脅威に打ち勝つために情報武装せよ

DEFCONの向こうにある安全な世界を目指して


滝口 博昭
株式会社ラック
JSOC事業部 MSS部 アナリスト
CISSP

2008/9/29

DEFCON16セッションで現在の脅威を認識し、将来に向け私たちができることを考えよう。DEFCONレポートシリーズ最終章。(編集部)

 DEFCON独特の雰囲気を紹介した「突撃! ハッカーの祭典「DEFCON16」in ラスベガス」に続き、本記事ではそこでの講演内容をもとに、セキュリティインシデントに対するトレンドを中心にレポートしよう。

 DEFCON、そして海外セミナー参加の心構え

 講演全体についての感想だが、マルウェア解析やFuzzing、ハードウェア関連のハッキングなどの講演が多いと感じられた。最終的にどのような被害に遭うのかを分析する技術。脆弱性そのものを見つける技術。ハードウェアに対するセキュリティ技術。いずれも時代が変化してもセキュリティ対策を考えるうえでは必要不可欠な技術だ。今後もこれらに対する研究はさまざまなセミナーで講演されると思われるので、動向に注目すべきだろう。

 次に、会場の雰囲気についての感想だが、かなり厳しい制限が設けられていたように感じられた。まず第1に写真撮影に制限が設けられていた。これは去年、NBCのニュース番組Datelineが偽装して潜入取材を試みたことも影響していると思われる。

 講演の入場に関しても制限が設けられていた。DEFCONの講演ブースは複数存在し、並行して講演が行われている。このため、聴きたい講演に対して、参加者は前の席を確保しようとまだ前の講演が終わっていないブースに移動し、ブース横の壁に座る。これをDEFCONスタッフが阻止したのだ。スタッフは公平性を保つために、講演終了後にいったん参加者全員をブースの外に出し、その後で並ばせて再度ブースに入場させていた。これにより一番人気だと思われるダン・カミンスキー(Dan Kaminsky)氏によるDNSキャッシュポイズニングの講演では、どこまで続くのか!? と思われるくらいの列が作られた。

 これらの制限により、講演に参加するハッカーたちは自由にコミュニケーションが図れ、または聴きたいセッションを公平に聴けたのではないかと思う。これで参加費が120ドルなのだからアメリカに住んでいるセキュリティ関係者は参加しないわけがない。日本からラスベガスまでの費用がもう少し安ければ、きっと日本人もたくさん参加するだろう。

●英会話能力に不安があっても、名刺があればなんとかなるさ!

 次に、私がチャレンジした海外の方とのコミュニケーションについて少し触れておきたい。私は海外に行くのは好きなのだが、英語力は日常会話レベルしかない。DEFCONに参加すれば当然技術用語がたくさん飛び交うが、講演の中で飛び交う英語は資料が手元にあるわけだから予習、復習を行えばなんとかなるものだ。しかしQ&Aではそうはいかない。相手とのやりとりが発生するからだ。そこで私は「メール」でのやりとりをお勧めしたい。私の場合はまず質問したい内容を考えるのではなく、とにかく相手に顔と名前を覚えていただき、相手のメールアドレスを聞きだすことに専念した。

 講演が終わってQ&Aが始まったらまず直接相手とあいさつする。握手までできればなおよい。そしてすかさず自分の名刺を渡すのだ。DEFCONの場合は相手が名刺を持っている確率が低い。お堅いセミナーではなくビールを飲みながら交わされるコミュニケーションの場に名刺はいらないと考えているのだろう。

 しかしあえて私は名刺を渡した。そして相手の名刺を催促するのではなく、ないこと前提で相手にこういうのだ。「私は日本から来たセキュリティに興味を持つ人ですが、英語があまり話せないのでメールで質問してもよろしいですか? よかったらこのメモにメールアドレスを書いてください」と。あとは辞書片手に頑張ってメールを書けばよい。

 この方法で今回のDEFCONでは、名刺を渡した相手と100%の確率でメールのやりとりが行えた。海外に興味があるけどコミュニケーションがあまり取れない方にはお勧めだ。ただこの方法は会話を回避しただけにすぎないので、勇気があるのならボイスレコーダ片手に質問してみるのもよいかもしれない。

 注目の集まる“DNSキャッシュポイズニング”講演

 カミンスキー氏によるキャッシュポイズニングの講演は、攻撃手法などが事前にリークされていたこともあり、各プロトコルとDNSがどれほど関連しているかを説明しながら、ポイズニングの被害に遭った場合のリスクを話していた。

 講演のすべてを紹介することはできないが、その中の1つであるSSLとDNSの関連の話が興味深い内容であった。サーバ証明書をきちんと確認していないユーザーにとっては「SSLであれば安全だ」という言葉だけ頭に入っており、その状況でDNSキャッシュポイズニングの被害に遭ったとしても、ユーザーはドメイン名と見ているサイトに大きな変化がなければ信用してしまうことが多い。よって機密性も大事だが、完全性を根幹から脅かすDNSの脅威についても考えなければならない、とセキュリティの観点から話していた。

 個人的には、自ネットワークで管理しているユーザー数が多いほどこの攻撃の影響範囲が大きいのではないかと思う。よって、ISPなど不特定多数のユーザー向けにDNSサービスを提供している企業は、早急に対策する必要があると思う。

 また、カミンスキー氏はインターネットから直接アクセスできないDNSサーバに関してもキャッシュポイズニングを行うことは可能であると話していた。DNSサービス管理者は、その設置場所がファイアウォールの内外にかかわらず対策することが必要である。

【関連記事】
DNSキャッシュポイズニングの影響と対策
前編 カミンスキー氏が発表したDNSアタック手法と対策例

http://www.atmarkit.co.jp/fsecurity/special/130dnspoisoning1/dnspoisoning01.html

後編 DNSキャッシュポイズニングの原因・対策・その理由
http://www.atmarkit.co.jp/fsecurity/special/131dnspoisoning2/dnspoisoning01.html

チーム「dumbtech」、
  Sexy Hacking Girlsへの挑戦
1/3

Index
DEFCONの向こうにある安全な世界を目指して
Page1
DEFCON、そして海外セミナー参加の心構え
注目の集まる“DNSキャッシュポイズニング”講演
  Page2
現実の脅威を引き起こす「ゲームの世界」
プライバシー観、EUと日本の違い
  Page3
Internet Wars、その傾向と対策
エンジニアよ、海外の仲間とも情報共有せよ!

関連記事
  突撃! ハッカーの祭典「DEFCON16」in ラスベガス
  チーム「dumbtech」、Sexy Hacking Girlsへの挑戦
  DEFCONの向こうにある安全な世界を目指して

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH