IoT時代に必要とされる「新型セキュリティエンジニア」とは：「＠ITセキュリティセミナー（福岡）」レポート2016（2/3 ページ）

[宮田健，＠IT]

近い将来、必ず必要になる“新型”セキュリティ人材とは

　福岡会場の特別講演では、「Chief “Hacking” Officer（最高“ハッキング”責任者）」の肩書を持つ、サイバーディフェンス研究所 技術部長 林真吾氏が、「未だ見えぬ攻撃者に寄り添ってみる日」と題した講演を行った。これまで最先端のハッキングを見てきた林氏は、最近起きた事件にも触れながら、「これまではあまり注目されなかった“特別な部分”を理解できる人材」が今後必要になると語った。

脆弱性はすぐに見つかるし、今後も量産されていく

サイバーディフェンス研究所 技術部長 林真吾氏

　林氏はまず、“クラシックな”サイバー攻撃のスタイルを紹介するため、昨今さまざまな企業が被害に遭っている「不正アクセス」において、実際にどのような攻撃が行われているかをデモを交えながら解説した。

　例えばWebサイトに対する攻撃デモの中では、脆弱性があるデモサイトを表示し、検索欄にシングルクオーテーションを入力するとエラーが出る、つまりサイトにSQLインジェクション脆弱性が残っていることを示した後、ツールを使い、あたかも目の前にデータベースがあるかのようにサーバから情報を取り出せることを実演してみせた。

　林氏は、これまで多数の企業のWebサイトを診断してきた中で、半数以上のサイトで「高」レベルの脆弱性を検出してきたという。「攻撃者は狙い撃ちだけではなく、ツールを使い“機械的に”標的を探しまくっている。サイトの規模は関係ない。皆さんも自分の会社などのサイトのアクセスログを見れば、毎日攻撃されていることが分かる」（林氏）。

　さらに、Webサイトだけでなくプログラムに残る脆弱性についても、林氏は「比較的すぐに見つかる」と語り、zipやlzhなどの圧縮ファイルを展開する「アーカイバ」プログラムを用いたデモを行った。デモの中では、アップデートが行われておらず既知の脆弱性が残ってしまっているアーカイバを使うと、数バイトのファイルを開くだけで、いわゆる“任意のコード“を実行できてしまう様子が示された。

あるアーカイバの脆弱性をデモで示す林氏。ファイルを展開しようとするとアーカイバが異常終了するが、この裏で特定のプロセスを起動することが可能だという

　こうした脆弱性に対して林氏は、マイクロソフトが提供する「EMET」などのツールを紹介し、「今後も脆弱性は量産されていくだろう。未知の脆弱性に対する緩和策としては、EMETのようなツールを使うのも1つの手だ」と述べた。ただし同時に「最近では、EMET自体の脆弱性を突いた攻撃も起きているのだが」と、一筋縄ではいかない脆弱性対策の難しさを明かした。