技術から政治色の強いテーマまで
混沌のセキュリティカンファレンス、CCCレポート
三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 主席研究員
草場 英仁
本間 久元
2012/6/8
Webアプリからデモ行進まで――ユニークなセッション
運営自体に独特感があるCCCですが、その中で行われるセッションの内容も独特です。
セッションは大別して、以下の7つのカテゴリに分類されています。Community、Culture、Hacking、Making、Science、Show、Society and Politicsの7つです。CCCらしく、「Society and Politics」(社会と政治)など政治色の強いテーマがあるのが特徴的です。このあたりは組織としてのCCCが発足以来持ち続けている理念と無縁ではないのでしょう。
会期中は、なんと午前11時30分から翌日午前2時までプログラムが組まれています……これはすごい。ドイツでは週末は電車が24時間稼働しているのを見越してのことでしょうか。いやいや、そのまま朝まで飲み明かす流れを想定してのことかもしれません。あのDEFCONですら最近では22時には会場が閉まるのに、CCC参加者の体力と「祭り」にかける熱気はオンリーワンといえるかもしれません。
さてセッションの内容について、いくつかピックアップして説明したいと思います。
■Webアプリケーション関連
Webアプリを題材としたセッションは数件ありましたが、半数程度が啓蒙的な発表(脆弱性や攻撃事例の紹介)であり、特にインパクトの強い発表はありませんでした。また、その他の発表についても特殊なケースや各論の掘り下げに向かっている印象があり、セキュリティ企業の一員としては、サービスとしての一般展開は難しく感じました。
その中から強いて取り上げるなら、従来のWebアプリ診断のようにメインの処理に直接干渉するのではなく、レスポンスタイムなどの副次的な情報から攻撃対象の情報収集を試みている研究(Time is on my side)はなかなか興味深いものでした。いまのところは基礎研究のレベルにとどまっているようでしたが、これまでにない新しい切り口の1つという意味で印象に残りました。
■Data Mining the Israel Census
イスラエル政府が保有している住民データベースが、10年以上に渡って漏えいしていたケースを元に、それに対しデータマイニングを行うことで「有益」なプライバシー情報が取得できるという発表でした。2001年からの個人情報のアップデート履歴を見て、「この人は結婚できたようですね!」などネタ的な話がありました。
データベースのスキーマ構造から説明があり、なかなか興味深いセッションでした。例えば、データベースとして一意にするために、いくつの個人情報を組み合わせればユニークになるか、想像が付くでしょうか? 何と、名前と名字のたった2つの組み合わせだけで、約50%がユニーク(一意)になるそうです。
名前、名字、住んでいる都市の3要素の場合で86.9%、名前、名字、誕生日の3要素の場合は何と99.4%もユニークになるそうです。日本でも、警察からの身分問い合わせや消費者データベースに問い合わせする際には、名前、名字、誕生日の3点をよく聞かれますが、妙にその理由を納得してしまいました。データって本当に面白いですね!
国内でも以前から話題になっていたプライバシー問題ですが、今後まだまだ過熱すると思います。日本国内で政府系のテーマといえば、国民ID制度構想が最も大きな話題でしょうか。参考になるセッションでした。
■Bitcoin - An Analysis
近年利用が増えつつあるP2P型電子決済システム「Bitcoin」の分析に関するセッションでした。利用状況情報に対し統計的な分析を行い、その匿名性には不安があると結論していました。
日本ではWinnyのせいか、P2Pイコール悪のようなイメージが強いと思いますが、世界的にはP2Pベースのサービスの普及が進んでいます。Bitcoinについては、他にももう1つ発表がありました(Electronic money: The road to Bitcoin and a glimpse forward)。
■デモ行進
何と、ドイツにてデモ行進に参加してきました。
EU諸国には「通信データ保持指令」という加盟国が従わなければならない法律があり、6〜24カ月の期間、通話、電子メールなどを記録するように通信事業者に指示しています。しかし独連邦憲法裁判所は2010年3月、この指令は憲法に違反しているとの判断を下し、通信事業者に対し、即刻データを削除するように命令しています。
この件はいまだに問題となっており、結論は出ないまま論争が続いています。そこで、このカンファレンスにてヨーロッパ諸国の情報が共有され、各国の状況を踏まえた上でデモ実施に至ったようです。
参考までに説明しておきますと、「通信データ保持指令」で保存すべきデータとして規定されているのは、通信データ(traffic data)と位置データ(location data)、および契約者または利用者の特定に必要なデータになります。
この法律が日本に適用されたと仮定すると、電気通信事業法で規定されている「通信の秘密」に抵触する可能性があり、かなり問題になりそうな内容です。また、最近ではAndroid端末の普及が発端となってプライバシー問題が多く問題視されており、国だけでなく、企業人としても考えさせられるテーマでした。
デモでは、警察車両と一緒に仲良くわーわー言いながら、プラカードを持ってベルリン市街地をぐるっと一周しました。CCC会場そばのAlexanderplatz駅に戻り、駅前でテレビ局などのメディアを交えての演説が始まるところまで参加しました。これも、こうしたカンファレンスならではの、普通の海外滞在では得難い経験だったと思います。
飲酒率はDEFCON比150%? ドイツならではの雰囲気
カジュアルな雰囲気の会場内ではありますが、講演中はさすがに参加者全員が真面目な表情を見せています……が、講演中のそこかしこでビンが転がる音が聞こえてきます。みんな、真面目にお酒を飲みながら講演を聞いているのです。
前に出ている講演者が手にしているのはもちろんミネラルウォーターですが、聴講者は自由にお酒を飲んでいます。会場内にお酒と食事(もちろんジャンクフード)を販売している売店があり、こちらにも行列ができており、とてつもなく繁盛しています。
さすが、ビールはいわずもがな、ワインの消費量でも世界有数のドイツなだけのことはあります。
そんな日本の常識からすると自由すぎる環境ゆえ、片手にフード、ひざ上にノートPC、片手でキーボードを打ち、足元に酒ビンというスタイルが最も一般的(!?)なスタイルとして定着していました。お酒を飲んでいる人の割合はDEFCON比150%以上(筆者比)で、お酒好きにはたまらないカンファレンスだということも、CCCの魅力かもしれません。
CCCでは売店の他に、面白いブースがいくつかありました。
・総合窓口
ステッカー取り放題です。隣では過去のCCCのパンフレットが販売されています。
ステッカーがざくざく、取り放題の総合窓口 |
・子供用の遊び場所(28C3 for play)
レゴブロックだらけの「28C3 for play」 |
・囲碁ブース
なぜに囲碁? 真剣に一局打っています |
・ゲームブース
懐かしい……。 |
売店や囲碁ブースは集会場の中にありました。また、会場の隣の掘っ立て小屋のようなところには「バー 」があり、セキュリティとは関係なく、ただひたすらクラブのように大音量で音楽をかけていました。
「裏面」の補助的カンファレンス
この記事を読んでいる皆さんであれば、「B-Side」という名前を聞いたことがあるかもしれません。「B-Side」はCCCの補助的カンファレンスであり、CCCよりも技術的な内容をテーマに据えて開催されています。
開催時期はCCCの後半部分とほぼ同じですが、まったく違う会場で開催されています。電車やバスを乗り継いで移動したあと、さらに最寄り駅から10分歩くという、とっても怪しい場所になります。
B-Sideの会場外観。分かりにくいところにありました |
CCCのチケットでは入場できず、別途B-Sideチケットを買う必要があるので注意が必要です。当日券も販売しておらず、CCCよりもさらにチケット入手が厳しいのでこれまた注意が必要です。B-Side自体は1会場のみで開かれているので、基本的に移動することなくセッションを聞き続ける感じになります。セッションの内容は、行ってからのお楽しみということで、今回は秘密にしておきます。
海外との結び付きがもたらすもの
CCCはハッカーコミュニティでありながら、政治に強い影響を与えています。日本でもこういった動きがあると、ハッカーに対する世間の期待が高まり、セキュリティに対して考える時間をもう少し費やしてくれるのかな、と思いました。
こうしたコミュニティは本来自発的に生まれるものですが、日本国内でも我が社のような総合セキュリティ企業が種をまくことくらいはできると思います。そのためには、今回筆者の行ってきたCCCのようなイベントをはじめ、海外の企業や団体と強く結び付くことが一番の近道だと感じました。
普段ハッカーコミュニティに属する者として、そして日本国民の一員として、セキュリティに対する意識をこの国に浸透させていかなければならないと感じています。
午前2時までプログラムが組まれているCCC、さながら不夜城 |
インターネットで世界はとても近くなりましたが、日本から海外に出て、同じ空気の中でコミュニケーションを取ることの重要性はいまも昔も変わりません。そしてセキュリティの技術というものは、世界共通で通用するものです。セキュリティ技術を持って海外に打って出たり、セキュリティ技術を海外から導き入れたりすることがもっと当たり前になるように、我が社では海外との結びつきを深めていくことに力を入れています。
年を重ねるごとにさまざまな役割を求められる多忙なセキュリティ業界に身を置いていると、日々の業務を確実にこなすことに注力しがちです。しかしCCCのような場に来ることで、世界のさまざまなカンファレンスに参加していくことも同じくらい重要だということを痛感した年でもありました。
筆者の所属している三井物産セキュアディレクションは、商社系のセキュリティ企業として世界に広がるネットワークをバックボーンに持っています。グローバルなセキュリティ技術のアップデートに努めることで、素晴らしいネットワークが構築できそうだと再認識できました。
2/2 |
Index | |
技術から政治色の強いテーマまで 混沌のセキュリティカンファレンス、CCCレポート |
|
Page1 年の瀬のベルリンで開かれるカンファレンス まずはチケット争奪戦から バンドと入場バッジをめぐるあれこれ 手作り感と熱気あふれるカンファレンス会場 |
|
Page2 Webアプリからデモ行進まで――ユニークなセッション 飲酒率はDEFCON比150%? ドイツならではの雰囲気 「裏面」の補助的カンファレンス 海外との結び付きがもたらすもの |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|