私はこう見た、Black Hat Japan 2008(前編)

日本から世界へ広がれ、
セキュリティエンジニアの輪


金子博一
三和弘典
株式会社ラック
2008/12/4



 IT社会の根本にかかわる脅威、カミンスキー氏による基調講演

 DNSキャッシュポイズニングの脆弱性を啓発した、カミンスキー氏(IOActiveのセキュリティ研究員)による「Black Ops of DNS 2008 : Its The End Of The Cache As We Know It(DNS 2008版 Black Ops. 今までのDNSキャッシュじゃ通じない!)」という注目の基調講演が行われました。講演では、カミンスキー氏が行ったDNSキャッシュポイズニングの脆弱性の発見から啓発活動、ならびに脆弱性の危険性が伝えられました。今年は基調講演のみ参加できるチケットが販売されていたこともあり、十分広い会場にもかかわらず立ち見が出るほどの聴講者がいました。

【関連記事】

ダン・カミンスキー氏が公開した、
DNSキャッシュポイズニング手法。
知らなかったで済まされない、その影響とは

前編:カミンスキー氏が発表したDNSアタック手法と対策例
後編:DNSキャッシュポイズニングの原因・対策・その理由

 DNSキャッシュポイズニングの脆弱性の影響範囲の広さと脅威は深刻です。IPAの2008年度第3四半期のソフトウェアなどの脆弱性関連情報に関する届出状況を見ると、国内でもわずか1カ月で273件の被害があり、その傾向が見られます。問題の発表後から届出が増え始め、9月には1週間で最大83件も報告されています。この脆弱性がIT社会の根本にかかわる脅威であり、報告件数も多いことから問題が大きいことが分かります。

 カミンスキー氏は2008年初頭にDNSキャッシュポイズニングの問題を発見しました。影響範囲が広く脅威も大きいことから、情報を公開する前に水面下でベンダへ対応を促しつつ、情報公開の準備を進めていました。7月のセキュリティパッチ公開後、ベンダへパッチ適用の期間として1カ月の猶予を与えるためか、カミンスキー氏は情報公開を控えていました。

 そして2008年8月に開催されたBlack Hat USA、DEFCONなどで詳細情報を発表し、今日までその脆弱性の脅威を伝えてきました。事前に行われたカンファレンスの情報から勉強されている方もいたのか、会場ではうなずいている方も多く、私が知る内容も多かったように感じました。会場における認知度が高かったことは、カミンスキー氏の精力的な活動の成果といえます。

 活動成果の一例として、BHJの会場である京王プラザホテルも調査した結果、同ホテルのサイトが利用しているDNSサーバもセキュリティパッチを適用していたという報告もありました。DNSキャッシュポイズニングの具体的な攻撃手法と原因・対策は「カミンスキー氏が発表したDNSアタック手法と対策例」、「DNSキャッシュポイズニングの原因・対策・その理由」で紹介されています。

 「きっかけは思いつきや興味本位」長谷川陽介氏の講演

 軽いジョークを交えながら、ネットエージェントの長谷川陽介氏による講演が始まりました。講演後のインタビューを通じて判明したことですが、今回の講演のベースになっているのは、長谷川氏の思いつきや興味本位のハックだったそうです。まさに「趣味と実益の文字コード攻撃」というタイトル通りの講演といえるでしょう。

写真4 ネットエージェント 長谷川陽介氏

 講演は、文字の視覚的な効果に関する問題および、Unicodeの文字コード変換に関して昔から存在していた問題、そしてそれらの問題の対策方法について行われました。例えば、文字の視覚的な効果に関する問題の1つとして、文字としての「\」記号とディレクトリ階層のバックスラッシュとしての意味である「\」記号の違いについて、デモを交えた説明がありました。

 特に、講演の最後に話された「文字エンコードとセキュリティに関しては、未開拓な部分も多い」という話が印象的でした。2バイトの文字コードは使用言語や地域によって異なることもあり、特徴的な問題を含んでいるにもかかわらず、あまり注目されていなかったのかもしれません。BHJは、このように世界的に見るとなじみのない問題点の注意喚起の場として考えても非常に有意義であります。

 ちなみにBlack Hatの創設者であるジェフ・モス氏が長谷川氏の講演内容に興味を持ったことから、スピーカーに選出したとのことでした。

2/3

Index
日本から世界へ広がれ、セキュリティエンジニアの輪
  Page1
Black Hat Japanをおさらい
いざ、会場へ
Page2
IT社会の根本にかかわる脅威、カミンスキー氏による基調講演
「きっかけは思いつきや興味本位」長谷川陽介氏の講演
  Page3
つながり重要! 交流を深められるレセプション
講演は質問のチャンス、積極的に交流の輪を広げよう

関連記事
  技術は言葉の壁を越える! Black Hatレポート(前)
  技術は言葉の壁を越える! Black Hatレポート(後)
  レッツ、登壇――アウトプットのひとつのかたち
  日本から世界へ広がれ、セキュリティエンジニアの輪
  あの人、あの技術に会いたい、ただそのために

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH