スマホ経由の集合知でどうセキュリティリスクを低減？ モバイル版「タチコマSA」登場の意義

Web媒介型攻撃対策プロジェクト「WarpDrive」が提供してきたエンドユーザー向け対策ソフトウェア「タチコマSA」のモバイル版「タチコマ・モバイル」が公開された。今までの防御策と何が違うのか。一体どんなものなのだろう。

[土肥正弘，ドキュメント工房]

「攻殻機動隊」のキャラクターを前面に押し出した対策ツール

　タチコマSA／タチコマ・モバイルは、国立研究開発法人情報通信研究機構（以下、NICT）を中心に、以下に示す国内企業と研究機関が研究開発を進める「WarpDrive」プロジェクトの一環として開発されたユーザーエージェントだ。

WarpDriveプロジェクト参加組織

• KDDI総合研究所
• セキュアブレイン
• 横浜国立大学
• 神戸大学
• 構造計画研究所
• 金沢大学
• 岡山大学
• 情報通信研究機構（NICT）

　ひと目で分かる特徴は、人気アニメ作品『攻殻機動隊S.A.C.』シリーズに登場する「AI（人工知能）搭載多脚戦車」という設定のロボット「タチコマ」をメインナビゲーター的役割に据え、同シリーズの世界観と作風に沿ったユーザーインタフェースで全体が貫かれていることだ。

　本プロジェクトは2015年から続く官学の研究者による「攻殻機動隊 REALIZE PROJECT」の一環だ。

　研究開発の要を担うNICTサイバーセキュリティ研究室の井上大介室長は「Web媒介型攻撃は実態解明が難しく、有効な対策のためにはリアルタイムに攻撃情報を広く収集できる仕組みが必要。エンドユーザーに協力してもらうためのインセンティブとなるように、世界的に人気を博したアニメのモチーフを、権利者の許諾を得て利用している」と話す。

図1　モバイル版「タチコマ・モバイル」の画面例（資料提供：NICT）

図2　PC版「タチコマSA」の画面例（Webアクセスの状況を視覚化した例）（資料提供：NICT）

図3　PC版「タチコマSA」でアクセス先が不正サイトだった場合の警告画面の例（資料提供：NICT）

　エージェントツールである「タチコマSA」PC版（Windows、macOS対応）は、同プロジェクトのWebサイト（リンク）から無償で入手できる。モバイル版（Android OS Ver.6以上対応）「タチコマ・モバイル」はGoogle Playストアで無償配布している。

　「タチコマSA」をインストールすると、PC版ではChrome画面上に「タチコマSA」ボタンが表示され、動作のモニターが行われる。同時に不正サイトへのアクセス検知や警告、アクセスブロックなどの機能も有効になる。モバイル版も同様にホーム画面に表示されるタチコマのダブルタップから各種機能が利用できる。

なぜ「タチコマSA／タチコマ・モバイル」が必要なのか

　セキュリティ脅威のトレンドは、2009年の「Gumbler」（ガンブラー）登場をきっかけに大量無差別攻撃からWeb媒介型攻撃へとシフトした。

それ以来、Web感染型マルウェアは多種多様なものが、亜種を含めて毎日膨大に作成されている。攻撃者は図4のようにマルウェア配布サイトや攻撃サイトを構築して、標的対象となる個人などに向けてメールやSMS、SNSメッセージなどでアクセスを誘導する。しかし単純に攻撃サイトにアクセスさせるのではなく、途中に幾つかの中継サイトを用意して攻撃用サーバの所在を突き止めにくくするのが一般的な手口だ。

　これにはWeb改ざん攻撃が組み合わされることが多く、正当にサービスを提供している第三者のサイトを不正に改ざんし、攻撃の踏み台として利用される場合がある。

図4　Web媒介型攻撃のイメージ（資料提供：NICT）

　巧妙に仕組まれた攻撃では、ユーザーが正当にサービスを利用しているつもりであっても、その裏でマルウェアに感染させられてしまう。アンチウイルスツールを導入しても、新種や亜種のマルウェアは検出できないことが多く、情報漏えいなどの被害につながりかねないのが実情だ。

　このようなWeb媒介型攻撃を防ぐには、攻撃に使われる各サイトへのアクセスを防止することが有効だ。しかし、攻撃用サイトや踏み台となる改ざんされたサイトも、現在はごく短期間（数日程度）で使い捨てにされて新しいサイトに移行することが多い。Webクローリングによる不正サイト発見手法では、発見がほとんど不可能になっている。

　また、Webフィルタリング機器などは、ベンダーが収集してデータベース化したURLブラックリストやレピュテーションスコアを利用して不正サイトへのアクセスを防止するが、不正サイトなどの発見から機器への情報反映までに比較的大きなタイムラグがある。また海外ベンダーの製品普及率が高く、国内での大規模なリアルタイムデータを収集する仕組みがないことから、適時に適切な対策実施ができない恐れもある。

　そこで一番効率的と考えられるのが、エンドユーザーの使う端末内でのインターネットアクセスを観測する手法だ。Webブラウザやアプリを利用すれば、迅速にWeb媒介型攻撃の実態を捉えることができ、不正サイトへのアクセス時に警告を発したり遮断したりすることも容易になる。このような、エンドユーザー端末からアクセスデータを集め、攻撃の実態を観測するのが「タチコマSA／タチコマ・モバイル」の主な役割だ。観測したデータはWarpDriveプロジェクトに送られて分析される。その結果をユーザーにフィードバックすることで、攻撃サイトへのアクセスを未然に防ぐ。

PC版「タチコマSA」の利用状況とモバイル版の特徴

　PC版「タチコマSA」は、2018年に公開され、現在のところ1万人弱のユーザーが登録している。研究開発の実務を担うKDDI総合研究所 サイバーセキュリティグループの窪田 歩氏および山田 明氏は、これまでの運用による成果をこう話す。

　「現在常時ユーザーは1000人前後で、これまでの運用により大手業者のブラックリストに未登録の不正サイトが幾つも発見されている。特に『○○に当選したので□□をプレゼント』などのようなメッセージで不正サイトへ誘導するフィッシング詐欺も多数見つかった。また『Googleセーフブラウジング機能』に引っ掛からない不正サイトも数十〜数百件のレベルで見つかっている。攻撃者が利用する多様なエクスプロイトキット（攻撃用ツールのセット）の特徴の割り出しにも成功し、攻撃に利用される文字列の特徴も把握できている」

　なお、不正サイトは検知次第、WarpDriveのブラックリストに追加されるが、それに要するのは最短で1日だという。ユーザーはこれまでよりも早く、正確に、不正サイトへのアクセスを避けられるようになる。

　PC版の運用を経て、2020年3月16日に公開されたのが「タチコマ・モバイル」だ。こちらはAndroid端末のホーム画面に常駐し、アプリの利用とWebアクセスを自動観測する。こちらには「タチコマに報告」機能と、「タチコマの問い」機能が追加されている。

　「タチコマに報告」機能は、ユーザーがアクセスした先が怪しいサイトだと感じたら、それを通報できる機能だ。「タチコマの問い」機能は、ユーザーのセキュリティ意識を上げる目的で、雑談も含めながらチャットによるクイズのような形式で知識を高めるよう工夫されている。

　「PC版ではユーザーとのコミュニケーションが難しかったが、モバイル版ではユーザーとの対話を重視した。セキュリティ対策の正解は1つではなく、ユーザーそれぞれに合った現実的対策が必要で、これにはセキュリティアウェアネスを高めることが重要となる。そのための仕組みとして、週に1度くらいの頻度でタチコマの方からユーザーに質問を送り、答えてもらうようにした。セキュリティ意識などに関する質問への回答は集計し、ユーザーにフィードバックする」（井上氏）

　報告や回答などの実績によってポイントがたまり、それを使えばタチコマのカラーリングなどを変更できるインセンティブも用意されている。

「タチコマSA／タチコマ・モバイル」利用のメリットと、提供されるパーソナルデータ

　「タチコマSA／タチコマ・モバイル」を利用するユーザーとしての利点をまとめると次の通りだ。

• 不正サイトへのアクセス時に警告表示、またはアクセスブロックが行われる
• 国内のユーザー参加型の攻撃観測網により多くの情報を集約して分析できるため、攻撃の実態解明が期待でき、攻撃対策を適切に、迅速に展開できる
• セキュリティリテラシー向上に役立つ

　これらメリットを無償で得られる一方、ユーザー側の情報を研究開発用途に役立てられるように提供する必要がある。同プロジェクトではパーソナルデータをいかに取り扱うかについても1つのテーマとされており、ソフトウェアやアプリの「利用規約」（実証実験参加規約、ソフトウェア使用許諾、実証実験における取得情報の取り扱い）にユーザー側が提供するデータは何かと、それをどのように使うかが詳細に記されている。気になる方は同プロジェクトWebサイトに利用規約が公開されているので参照するとよいだろう。モバイル版の場合は、下表のような項目がプロジェクトに提供される。

表1　「タチコマ・モバイル」でユーザー側が提供する情報（資料提供：NICT）

　なお、取得したデータは個人が特定・識別できる形での第三者提供は行わないが、攻撃の拡大を防ぐために個人が識別できないように加工した情報を第三者に提供する可能性はある。また統計データ・匿名化データは研究開発を目的として第三者に提供される場合があるとのことだ。このようなパーソナルデータの取り扱いについてはNICT内のパーソナルデータ委員会（外部有識者を含む委員会）で審議され、承認を得て進められている。

　Web媒介型攻撃に対抗するには、ネットワーク監視などの受動的方法だけでは難しく、ネットワーク機器ベンダーや運用サービス業者による機器監視を加えても足りない。ユーザーの自主的参加による観測網で攻撃実態を明らかにするこのプロジェクトは、今後一層強く求められる個人レベルのセキュリティ管理手法のテストケースとしても注目に値するだろう。ただしこのプロジェクトは5年計画で、2020年が5年目となる。モバイル版が登場した今こそ、対策研究開発に貢献できるチャンスだ。