マルウェア解析・検知というテーマを追求してきた糟谷さんは、博士課程修了後の進路も、「アセンブラなどを読み解いて、どのような動きをするのかを解釈する仕事が面白く、自分にはこの道が合っているなと思っていたので、あくまでマルウェア解析やセキュリティを軸にして仕事を探そうと考えました」という。
そこで先輩から紹介されたのが「楽天」だった。自社のサービスを開発しながら、「RAKUTEN-CERT」をはじめとしたセキュリティチームを整備し、ユーザー企業でありながら複数のセキュリティ専門家を雇い入れていたことに魅力を感じた。「今でこそ自前でセキュリティチームを持つことが珍しくありませんが、あの当時、あれだけ充実したセキュリティチームを持っていた企業はたぶん他にはなかったと思います」と振り返る。
入社後は主にWebセキュリティの診断を担うことになった。いわゆるSQLインジェクションやクロスサイトスクリプティングといった脆弱(ぜいじゃく)性が楽天が提供するWebアプリケーションに存在しないかどうかをリリース前に調べ、報告する業務を通し、サービスのセキュリティ品質向上を支援していった。こうして「2年くらいでWebセキュリティの基本的な部分は一通りできるようになりました」(糟谷さん)
次に進む道に迷い始めていたときに持ち上がったのが、楽天の米国法人行きの話だった。これも次につながる経験と捉えて渡米したが、「米国に来たのはいいけれど、このままでは『渡米した』だけで終わりそうだな、というのが見えてきました」と、転職を真剣に考えるようになった。
エンジニアがしばしば直面する岐路だが、本人としては技術者としての役割を追求したかったものの、会社からはマネジメント寄りの役割を求められるようになっていたことも、真剣に転職を考えるようになったきっかけだった。
悩みながら年末年始の休暇で日本に帰国したときに耳に入ったのが、当時、日本法人を立ち上げたばかりの「サイランス」でマルウェア解析ができるエンジニアを求めているという話だった。
「もともと興味のあったマルウェア解析というポジションが目の前に転がってきているのは、自分にとってとても良い機会だろうと考えました。もし挑戦してみてだめだったとしても、諦めることもできるでしょう。けれど、せっかくのチャンスにいま挑戦しなかったら、一生引きずり続けることになるだろうと考えました」(糟谷さん)
こうして糟谷さんは転職した。買収によってBlackBerryの傘下に入った後も、変わらずマルウェア解析という業務に携わっている。日々世の中に放たれるマルウェアを収集し、それが何を狙ってどのような挙動を示すのか、共通項は何かを見いだし、機械学習(ML)アルゴリズムに反映させる情報を作っていく業務だ。また、サンプルがなければ解析しようがないため、一般に「ハニーポット」と呼ばれる最新のマルウェアを収集する基盤の開発にも携わっている。
日本では連日、Emotetなどの被害が報じられている。まずメールに添付したファイルなどを開かせ、脆弱性を突いてEmotetに感染させ、そこから第二、第三の別のマルウェアを引き込む手口が典型的だ。
「最近のEmotetもそうですが、悪さをするコード自体はメモリ上に展開されてファイルとして残らないため、調べたい挙動が感染端末に残っていない状態になることが往々にしてあります。解析していてももちろんですが、感染してしまった場合も大変だろうと想像できますし、やり口がどんどんいやらしくなっているなと常々感じます」
マルウェアの中には、時には解析に1週間程度かかるものもあるという。ただ、糟谷さんは根を詰め過ぎることはしない。徹夜でぶっ続けで解析すると集中力が落ち、ミスをすることもあるので、休みはしっかり取り、リフレッシュした状態で解析に取り組むようにしているそうだ。
ちなみに、現在の業務で学生時代の研究が直接的に役に立つ場面は少ないという。学生のころは専門家としての技術があまりなく、本当に手探りで解析していたからだ。だが、1つだけ役に立っていることがある。
「粘り強くものを追い続ける姿勢です。コードを見ていると、時には本当に嫌になってくるときもあります。けれど、これを調べていった先に何かがあるかもしれないと思いながら調査を続け、その末に『あ、なるほど。これはこういうふうに動くのか』と分かったときには、本当に充実感を覚えます」
決して誰かに命令されたからでも、仕事だからというわけでもなく、「その先に自分が見たい光景があるのなら、道が険しくても進めばよい」と考えている。
Copyright © ITmedia, Inc. All Rights Reserved.