読者です 読者をやめる 読者になる 読者になる

楽しい! 欲しい! やっと出た! ネットワークエンジニアから見た「ウイルスバスター for Home Network」



今回、新たな守り方を1つのデバイスで実現したトレンドマイクロの開発者と、はてなのネットワークを管理して守ってきたエンジニアがざっくばらんにその思いを語った。「ウイルスバスター for Home Network」はあえて技術面の詳細を隠し、シンプルさを売りとして掲げる製品だが、エンジニアとしての視点ではどう見えたのだろうか。

座談会出席者は、トレンドマイクロ株式会社 プロダクトマーケティング本部 コンシューマディベロップメントグループ マネージャーの和田克之さんと、株式会社はてな システムプラットフォーム部の村松雄介。構成はITジャーナリストの宮田健です。

(※この記事は、トレンドマイクロ株式会社の提供によるPR記事です)

■ 家庭内機器の3割が「非PC」──これを守らねば、未来はない

──まずは自己紹介からお願いいたします。

_SAT4235.jpg

トレンドマイクロ 和田克之さん

和田 トレンドマイクロの和田です。新卒からトレンドマイクロで、これまでコンシューマー向け新規製品の企画開発を担当してきました。

村松 はてなでシステムプラットフォームを担当している村松です。システム運用に携わって6年、自作サーバーを組み立てたり、仮想化したりといろいろやりつつ、比較的低いレイヤーの部分を中心に見ています。

──今回は、トレンドマイクロさんが新しく作った「家庭用のセキュリティ機器」についてお話を伺いたいと思います。この製品の企画はどのように始まったのですか?

和田 今や、家庭にも「ネットワーク」があるのが当たり前の時代です。しかも、いわゆるWindowsやMacなどのコンピューターだけでなく、スマートフォン、そしてそれ以外にさまざまなものが家庭内ネットワーク(ホームネットワーク)につながるようになりました。無線LAN内蔵のプリンターやNAS、それにテレビ、ゲーム機など。弊社調べでは、接続機器の3割が非PC/非スマホになっています。

家庭内ネットワークの現状
PC、スマートフォン“以外”のホームネットワーク接続端末が占める割合は無視できない

そして、それら3割の機器が狙われ、脅威が出始めました。これらを守るためのソリューションが必要だと感じたことがスタートです。新しい機器に対する脅威の状況はご存じですか?

村松 今や家電の中でBSDやLinuxが動いていますね。自分もLinuxが動くNASを使っています。このNASはときどき脆弱性が発見されていて、インターネットに公開するとまずいことも。なので、インターネットとホームネットワークの間で何とかしたいと思っていました。これまで守るソリューションがなかったところですね。

_SAT4247.jpg

はてな 村松雄介(id:halfrack

最近では、IoT機器を狙った「Mirai」も話題です。先日はDNSサービスに対するDDoS攻撃が行われ、はてなのサービスもほんの少し影響を受けました。これはIoT機器が悪用された事例です。私たちの管理する家庭内の機器が加害者になってしまうかもしれない。

ですので、この製品を知ったとき、まず思ったのは「楽しそう!」そして「欲しい!」でした。

ウイルスバスター for Home Networkが守る範囲

Mirai
スマート家電などをターゲットとし、ボットネット構築するマルウェア。分散型サービス運用妨害 (DDoS) に利用され、多くの機器のデフォルトパスワードやtelnetポートが狙われた。
JVNTA#95530271: Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威

■ ポート1個、電源ケーブルのみ ── ルーターにつなぐだけで使える

_SAT4254.jpg

ウイルスバスター for Home Network本体

和田 これがパッケージです。ぜひ、開けてみてください

村松 わっ、シンプルなんですね。

和田 インターフェースは極力シンプルにしました。ネットのコネクタ、そして電源だけ。ルーターの空きポートに、同梱のイーサネットケーブルを付け、電源を入れるだけです。この部屋にも実は1つ、設置してあります。

村松 (実際に稼働している製品を触り)熱くなってない! こういうルーター製品は熱設計がダメなものも多いのに、ちゃんとしてますね(笑) 「徐々に調子が悪くなって再起動」とかしたくないから、とてもいいです。これは、どこで作ってるんですか?

_SAT4265.jpg

和田 ハードウェアは台湾のメーカーに外注しています。トレンドマイクロは本社が日本にありますが、エンジニアの多くは台湾にいます。

──エンジニア視点だと気になる部分が多そうですね。

村松 まず気になってるのは、ポートが1つしかないことです。実際はどのように通信を見ているのですか?

_SAT4299.jpg

和田 ARPテーブルを見ています。これをルーターに挿し込むと、ARPの仕組みを利用して、PCやスマートフォンなどの機器がウイルスバスター for Home Networkをゲートウェイと見なし、これを経由して通信を行うようになります。ここでDPIを行います(詳細は後述)

そのため、実際にウイルスバスター for Home Networkを使うために必要なことは、ルーターにイーサネットケーブルを「挿すだけ」です。

村松 なるほど。つまりL2レベルでねじ曲げると。L3レベルではなくARPならば、個別のクライアント設定が不要になる。

和田 はい。普通に考えるとルーターの中に機能を実装すると思いますが、普通の人がルーターを買い換えることは難しいし、面倒ですからね。

村松 確かに。パワーユーザーだと、ルーターは自分で選びたいという人もいるでしょうね。私も「802.11ac Wave2」を使いたいし、こだわりたいところです。

通常エンタープライズ向けの製品だとポートを2つ付けるような気がしますが、そうしなかったのはコスト的な問題ですか?

和田 それもありますが、当初計画していた機能を実現するのであれば、ポート1つでもいけるだろうと判断したこともあります。まずこの製品のプロトタイプはRaspberry Pi(ラズベリー パイ)で実装、検証していました。作ってみたら「いける!」という手応えがあったこともあります。

村松 発想はラズパイですか!

■ 2つの大きな機能、DPIとWebレピュテーションとは?

──このような家庭用の機器では、通常なら技術的な用語は避けると思いますが、あえてそこをエンジニア用語で説明していただけますか。どんな機能があるのでしょう?

和田 この製品を我々がよく知る言葉で表現すると、まず「DPI(ディープ・パケット・インスペクション)」が挙げられます。通常のファイアウォール機能だけでなく、データの中身を見て、フィルタリングやブロック、警告を表示させます。

村松 私たちがデータセンターに入れるような機器が家庭にまで降りてきた。ちなみに、どこまで見ているんですか?

和田 詳細は非公開ですが、HTTPやDNSなどの代表的なプロトコルを含め、40以上のL7プロトコルをサポートしています。例えば、HTTP通信ではリクエストやレスポンス行はもちろんですが、User Agentなどのヘッダや、メッセージボディの情報まで見ています。

──そのほかにありますか。

和田 もうひとつは「Webレピュテーション」です。不正であると思われるWebサイトをブロックする機能ですね。この2つが大きな機能です。

ここでひとつ、デモをさせてください。これは中国製のセットトップボックスです。ウイルスバスター for Home Networkが外れている状態で、ルーターに接続します。テレビ画面を見ていてください。

実はこのルーターの設定が既に書き換えられてしまっているので、セットトップボックスは不正サイトにアクセスさせられてしまいます。その結果、マルウェアをダウンロードしてしまう状態になって……。

_SAT4339.jpg

村松 ランサムウェアだ。

和田 はい。このセットトップボックスにはファームウェアアップデートの機構にセキュリティ設計上の問題があり、本来ならダウンロードすべきではないプログラムをインストールできてしまいます。

例えば、ランサムウェアに感染すると、このようにコントロールが利かなくなります。普通の人がこれを見たらパニックになりますよね。

このようにセットトップボックスをはじめとして、今やスマート家電も攻撃対象となるのです。

村松 私もセットトップボックスが狙われることは相当にまずいことだと思っています。先の「Mirai」などもそうですが、家庭内の機器がボット化するのが本当に怖いです。

和田 さすがエンジニア視点ですね。ランサムウェアですと被害が目に見えて分かるのですが、機器のボット化では自分自身が困ることはなく、一般の方には注目されにくいのが実情です。

村松 エンジニアとして襟を正しておきたいところですから。

和田 ゆくゆくはIoT機器を掌握して、そのパワーをコンピューティングファームとして悪用されるなどのことができてしまう可能性もあります。そのため、今の時点で何らかの対処は必要でしょう。

村松 感染端末が数台ならまだしも、これが1万台規模になったらもう対処できる気がしません。

和田 ボット感染は気付きにくいがゆえに、普通の家庭では自分で守ろうと考えにくい部分かもしれません。だからこそ、機器側で守る必要があるのでしょう。

■ プロが使うようなセキュリティがおうちにきた!

──実は私も先行して使わせていただいています。試用して驚いたのは、毎日デバイスのチェックをしてくれることでした。

和田 はい。管理アプリを起動して「安全性を確認する」をタップすると、接続されているデバイスを検索し、例えばルーターやNASであれば「パスワードが簡易なものではないか」を確認できます。

スマートフォンのアプリから、自宅ネットワーク内に接続されたデバイスのセキュリティをチェックできる

村松 私も、能動的なチェックをしてくれるとは思っていなくてびっくりしました。まさかそこまでやるとは。

和田 この機能では、もしルーターなどの機器に弱いパスワードを付けている場合、警告と合わせて管理コンソールのログインページリンクも表示します。詳しい人であればルーターがどこにあって、IPアドレスも理解していると思いますが、普通の人は管理IDやパスワードの存在も知らないでしょう。それをガイドする機能もあります。

村松 これは自宅という「自分が管理している」前提の場所だからこそ、いわゆるプロが使う「脆弱性チェックツール」的なことも実行できるんですね。

私たちも自社のWebサービスに対して疑似攻撃を行うようなツールを実行しますが、それに近いことを家庭の機器で行うのは驚きです。「Mirai」では弱いパスワードが狙われていましたしね。

和田 弱いパスワードが変更されていれば、被害が少なかったかもしれません。以前(2016年8月~9月)トレンドマイクロで調査したときも、ルーターを簡単なパスワードのままで運用していた個人ユーザーが約19%いるという結果が出ていました。

トレンドマイクロの調査では、約19%のユーザーがルーターの管理コンソールに簡易なパスワードを利用していた。管理画面へのアクセスを許してしまうと、DNS設定を変更し、偽サイトへの誘導が行えてしまう

──そのほかに、管理アプリの役割はありますか?

和田 「ただ乗り問題」も対応できると思っています。例えば家庭のネットワークに、お子さんのお友だちが入り込んでくることも考えられるでしょう。その場合でも、新規にデバイスが登録された場合に、スマートフォンに「通知」が飛びます。

これが見えれば、外出先からそのデバイスの接続をシャットアウトし、インターネットにつながらないようにもできます。

村松 意図しない侵入を発見できるのはすごいですね。今どきの子どもは家で集まったときに、自宅のWi-Fiパスワードを教え合って、勝手につなぐことも十分あり得ます。WEPやWPAの脆弱性ではなく、ソーシャルなルートでの漏えいも考えなくてはならない時代です。

和田 はい。今回の製品は「通知」が重要だと思っていて、「発見したときにお知らせする」ことがポイントです。企業ならモニタリングする専任の担当者がいますが、自宅では不可能です。

ですから、いつも携帯しているスマートフォンに「通知」するため、このiOS/Android向け管理アプリが重要なのです。

_SAT4408.jpg

家庭内デバイスが何らかの脅威にさらされた場合、管理者のスマホには通知が飛ぶ仕組みになっている
アプリを開くことで、より具体的な情報も表示されるため、外出先でも「(ホームネットワーク内にいる)家族の端末が守られている」ことが分かる

村松 企業向けのIDS(不正侵入検知システム)もいろいろなことができますが、そこで検出したことを管理者に通知して、だれが受け持って……みたいな部分の作り込みが一番重要だったりします。それがすでにスマホアプリで実現しているのは素晴らしいと思います。警告ログを見逃して素通りしてた、気付かなかったというのは一番のダメパターンですから。

■ ゲーム機を守ることは、小学生を守ること

──どんな人に、ウイルスバスター for Home Networkを使ってほしいですか?

和田 そうですね。すべての家庭、特に中学、高校生のお子さんをお持ちの方や、スマート家電に興味があって、ホームネットワークに多くの機器がつながっている家庭での利用を想定しています。

主な機能のDPIやWebレピュテーションでは、先行してテストしたご家庭でもかなり好評でした。自分の部屋を持つお子さんが、普段どのようにインターネットを使っているのかは分かりません。先行テストした家庭では「まさか我が子がアダルトサイトを見ているとは思わなかった」などの声もありましたね。

村松 そう、私もその話をしたかったんです! フィルタリングのはすごく欲しかった機能です。 私は、リテラシーは自分で身に付けなければならないと考えているところがあるので、中学生になればいろいろなことを経験しながら徐々に覚えていくのもいいかもしれないと思っています。でも、何も分かっていない小学生はそれではダメで、やはり守らないといけない。

──スマホなら、キャリアが提供するフィルタリングもありますが……。

村松 自宅のWi-Fiだと、その機能も利用できませんね。子どもたちも頭がいいですから、携帯ゲーム機を持って、フィルタリングがかかっていないお店の無料Wi-Fiだったり、友達の家に行ったりする。

しかも、いろいろな抜け穴を探して知識を共有していますから、今まではある程度の知識があるエンジニアも「解はない」と言うしかなかった。でも今後はこれがあれば、ある程度は守れると思います。その点で最高です。

──実は「子どものハック能力」はあなどれないと思います。

_SAT4415.jpg

村松 今ではどのゲーム機にもコミュニケーション機能があって、子どもたちがさまざまな情報交換をしています。その中で「こうするとブラウザの保護を抜けられる」という会話もなされているんですね。

PCみたいにフィルタリングソフトウェアをインストールできればいいんですが、どうやらそれも「レジストリを書き換えたらいける」というハック方法も流通してるようです。子どもは会話できる場があれば、ハックしてきます。

和田 実は先行テストでも、ウイルスバスター for Home Networkを「ルーターから引き抜く」というハックをされた家庭がありました。

──さすがですね。その場合、どのような対処が可能なのでしょうか。

和田 実はその場合でも、管理者のスマートフォンに「通知」が飛びます。デバイス一覧も見られますので、どんな機器が接続されているのかが分かります。

村松 攻撃ポイントは「引っこ抜く」で、引っこ抜かれても、それが「見える」──なるほど、すごい。

──迷惑情報サイトなど、特定ドメインを止めることはできますか?

和田 URLフィルタリングの機能は「アダルト/成人向け」「出会い」「違法と思われる行為」「違法と思われる薬物」のカテゴリごとに設定が可能です。

特定ドメインをブロックするなどの機能は、企業向けでは必要かもしれませんが、個人向けとしては現時点では対応していません。ただ、もうちょっと細分化してもいいかもしれないとは思っています。

村松 利用時間を制限する機能もありますね。例えば、動画の閲覧は1日1時間と親子で決めておいて、実際に1ヶ月くらい言っても守れなければ、これできっちり制限してしまうこともできる。

_SAT4422.jpg

──ところで、お子さんが“管理ソフト”をインストールしたとしたら、管理権を取られたりしませんか?

和田 本体とスマートフォンは「ペアリングコード」で結びつけられています。このコードはパッケージに封入されているので、これは大事に持っていてください。これさえ守れば大丈夫です。

村松 その話で思い出しましたが、ファミコン(任天堂ファミリーコンピュータ)のACアダプタを親に隠されたことがありました。

和田 言われてみれば、私も隠されてましたね……。

村松 ACアダプタ隠しという“アクセス制限”ならば、自分で互換のアダプタを探して回避できましたけど、これなら大丈夫そうです(笑)

■ スマホ時代における「親しき仲にも礼儀あり」

──自宅で試用したとき、家族から「全部見られていると思うと気持ち悪い!」と言われてしまいました。

村松 それは私も気になります。ネットの閲覧履歴はセンシティブ情報ですので、どのように説明すればいいかを解説する紙が一枚あるとうれしいかもしれませんね。特にパワーユーザーにはリベラルな人も多く、検閲はしたくないという人もいるかもしれません。その点に関しての啓発はいかがでしょうか。

和田 はい。実はそこは私たちも重要だと思っていて、パッケージにもマニュアルにも「重要なお知らせ」として明記しています。

村松 あ、すでに考慮されていた!

和田 テストのときにも同じような声がありまして。

_SAT4452.jpg

村松 まさにここは、プライバシーに興味ある方が真っ先にチェックするところだと思っていました。バッチリ書かれてる。

和田 最初はマニュアルの中面にしか書いてなかったのですが、目立つ場所に変えました。Webでも、製品紹介の部分にも明記しているつもりです。

■ セキュリティは「継続的メンテナンス」ができるかが重要

──ちなみに、価格体系はどのようになるのですか?

和田 トレンドマイクロの直販サイトでは、製品自体の価格ハードウェアと1年分の利用料で、1万7800円(税別)で販売しています。

村松 その後は、年ごとのサブスクリプションという形でしょうか?

和田 その通りです。2年目以降は6,000円/年(税別)で考えています。

村松 もし、そのサブスクリプションが切れたらどうなるのですか? シグネチャアップデートはされないけれど、動き続けるのでしょうか?

和田 いえ、機能自体が止まりますね。

村松 おお……それは理想です。アップデートされなければ止まった方がいいですね。こういう製品、サービスは「継続メンテナンス」が一番重要だと思っています。

自力でオープンソースソフトウェアを使って実現するにも、そのアップデートなどが面倒なので、とにかくIDSはどこかにおまかせしたい。自分だって6,000円で1年メンテしろ、といわれたらイヤですから。

和田 Webレピュテーションの機能は、弊社の「ウイルスバスター」シリーズなどで提供しているものと同一の情報を利用しています。世界の脅威を分析し、アップデートしています。企業向けのセキュリティと同じレベルで守ることが可能です。

村松 デバイス数も無制限なのですね。パワーユーザーなら、6,000円をデバイス数で割ればランニングコストはかなり安くなりそうです。

†ご利用のルーターの接続機器数制限はご確認ください。

_SAT4520.jpg

■ 「もはやウイルスバスターいらず?」──いえいえ、そんなことはありません

──ところで、これまで販売されていた「ウイルスバスター」との関係は?

和田 「ウイルスバスター for Home Network」では、PCやスマホ上にあるファイルのスキャンまでは行いません。その意味で、PCやスマホにインストールするウイルスバスタークラウドとは共存の関係にあります。

先行テストでも、親御さんから同様の質問を受けましたが、この製品ではネットワークを見ます。しかし、USBメモリなどはネットワークを経由しないので、ルーターを通らない脅威にはウイルスバスタークラウドを入れましょう、というお話をしました。

村松 とはいえ、ウィルス対策ソフトを入れられない機器も増えていますから、家庭向けとしては今までにない、ブルーオーシャンな製品カテゴリーですね。

和田 これまで「ルーターに挿して動く」ものはなかったと思います。DPI、脆弱性スキャン、Webレピュテーション、フィルタリングがそろって、ホームネットワーク内の「家族を丸ごと守る」ことができるようになります。

村松 子どものWebフィルタリングは、少しくらい手間がかかってもいいから、いいものが欲しいという方も多いです。この製品は手間もかからず、“電撃的なうれしさ”がありますね。今回は本当に楽しいものが出てきた! と感じています。

──今日はありがとうございました。

■ 【コラム】「脅威が見える」安心 ── 実際に1週間使ってみた

_SAT4560.jpg

中には思わずうなってしまうアラートも
このようなものがこれまで素通りしていた可能性があることを考えると、ちょっと考えてしまいます

今回、聞き手の宮田が実際に、ウイルスバスター for Home Networkを自宅に設置し、セットアップして運用してみました。

まず驚いたのは「自分の管理すべきデバイスの多さ」。数分セットアップすると、次々と自宅ネットワークにつながるデバイスが表示されます。わが家は2名しかいないはずなのに、表示されたデバイスは8台(それでも、動いていないデバイスがまだ5台くらいある……)。まずその台数が、はっきりと見えるだけでも面白いです。

そして、意外なことに2日に1回位のペースで、Webレピュテーションが働きます。それも手元のスマートフォンにきっちり通知が来るので、ネットの至る所に落とし穴があることを実感します。が、その体感は恐怖というよりも「防げた!」という安心の方が大きいです。

特に、出先で仕事中でも、家族の端末を守ったという通知がスマートフォンに届くので、離れた場所でもその頑張りが見えるのは大変面白い体験でした。

ウイルスバスター for Home Networkの詳細はこちら!

ウイルスバスター for Home Network - トレンドマイクロ

価格 19,224 円(税込)/ 1年

ウイルスバスター for Home Networkとウイルスバスター クラウドをセットで1名様にプレゼント!

本記事で紹介した「ウイルスバスター for Home Network」と「ウイルスバスター クラウド」をセットで1名様にプレゼントします。

応募期間
2017年1月16日(月)から2017年1月29日(日)24時まで
賞品と当選人数
「ウイルスバスター for Home Network」と「ウイルスバスター クラウド」をセットで1名様
応募方法
Twitter連携した上で、この記事をはてなブックマークに追加してください
※プライベートモードでのご利用は対象外です
当選発表
厳正なる抽選の後、本記事で、当選者様を発表させていただきます
賞品発送
当選発表後、はてなよりメールをお送りし、送付先情報(送付先住所、受取人氏名、電話番号)をお聞きします
※プレゼントの発送は日本国内に限らせていただきます

■ 2017年2月13日追記:プレゼント当選者発表!

厳正な抽選の結果、当選された方を発表します。おめでとうございます!

ウイルスバスター for Home Networkとウイルスバスター クラウドをセットで1名

当選者の方には、のちほど送付先情報を確認するメールをお送りいたします。

  • ※期日までにご返信をいただけなかった場合は、再度抽選を実施し、繰り上げ当選者へ当選権をお渡しします。
  • ※繰り上げ当選が発生した場合、発表は、はてなからの当選連絡をもって代えさせていただきます。ご了承ください。
_SAT4572.jpg

[PR]企画・制作:はてな
取材・構成:宮田 健
写真:赤司 聡

文: 宮田健