンジニアとして襟を正しておきたいところですから。
和田ゆくゆくはIoT機器を掌握して、そのパワーをコンピューティングファームとして悪用されるなどのことができてしまう可能性もあります。そのため、今の時点で何らかの対処は必要でしょう。
村松感染端末が数台ならまだしも、これが1万台規模になったらもう対処できる気がしません。
和田ボット感染は気付きにくいがゆえに、普通の家庭では自分で守ろうと考えにくい部分かもしれません。だからこそ、機器側で守る必要があるのでしょう。
プロが使うようなセキュリティがおうちにきた!
ー 実は私も先行して使わせていただいています。試用して驚いたのは、毎日デバイスのチェックをしてくれることでした。
スマートフォンのアプリから、自宅ネットワーク内に接続されたデバイスのセキュリティをチェックできる
和田はい。管理アプリを起動して「安全性を確認する」をタップすると、接続されているデバイスを検索し、例えばルーターやNASであれば「パスワードが簡易なものではないか」を確認できます。
村松私も、能動的なチェックをしてくれるとは思っていなくてびっくりしました。まさかそこまでやるとは。
和田この機能では、もしルーターなどの機器に弱いパスワードを付けている場合、警告と合わせて管理コンソールのログインページリンクも表示します。詳しい人であればルーターがどこにあって、IPアドレスも理解していると思いますが、普通の人は管理IDやパスワードの存在も知らないでしょう。それをガイドする機能もあります。
村松これは自宅という「自分が管理している」前提の場所だからこそ、いわゆるプロが使う「脆弱性チェックツール」的なことも実行できるんですね。
私たちも自社のWebサービスに対して疑似攻撃を行うようなツールを実行しますが、それに近いことを家庭の機器で行うのは驚きです。「Mirai」では弱いパスワードが狙われていましたしね。
和田弱いパスワードが変更されていれば、被害が少なかったかもしれません。以前(2016年8月~9月)トレンドマイクロで調査したときも、ルーターを簡単なパスワードのままで運用していた個人ユーザーが約19%いるという結果が出ていました。
トレンドマイクロの調査では、約19%のユーザーがルーターの管理コンソールに簡易なパスワードを利用していた。管理画面へのアクセスを許してしまうと、DNS設定を変更し、偽サイトへの誘導が行えてしまう
ー そのほかに、管理アプリの役割はありますか?
和田「ただ乗り問題」も対応できると思っています。例えば家庭のネットワークに、お子さんのお友だちが入り込んでくることも考えられるでしょう。その場合でも、新規にデバイスが登録された場合に、スマートフォンに「通知」が飛びます。
これが見えれば、外出先からそのデバイスの接続をシャットアウトし、インターネットにつながらないようにもできます。
村松意図しない侵入を発見できるのはすごいですね。今どきの子どもは家で集まったときに、自宅のWi-Fiパスワードを教え合って、勝手につなぐことも十分あり得ます。WEPやWPAの脆弱性ではなく、ソーシャルなルートでの漏えいも考えなくてはならない時代です。
和田はい。今回の製品は「通知」が重要だと思っていて、「発見したときにお知らせする」ことがポイントです。企業ならモニタリングする専任の担当者がいますが、自宅では不可能です。
ですから、いつも携帯しているスマートフォンに「通知」するため、このiOS/Android向け管理アプリが重要なのです。
家庭内デバイスが何らかの脅威にさらされた場合、管理者のスマホには通知が飛ぶ仕組みになっている。アプリを開くことで、より具体的な情報も表示されるため、外出先でも「(ホームネットワーク内にいる)家族の端末が守られている」ことが分かる
村松企業向けのIDS(不正侵入検知システム)もいろいろなことができますが、そこで検出したことを管理者に通知して、だれが受け持って……みたいな部分の作り込みが一番重要だったりします。それがすでにスマホアプリで実現しているのは素晴らしいと思います。警告ログを見逃して素通りしてた、気付かなかったというのは一番のダメパターンですから。
ゲーム機を守ることは、小学生を守ること
ー どんな人に、ウイルスバスター for Home Networkを使ってほしいですか?
和田そうですね。すべての家庭、特に中学、高校生のお子さんをお持ちの方や、スマート家電に興味があって、ホームネットワークに多くの機器がつながっている家庭での利用を想定しています。
主な機能のDPIやWebレピュテーションでは、先行してテストしたご家庭でもかなり好評でした。自分の部屋を持つお子さんが、普段どのようにインターネットを使っているのかは分かりません。先行テストした家庭では「まさか我が子がアダルトサイトを見ているとは思わなかった」などの声もありましたね。
村松そう、私もその話をしたかったんです! フィルタリングはすごく欲しかった機能です。 私は、リテラシーは自分で身に付けなければならないと考えているところがあるので、中学生になればいろいろなことを経験しながら徐々に覚えていくのもいいかもしれないと思っています。でも、何も分かっていない小学生はそれではダメで、やはり守らないといけない。
ー スマホなら、キャリアが提供するフィルタリングもありますが……。
村松自宅のWi-Fiだと、その機能も利用できませんね。子どもたちも頭がいいですから、携帯ゲーム機を持って、フィルタリングがかかっていないお店の無料Wi-Fiだったり、友だちの家に行ったりする。
しかも、いろいろな抜け穴を探して知識を共有していますから、今まではある程度の知識があるエンジニアも「解はない」と言うしかなかった。でも今後はこれがあれば、ある程度は守れると思います。その点で最高です。
ー 実は「子どものハック能力」はあなどれないと思います。
村松今ではどのゲーム機にもコミュニケーション機能があって、子どもたちがさまざまな情報交換をしています。その中で「こうするとブラウザの保護を抜けられる」という会話もなされているんですね。
PCみたいにフィルタリングソフトウェアをインストールできればいいんですが、どうやらそれも「レジストリを書き換えたらいける」というハック方法も流通してるようです。子どもは会話できる場があれば、ハックしてきます。
和田実は先行テストでも、ウイルスバスター for Home Networkを「ルーターから引き抜く」というハックをされた家庭がありました。
ー さすがですね。その場合、どのような対処が可能なのでしょうか。
和田実はその場合でも、管理者のスマートフォンに「通知」が飛びます。デバイス一覧も見られますので、どんな機器が接続されているのかが分かります。
村松攻撃ポイントは「引っこ抜く」で、引っこ抜かれても、それが「見える」──なるほど、すごい。
ー 迷惑情報サイトなど、特定ドメインを止めることはできますか?
和田URLフィルタリングの機能は「アダルト/成人向け」「出会い」「違法と思われる行為」「違法と思われる薬物」のカテゴリごとに設定が可能です。
特定ドメインをブロックするなどの機能は、企業向けでは必要かもしれませんが、個人向けとしては現時点では対応していません。ただ、もうちょっと細分化してもいいかもしれないとは思っています。
村松利用時間を制限する機能もありますね。例えば、動画の閲覧は1日1時間と親子で決めておいて、実際に1ヶ月くらい言っても守れなければ、これできっちり制限してしまうこともできる。
ー ところで、お子さんが“管理ソフト”をインストールしたとしたら、管理権を取られたりしませんか?
和田本体とスマートフォンは「ペアリングコード」で結びつけられています。このコードはパッケージに封入されているので、これは大事に持っていてください。これさえ守れば大丈夫です。
村松その話で思い出しましたが、ファミコン(任天堂ファミリーコンピュータ)のACアダプタを親に隠されたことがありました。
和田言われてみれば、私も隠されてましたね……。
村松ACアダプタ隠しという“アクセス制限”ならば、自分で互換のアダプタを探して回避できましたけど、これなら大丈夫そうです(笑)
スマホ時代における「親しき仲にも礼儀あり」
ー 自宅で試用したとき、家族から「全部見られていると思うと気持ち悪い!」と言われてしまいました。
村松それは私も気になります。ネットの閲覧履歴はセンシティブ情報ですので、どのように説明すればいいかを解説する紙が一枚あるとうれしいかもしれませんね。特にパワーユーザーにはリベラルな人も多く、検閲はしたくないという人もいるかもしれません。その点に関しての啓発はいかがでしょうか。
和田はい。実はそこは私たちも重要だと思っていて、パッケージにもマニュアルにも「重要なお知らせ」として明記しています。
村松あ、すでに考慮されていた!
和田テストのときにも同じような声がありまして。
村松まさにここは、プライバシーに興味ある方が真っ先にチェックするところだと思っていました。バッチリ書かれてる。
和田最初はマニュアルの中面にしか書いてなかったのですが、目立つ場所に変えました。Webでも、製品紹介の部分にも明記しているつもりです。
セキュリティは「継続的メンテナンス」ができるかが重要
ー ちなみに、価格体系はどのようになるのですか?
和田トレンドマイクロの直販サイトでは、製品自体の価格ハードウェアと1年分の利用料で、9,720円(税込)で販売しています。
村松その後は、年ごとのサブスクリプションという形でしょうか?
和田その通りです。2年目以降は6,480円/年(税込)で考えています。
村松もし、そのサブスクリプションが切れたらどうなるのですか? シグネチャアップデートはされないけれど、動き続けるのでしょうか?
和田いえ、機能自体が止まりますね。
村松おお……それは理想です。アップデートされなければ止まった方がいいですね。こういう製品、サービスは「継続メンテナンス」が一番重要だと思っています。
自力でオープンソースソフトウェアを使って実現するにも、そのアップデートなどが面倒なので、とにかくIDSはどこかにおまかせしたい。自分だって6,480円で1年メンテしろ、といわれたらイヤですから。
和田Webレピュテーションの機能は、弊社の「ウイルスバスター」シリーズなどで提供しているものと同一の情報を利用しています。世界の脅威を分析し、アップデートしています。企業向けのセキュリティと同じレベルで守ることが可能です。
村松デバイス数も無制限※なのですね。パワーユーザーなら、6,480円をデバイス数で割ればランニングコストはかなり安くなりそうです。
- ※ご利用のルーターの接続機器数制限はご確認ください。
「もはやウイルスバスターいらず?」──いえいえ、そんなことはありません
ー ところで、これまで販売されていた「ウイルスバスター」との関係は?
和田「ウイルスバスター for Home Network」では、PCやスマホ上にあるファイルのスキャンまでは行いません。その意味で、PCやスマホにインストールするウイルスバスター クラウドとは共存の関係にあります。
先行テストでも、親御さんから同様の質問を受けましたが、この製品ではネットワークを見ます。しかし、USBメモリなどはネットワークを経由しないので、ルーターを通らない脅威にはウイルスバスター クラウドを入れましょう、というお話をしました。
村松とはいえ、ウィルス対策ソフトを入れられない機器も増えていますから、家庭向けとしては今までにない、ブルーオーシャンな製品カテゴリーですね。
和田これまで「ルーターに挿して動く」ものはなかったと思います。DPI、脆弱性スキャン、Webレピュテーション、フィルタリングがそろって、ホームネットワーク内の「家族を丸ごと守る」ことができるようになります。
村松子どものWebフィルタリングは、少しくらい手間がかかってもいいから、いいものが欲しいという方も多いです。この製品は手間もかからず、“電撃的なうれしさ”がありますね。今回は本当に楽しいものが出てきた! と感じています。
ー 今日はありがとうございました。
