IoT時代、セキュリティ分析手法はスケールアウトできるのか? オランダで開催された「Black Hat Europe 2014」で見たこと、聞いたこと、感じたことをレポートしよう。
2014年10月中旬、著名な情報セキュリティの国際カンファレンスの一つである「Black Hat Europe 2014」にスピーカーとして参加してきました。本連載第11回では、会場の様子や雰囲気、いくつかの発表を通じて、FFRI新技術研究部の忠鉢洋輔が感じた「トレンド」についてご報告しようと思います。
例年の通り、Black Hat Europeはオランダ、アムステルダムで開催されました。2014年はアムステルダム中心街からオランダ国鉄で3駅ほどの郊外にある、Amsterdam RAIというとても大きなコンベンションセンターが会場でした。
オランダといえば、風車とチューリップというのがステレオタイプなイメージでしょう。しかし、アムステルダムはそういったのどかなイメージとは大きく違います。アムステルダムは洗練された国際的な商業都市であり、多くの旅行者が観光に訪れる観光都市でもあります。旅行者や移民を多く受け入れているからか、すべての駅やお店で英語が通じました。話の本筋からは外れますが、アムステルダム中央駅では平日、休日を問わず、案内のためのサポートスタッフが駅を周回し旅行者のサポートを行っていることや、案内板や交通案内なども英語が必ず表記してあることが印象的でした。日本も2020年の東京五輪に向け、アムステルダムに学ぶところは多いと感じました。
さて、今回の会場であるAmsterdam RAIは、日本でいえば東京、有明にあるビッグサイトのようなところです。会場内にはスポンサーブースといくつかの講演会場、そしてトレーニング会場があり、多くのハッカーが集っていました。
続いて、興味深かったいくつかの研究発表を紹介しましょう。
Black Hat USAでもそうでしたが、今回のBlack Hat Europe 2014でも「組み込み機器」に強い関心を向けた研究が多いように感じました。
例えば、スマートメーターをリバースエンジニアリングして機能を解析し、その悪用方法を考える発表「Lights off! The darkness of the smart meters」では、仕様が明らかではないチップや基盤、そしてプログラムをJTAG経由でダンプしながら機能を推定するといった、職人技ともいうべきリバースエンジニアリングの方法とその結果を発表していました。また、わざわざ別のカメラを設置し、会場でリアルタイムリバースエンジニアリングを行う、リバースエンジニアリング“ショー”もあり、会場は盛り上がっていました。
また、ATMのハッキングを改造したRaspberry Piを用いて行う発表「Hack your atm with friend's Raspberry.Py」も、デモ動画が大いに盛り上がった発表の一つでした。欧米では、日本の自販機のような感覚で個人商店や個人がATMを設置することができるらしく、監視カメラや物理的なアクセス制御が行われていないATMが数多くあるようです。
発表では、まずそのようなATMに見立てたデモ用のATMに対し、50秒でATMの内部にアクセス(これは物理的に鍵をハッキングします)する動画が流れました。続けて10秒でそのATMの外部インターフェースにハッキングツールをインストールしたRaspberry Piを物理的に接続するデモ動画が流れます。「このように、60秒で“こと”が終わります」というスピーカーの言葉に、会場には普通の笑いと失笑が混ざった複雑な空気が流れました。
このRaspberry PiはWi-Fiモジュールを搭載しており、外部からの遠隔操作が可能です。続けて、このRaspberry Piを経由してプロトコルの脆弱性を突いてATMを遠隔操作するデモや、デバイス間通信の盗聴によるPINコードの奪取を行うデモがありました。
結論としては、ATMはその95%が「Windows XP」で動いており、パッチやアンチウィルスなどが全然当たっていないこと、そもそもATMを物理的に守ることが大事である、という結びになっていました。
もう一つのトレンドとして、スケールアウトするセキュリティ分析手法に大きな関心が集まっていると感じました。例えば、Firmware.REの発表「Firmware unpacking, analysis and vulnerability-discovery as a service」は、IoTによりインターネット接続を行う組み込み機器が爆発的に増えるが、それらのデバイスを逐一チェックすることはもう現実的ではないとし、オンラインで公開されているファームウェアを静的解析することで効率良く脆弱性を見つけようという内容でした。
Firmware.REでは、オンライン公開されているデバイスのアップデートファイルから機械的にファームウェアを抽出する方法を研究しています。また、ファームウェアのバージョン番号を確認したり、Busyboxのバージョンといった比較的簡単な静的解析を行ったりしています。その上、Fuzzy Hashingで関連する既知の脆弱性との一致度を計算し、脆弱性を見つけるWebサービスを作っており、実際に稼働しています。
Copyright © ITmedia, Inc. All Rights Reserved.