HTTPSはもはや安全ではない? 刺激的な討論もなされたヨーロッパのセキュリティ祭り:29th Chaos Communication Congress(29C3)レポート(2/2 ページ)
2012年12月27日から30日にかけてドイツ・ハンブルグで開催された、カンファレンスという名のお祭り、「29th Chaos Communication Congress(29C3)」。ヨーロッパのセキュリティ界隈ではどういった話題がホットなのか、その模様を紹介します。
まだまだあった興味深いセッションの数々
署名付き暗号化XMLの復号に対抗する
「Time is NOT on your Side」
Sebastian Schinzel(エアランゲン大学(ドイツ))
XML暗号化に使用されているRSAは、「Bleichenbacher Attach」(もしくはMillion Message Attack)と呼ばれる大量のメッセージを利用した攻撃を行うことで、暗号化に使用されたセッションキーを奪取し、復号可能であることが分かっています。しかし、この攻撃はタイミングに依存します。そのため、タイミングが特定されることがなければ攻撃は防げます。このセッションでは、ランダム遅延を挟むことによって容易に解読されないようにする、要するに難読化を図る手法を解説しました。
乗用車のリモート車間通信におけるプライバシー保護
「Privacy and the Car of the Future」
サンタクララ大学(アメリカ) 法学部学生チーム
DSRC(Digirtal Short Range Communications)と呼ばれる、周囲約380メートルのデバイスと通信を行うために開発された車間通信モジュールは、交通安全面においては優秀であることが報告されています。しかし、そのモジュールが発信する情報を用いてドライブルートをトラッキングされてしまう懸念があることを指摘するとともに、発信されている情報の信頼度をいかにして規定するかを提案する内容でした。この問題については、プライバシー面での整備が進んでいないため、「みんなでハックして悪用可能であることを証明し、法整備に漕ぎつけよう」というメッセージが込められていました。
小型ペット育成デバイスをハック……ってたまごっち!?
「Many Tamagotchis Were Harmed in the Making of this Presentation」
Natalie Silvanovich
日本で90年代に爆発的ブームを巻き起こした「たまごっち」を解析し、IRモジュール(赤外線通信モジュール)を介してギフトを無制限に作り出すところまでの手順を解説するセッションです。実際にハードウエアをハックし、EEPROMを解析、画像データの抽出を行っていました。最終的にはコードをダンプし、クローンROMに移植することを目的として引き続き努力しているそうです(すでに一部ROMへの移植に成功していますが、チップが遅い! ということでした)。ちなみに、このテーマを発表するまでに、いくつものたまごっちが犠牲になっているとか……。
その他のセッションについてもYouTubeなどに録画がアップされています。興味がある方はぜひご覧ください。
実証!人間に対してもpingは有効なのか!?
こんな「小ネタ」があるのもコンピュータカンファレンスならでは、ではないでしょうか。
カンファレンスの2日目に、グッズ販売が行われました。事前に購入申し込みをしていれば初日に入手できるのですが、そこで余ったグッズ(相当数用意するので、絶対余るのですが)の当日販売を行うため、販売所前には1時間前から長蛇の列ができていました。
私も例に漏れず順番待ちをしたわけですが、当初、並びの理由が分からなかった私は、思わず最後尾の方に「何で並んでいるんですか?」と尋ねました。すると5〜6人から「Tシャツだよ!! 君の眼は節穴かい? AHAHAHA!」という元気な声が上がり、まだ話したこともない異国の方々との距離が急に縮まる不思議な体験をしました(皆さん、だいぶ酔っ払っているご様子でしたが)。
そんな行列の中で30分ほど待った頃でしょうか。予定時間を少し過ぎてもなかなか販売が始まらず、会場がザワつき始めたころ、前から1枚の紙が次々と回されて来ているのが分かりました。しばらくして私まで回ってきたとき、思わず紙を見て笑ってしまいました。
列に対して前からpingが飛んできたので、そのネットワークに組み込まれていた私もルート(行列)に従順にホップし、まだまだ100人くらい並んでいるのを眺めていました。すると、何とその紙が途中で早々と引き返してきたことに気付きました。私の元に戻ってきた先ほどのパケット――要は1枚の紙ですが――には、こんな文字が加わっていました。
残念ながら目的のデバイス(最後尾)にたどり着くことはできませんでしたが、そんなこんなで楽しみつつ、やっとの思いでパーカーをゲットできました! パーカーの背中には、今回の大会のキャッチフレーズでもある「Not My Department」という文字列が“ハッカーテイスト”で記されています。
すべての願いを叶える道具を持ち合わせるハッカーは、どんな夢でも叶えようとする。
よく管理職が言い訳に使う
「Not My Department(うちの担当じゃないな)」
という言葉を、ハッカーは一番嫌う。
という意味合いが込められているそうです。
次回は30th! 高まるセキュリティ指向
CCCではディープなセッションのほとんどで「セキュリティ」がテーマに掲げられ、ヨーロッパ全体にまたがつセキュリティ動向や技術を掴むには絶好の機会だと思います。筆者の所属する三井物産セキュアディレクションは、海外のレベルをつかみ、情報を収集し、また検討・提案して国内外に積極的に発信していますので、今後も継続して参加することを検討しています。
日本からの参加者はまだ少ないのですが、アジアから先陣を切って情報を発信していくことも十分可能ですので、セキュリティに従事されている方もそうでない方も、参加を検討されてはいかがでしょうか。あるいは、年末の長期休暇を利用し、現地でCTFに参加して、帰りにフランクフルトやパリを経由してCTFの疲れを癒すコース、なんていうのもとても魅力的です。
Copyright © ITmedia, Inc. All Rights Reserved.