知ってましたか? セキュリティ業界が歴史に学べることAVTOKYO2014リポート(2/2 ページ)

» 2014年11月26日 15時50分 公開
[高橋睦美@IT]
前のページへ 1|2       

みんな知ってる? あのとき歴史が動いた

 10年一昔とはよく言ったものだが、一昔前の共通認識が次の世代に受け継がれるとは限らない。ましてや、業界の黎明期の出来事ならばなおさらだ。「セキュリティインシデント10年史」と題したパネルディスカッションでは、2000年代前半の出来事を振り返りながら、セキュリティの「ルール」の再確認が行われた。

 1990年代、セキュリティに関する情報は、関心を持つ限られた人々の間でのみ流通していた。その中にはいわゆる「ゼロデイ脆弱(ぜいじゃく)性」に関するものも含まれており、パッチが存在しないまま詳細情報が公表されたこともある。

この10年を振り返り、セキュリティの根本的なルールについてあらためて留意を促した園田道夫/sonodam氏

 そうした状況に追いつこうと法制度の整備が始まり、「不正アクセス禁止法」が施行されたのは2000年になってからのことだ(公布は1999年)。ただ当時のこと、同法が想定していたのは識別符号(パスワードなど)による認証機能を突破して悪用するケースにとどまっていた。「Webアプリケーションの脆弱性が広まる以前の考え方によるもので、リモートエクスプロイットやパスワードの窃取が主なターゲットであり、Webアプリケーションの脆弱性への攻撃は該当しにくい部分があった」(園田道夫/sonodam氏)。

 この不正アクセス禁止法について、大きな議論を巻き起こす事件が2003年11月に起こる。セキュリティイベントの会場で発表者が、コンピュータソフトウェア著作権協会(ACCS)のサーバーに侵入し、個人情報を引き出す形で脆弱性を指摘。翌年、不正アクセス禁止法違反で逮捕されるという事件が起こり、脆弱性の指摘はどのように行うべきかという議論につながった。

 それから10年以上が経った今、事件の記憶は薄れつつある。パネルの冒頭、園田氏は「最近、バグハンティングのノリで、(自分の管理下にない)身近なシステムに対して脆弱性の有無を検査してしまうケースもあると聞く」と、過去の経緯を知らないがゆえにか、セキュリティの根本的なルールを破ってしまう可能性に警鐘を鳴らした。「バグハンティングは、法律をきちんと守っているという前提で行われる必要がある」(園田氏)

 園田氏によると、その前後から脆弱性情報の取り扱いについての議論が進んでいたという。第三者機関が発見者との間に立って調整し、ベンダーによる対策が準備できた段階で公開するという枠組み作りが進んでいた。それが「脆弱性情報ハンドリング制度」で、2004年にスタートした。事件がもたらした効果の一つとして、「脆弱性報告制度がきちんとできたのはよかった」と、元ハッカージャパンの斉藤健一氏は振り返る。

 ただ、サイバー攻撃が「金銭収入」に結び付くことが明らかになってきた今、またもや状況は変わりつつあるようだ。「最近は脆弱性情報がお金になる。いくらで買い取ってもらえるかという話になるか、あるいは脆弱性発見コンテストで懸賞金を得るかという形だ」(寺島崇幸/tessy氏)

「セキュリティ間に合ってます」?

バグハンティングが脅迫ととらえられた時期もあったと振り返る上野宣/TIP氏

 「今でこそ、セキュリティの脆弱性を見つけて報告すると『バグハンター』『ホワイトハッカー』と言われ、賞賛されるが、当時は同じ行為がただの脅迫ととらえられ、ひどい時には『セキュリティゴロ』呼ばわりされていた」(上野宣/TIP氏)。「情報処理推進機構(IPA)経由で脆弱性を指摘しても、相手からは何かの売り込みと間違えられ、『あ、セキュリティは間に合ってますから』といなされるケースもあった(笑)」(園田氏)という具合だった。

 そんな中で発生したACCS事件は、国内における脆弱性の指摘という行為、ひいてはセキュリティ研究全般に冷水を浴びせる結果になった。「脆弱性について研究するのはまずいんじゃないのか、という空気が生まれた。それ以前はいくつか存在していた勉強会も消えてしまった」(寺島氏)

最近では脆弱性情報が「お金」になると指摘した寺島崇幸/tessy氏

 しかし、セキュリティの重要性が高まりつつある近年、その風向きが変わりつつある。例えば、「sutegoma2」がDEFCON CTFに参加した実績などを受けて、CTFやセキュリティキャンプといった取り組みがマスメディアでも報道され、さらには経済産業省や総務省など政府機関が支援するまでになった。「NHKなどテレビで取り上げられたことも大きい。それによって一気に市民権を得た」(園田氏)

 パネルディスカッションの話題はその後、下火になったように見えて未だに多くの端末が感染しているAntinnyウイルスや、遠隔操作ウイルス事件であぶり出された捜査手法、フォレンジック手法の限界などにも広がった。上野氏は最後に「まだまだたくさんやるべきことがある」とまとめたが、新たにやるべきことに取り組む上で、過去の出来事を知るのも参考になると思わされる議論となった。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。