【サイバーセキュリティ】最強ウイルス対策ソフト「Kaspersky」は脅威となるか!?

ロシアによるウクライナ侵攻を受け、今月（2022年3月）15日にドイツ連邦政府情報セキュリティ庁（BSI）はロシアのサイバーセキュリティ企業Kaspersky（カスペルスキー）社のウイルス対策ソフト（アンチウィルスソフトウェア）使用に警告を出しました。

続いてアメリカ連邦通信委員会（FCC）は3月25日、Kaspersky社を中国のHuawei社やZTE社などと同様に安全保障上の脅威がある企業に指定しました。既にアメリカはトランプ政権下の2017年に政府機関でのKaspersky社製品の使用を禁止していましたが、今回の指定で米国市場からの排除を一段と強める形になります。

警告や脅威企業リスト指定の理由は、現在のところ実害は確認されていませんが、今後ロシア政府によって利用者数4億人超を誇るKaspersky社のサイバーセキュリティソフトウェア（以下「Kaspersky」と表記）がサイバー攻撃やスパイ活動に悪用される恐れ（リスク）があるというものです。

イギリス国家サイバーセキュリティセンター（NCSC）のテクニカルディレクターであるIan Levyは3月29日、NCSCの公式BLOG POSTで『Use of Russian technology products and services following the invasion of Ukraine』を発表し、リスクを再考すべき組織と個人を明確に提示しました。それに基付き本稿の内容をアップデートしています。因みに、一般人が個人で「Kaspersky」を使用する場合は「it's highly unlikely to be directly targeted」「it’s safe to turn on and use at the moment」とリスクは極めて低いと評価されています。（尚、本稿では敬称などは省略することとします。）

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

German government issues warning about Kaspersky products

Kaspersky added to FCC list that bans Huawei, ZTE from US networks

FCC adds Kaspersky to its list of national security threats

More must reconsider Russian anti-virus software use, UK warns

リスクを再考すべき組織と個人

イギリスNCSCのテクニカルディレクターIan Levyが「Kaspersky」を使用するリスクを再考すべきとした組織と個人は次の通りです。

①2017年のガイダンスの対象外であった公共部門組織（機関）
②ウクライナにサービスを提供する組織（企業）
③知名度の高い組織（ロシアにとって「勝利」のPRになる可能性がある組織）
④重要な国家インフラに関連するサービスを提供する組織（企業）
⑤ロシアの国益に反すると見做され、報復の対象となるような業務を行っている組織（企業）や個人

・public sector organisations that weren't covered by our 2017 guidance
・organisations providing services to Ukraine
・high-profile organisations (that is, organisations that - if compromised - could represent a PR 'win' for Russia)
・organisations providing services related to critical national infrastructure
・organisations or individuals doing work that could be seen as being counter to the Russian State's interests, making them retaliatory targets
（イギリスNCSC『Use of Russian technology products and services following the invasion of Ukraine』）

Use of Russian technology products and services following the invasion of Ukraine

「Kaspersky」からの切替え

特別なサイバーセキュリティ会社と契約していない限り、私がCスイート（C-suite）を務めてきた企業では3社のサイバーセキュリティソフトウェアを分散導入するようにしていました。当然、第三者評価機関で安定して最高評価を受け続けてきた「Kaspersky」もその中のひとつだったのですが、さすがに今回BSIの警告を受けて他社のサイバーセキュリティソフトウェアに置換しました。

第三者評価機関で最高評価

しかし、「Kaspersky」から他社代替ウイルス対策ソフトウェアへの切替えは容易ではありません。なぜなら「Kaspersky」は第三者評価機関で安定して最高評価を受け続けてきた「最強サイバーセキュリティソフトウェア」だからです。『BBC』の記事にあるように「防御力が弱くならないよう慎重に行う必要があります」。

The BSI recommends Kaspersky anti-virus products are replaced with alternatives - but carefully, to avoid weakening defences.
（『BBC』「Germany warns against Russian anti-virus use」）

Germany warns against Russian anti-virus use

「Kaspersky」「ESET」に次ぐソフト

第三者評価機関で「Kaspersky」に次ぐ高評価を受けているのはESET社のサイバーセキュリティソフトウェア（以下「ESET」と表記）というのが順当なところかと思われます。問題はこの2つに次ぐレベルの適当なサイバーセキュリティソフトウェアが見当たらないことです。NortonLifeLock社、McAfee社、トレンドマイクロ社といった団栗の背比べのサイバーセキュリティソフトウェアの中から選ぶしか選択肢がない状況です（前回の記事『【マルウェア】Macに蔓延するウイルス「UpdateAgent」の脅威』で触れた「Microsoft Defender」の性能が上がってきたみたいですが）。日本に本社を移転した「ウイルスバスター」で知られるトレンドマイクロ社あたりにもう少し頑張ってもらいたいところです。

Kaspersky社の反論

Kaspersky社はドイツやアメリカによる一連の警告や措置を「政治的理由によって下されたもの」と批判しています。

Kaspersky社は2018年にデータ処理センターをスイスに移転させており、業界標準に準拠した世界有数の施設（ISO/IEC 27001）で最高レベルのセキュリティを確保していると主張しています。また、カナダやドイツ、スペイン、マレーシアなどに設置された「トランスペアレンシーセンター」（transparency center）でユーザーがコードを確認できるようになっており、透明性は担保されていると説明しています。

さらに、2017年のDHS裁定は「違憲であり、根拠のない申し立てに基付くものであり、Kaspersky社が不正を行ったという公的証拠を欠いている」とする声明を発表し、その後も裁定を正当化する「公的証拠はない」と述べています。

地政学的サイバーセキュリティ対策

100％安全なサイバーセキュリティソフトウェアは存在しませんが、地政学的条件もアンチウィルスソフトウェア選定の重要な要素であることが明確となりました。サイバーセキュリティソフトウェアは慎重に選ばなければなりません。

ウクライナ危機に学ぶべき日本

詰まるところ、IT後進国（デジタル後進国）であり、ドローン後進国であり、あらゆる分野で遅れてしまった日本が今回のロシアによるウクライナ侵攻から学ぶべきこと、講ずるべき施策は多いという問題に収斂することになります。