連載
» 2015年01月22日 18時00分 UPDATE

セキュリティ業界、1440度(13):自動車、ホームルーター、チケット発券機――脅威からどう守る? (2/2)

[株式会社FFRI,@IT]
前のページへ 1|2       

言語の壁はもはやない――日本製ホームルーターに忍び寄る驚異

 次に、ナーフインダストリーズのベン・シュミット(Ben Schmidt)氏とポール・マコウスキー(Paul Macowsky)氏による講演「日出づる国の組込セキュリティ」を紹介します。彼らは日本製のホームルーターについて脆弱性を調査し、深刻な脆弱性を発見したという発表を行いました。これまでBlack Hat やDEF CONなどでルーターやNASの脆弱性についてはたびたび発表されてきましたが、それらは主に欧米のメーカーの製品が対象でした。日本のメーカーの製品に対象を絞った点が新しいといえます。

 彼らはインターネット越しの攻撃経路として「UPnP」に注目していました。日本はUPnPポートをWANに開放しているホストが世界で4番目に多いそうです。日本製のルーターで使用されている、ある特定のUPnPデーモンに着目し、リバースエンジニアリングによってコマンドインジェクションの脆弱性を発見したようです。

 ある調査では、このUPnPデーモンを採用しているホストが日本に20万台があるといわれています。もしこの脆弱性が悪用された場合、20万以上のボットネットが構築される恐れがあるとのことです。講演ではUPnPデーモンのコマンドインジェクションのデモが行われた他、httpdに存在する脆弱性も紹介されました。

 講演のまとめでは、「好奇心の強い人たちは、文化や言語の壁があっても、時間をかけて他国のインフラやデバイスのセキュリティを調べられる」と述べていました。また、ホームルーターの脆弱性は数が多く、その内容も深いため修正は単純ではないとも言っていました。

 続いて、カスペルスキーラブスのデイヴィッド・ジャコビィ(David Jacoby)氏の「自宅をハッキングしてみた」という講演を紹介します。この講演は、率直に言って非常に面白かったです。まずびっくりしたのが、プレゼンテーションのスライドが「MSペイント」で作られていたということです。文字も絵もマウスで描かれたもので、子どもが紙に描いた絵本のようなスライドでした。さらに、たくさんの面白いアニメーションGIFが盛り込まれており、会場からの笑いが止まりませんでした。とても印象に残ったプレゼンテーションでした。

 内容も興味深いものでした。最近IoTというキーワードが注目されており、IoTのセキュリティというものは、これまでと何か違う新しいものであると考えてしまいがちですが、この講演を通じて、ネットに接続している“もの”は既に多く存在し、それらにはいろいろな脆弱性があり、対策が必要であること、IoTのセキュリティは既にある現在の延長線であるということを感じました。

バグハンターとして生きるキヌガワ・マサト氏

 最後に2日目に行われた講演も紹介しましょう。私が個人的に最も面白いと感じたのが、Masato Kinugawa氏による「バグハンターの愉しみ」という講演です。

 バグバウンティプログラムで生計を立てているバグハンターは世界でも少数だと思いますが、日本人ではMasato Kinugawa氏以外にいないかもしれません。そんな稀有なバグハンターによって、これまでに発見した脆弱性とそれによって得た報奨金、2013年の年収(8進数表記)、バグハンターのライフスタイル、現状に至る経緯などが語られました。XSSに興味を持ち、楽しみながら脆弱性を探し続けていたら、いつの間にかそれで生活ができるようになっていたということでした。

 個人的にもキヌガワ氏と少しお話をさせてもらったのですが、最近はWebアプリケーション以外のアプリケーションの脆弱性にも興味があり、偶然見つけたアプリケーションのクラッシュを分析してexploitに成功したという話を教えて頂きました。これからバグハントの“狩場”を広げ、さらに活躍されるかもしれません。

 この講演を通して、愉しみを追い求めることで自身が幸せになり、さらに世界のサイバーセキュリティの向上に貢献するというバグハンターという職業はとても素晴らしいと感じました。グーグルのようにバグの面白さも含めて評価し、十分な報奨金を支払うバグバウンティプログラムが他にも出てくれば、バグハンターが増えて、より多くの脆弱性が発見され、セキュリティの改善が加速するかもしれないと思いました。


 以上が2014年に開催されたCODE BLUEのリポートになります。今回紹介した講演は一部にすぎず、他にも興味深い講演がありました。後日、講演資料およびビデオがCODE BLUEのサイトで公開される予定ですので、興味を持たれた方はぜひ確認してみてください。

【関連記事】

情報セキュリティ国際会議「CODE BLUE(コードブルー)」

http://codeblue.jp/2014/


 全体を通して、外国人スピーカーの方々はセキュリティに対して情熱的であり、かつユーモアがあると感じました。今回のCFPには海外からの応募の方が多かったようですが、日本で開催されるカンファレンスですので、日本人による研究発表も期待されていると思います。参加者の方との会話やネットでの反応を見ていると、発表できそうなネタや知識、経験をもっている日本人もたくさんいるのではないかと思いました。ぜひ次回のCFPに応募をしてみてください。

「セキュリティ業界、1440度」バックナンバー

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。


前のページへ 1|2       

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。