日本発のセキュリティ会議、新機軸とIoTと、今後の広がりと：CODE BLUE 2015サイドストーリー

2015年10月28〜29日の二日間に渡って開催された「CODE BLUE 2015」では、別記事でも紹介した通り、いくつかの新機軸が盛り込まれた。

[高橋睦美，＠IT]

　既に別記事で紹介している通り、2015年10月28〜29日の二日間に渡って、情報セキュリティをテーマとしたカンファレンス「CODE BLUE 2015」が開催された。3回目となる今回は13カ国から600名を超える参加者があった。

　2トラック制の採用、満24歳以下の若手セキュリティ研究者に講演の機会を与える「U-25枠」の創設など、運営面で新機軸が加わったとともに、イベントを支援するスポンサー企業にも新しい顔ぶれが加わったことが今回のCODE BLUEの特徴だ。これまで多くを占めていたセキュリティベンダーだけでなく、新日鐵住金やLINEなど、セキュリティ技術を使いこなすユーザーの立場にある企業が加わった。標的型攻撃をはじめとする脅威の横行を受け、組織内にCSIRT（Computer Security Incident Response Team）を設け、「セキュリティインシデントに対応していく上で最新動向をキャッチしたい」というニーズの高まりを反映したものといえるだろう。

　一方発表内容を見ると、標的型攻撃やAPT（Advanced Persistent Threat）攻撃に加え、IoT（Internet of Things）のセキュリティに関するセッションが目立った印象だ。2014年のCODE BLUEでは、ドローンに対するハッキングが可能であることがデモを交えて紹介されて話題となったが、今回は、医療機器に対する攻撃が可能であることがデモで紹介された。

　また別のセッション「スマートグリッドのサイバーセキュリティ」では、ロシアから参加したアレクサンダー・ティモリン氏とセルゲイ・ゴディチック氏が、近年急速に普及しているスマートグリッドのシステムがさまざまな脆弱（ぜいじゃく）性をはらんでいることを紹介した。

　スマートグリッドを構成する機器には、リモートから制御が可能なようにWebインターフェースを備えているものが多いが、その中にはデフォルトのパスワードのまま運用されていたり、悪くすると認証なしでアクセスできるものが存在する。「脆弱性があるまま公にさらされている状態だ」（ゴディチック氏）。複数のセキュリティ研究者の協力を得て見つけた脆弱性をベンダーに報告しても、返事が得られないケースがあるという。こうしたIoTのセキュリティを取り巻く状況は、かつてのITセキュリティの状況にそっくりだ。

やや見にくいが「Hacked」とテープが貼られている機器についてはカンファレンス中に脆弱性が発見された

最後の「ネットワーキングパーティ」において賞金を受け取った韓国からの参加者ら

　会場内ブースでは、米Beyond SecurityがIoT機器に対する脆弱性発見コンテストを実施した。ネットワークカメラやホームルーターなど8種類のIoT機器を用意し、カンファレンス期間中に脆弱性を見つけ出すという催しだ。

　最終的には3台にゼロデイを含む脆弱性が発見され、最も深刻な問題を見つけた韓国からの参加者が賞金を獲得した。Beyond Securityの担当者は「IoTデバイスはITシステムよりも悪用が容易だ」と述べている。なお、CODE BLUE 2015にはスポンサーの招待によって12名の学生も参加していたが、彼らもこのコンテストに参加し、脆弱性を見つけ出そうとチャレンジしていた。

興味津々のギャラリーに囲まれながらコンテストに取り組む参加者たち

　CODE BLUE 2015の基調講演では、神戸大学名誉教授の松田卓也氏によって、「人工知能」「超知能」の可能性が紹介された。セキュリティが果たすべき役割を考えると、今後はこうした新しい分野、あるいはIoTやものづくりなど、幅広い分野にまたがった交流が期待されるだろう。