検索
特集

HTTPSはもはや安全ではない? 刺激的な討論もなされたヨーロッパのセキュリティ祭り29th Chaos Communication Congress(29C3)レポート(2/2 ページ)

2012年12月27日から30日にかけてドイツ・ハンブルグで開催された、カンファレンスという名のお祭り、「29th Chaos Communication Congress(29C3)」。ヨーロッパのセキュリティ界隈ではどういった話題がホットなのか、その模様を紹介します。

Share
Tweet
LINE
Hatena
前のページへ |       

まだまだあった興味深いセッションの数々

署名付き暗号化XMLの復号に対抗する

「Time is NOT on your Side」

Sebastian Schinzel(エアランゲン大学(ドイツ))


 XML暗号化に使用されているRSAは、「Bleichenbacher Attach」(もしくはMillion Message Attack)と呼ばれる大量のメッセージを利用した攻撃を行うことで、暗号化に使用されたセッションキーを奪取し、復号可能であることが分かっています。しかし、この攻撃はタイミングに依存します。そのため、タイミングが特定されることがなければ攻撃は防げます。このセッションでは、ランダム遅延を挟むことによって容易に解読されないようにする、要するに難読化を図る手法を解説しました。

乗用車のリモート車間通信におけるプライバシー保護

「Privacy and the Car of the Future」

サンタクララ大学(アメリカ) 法学部学生チーム


 DSRC(Digirtal Short Range Communications)と呼ばれる、周囲約380メートルのデバイスと通信を行うために開発された車間通信モジュールは、交通安全面においては優秀であることが報告されています。しかし、そのモジュールが発信する情報を用いてドライブルートをトラッキングされてしまう懸念があることを指摘するとともに、発信されている情報の信頼度をいかにして規定するかを提案する内容でした。この問題については、プライバシー面での整備が進んでいないため、「みんなでハックして悪用可能であることを証明し、法整備に漕ぎつけよう」というメッセージが込められていました。

小型ペット育成デバイスをハック……ってたまごっち!?

「Many Tamagotchis Were Harmed in the Making of this Presentation」

Natalie Silvanovich


 日本で90年代に爆発的ブームを巻き起こした「たまごっち」を解析し、IRモジュール(赤外線通信モジュール)を介してギフトを無制限に作り出すところまでの手順を解説するセッションです。実際にハードウエアをハックし、EEPROMを解析、画像データの抽出を行っていました。最終的にはコードをダンプし、クローンROMに移植することを目的として引き続き努力しているそうです(すでに一部ROMへの移植に成功していますが、チップが遅い! ということでした)。ちなみに、このテーマを発表するまでに、いくつものたまごっちが犠牲になっているとか……。

 その他のセッションについてもYouTubeなどに録画がアップされています。興味がある方はぜひご覧ください。

実証!人間に対してもpingは有効なのか!?

 こんな「小ネタ」があるのもコンピュータカンファレンスならでは、ではないでしょうか。

 カンファレンスの2日目に、グッズ販売が行われました。事前に購入申し込みをしていれば初日に入手できるのですが、そこで余ったグッズ(相当数用意するので、絶対余るのですが)の当日販売を行うため、販売所前には1時間前から長蛇の列ができていました。

 私も例に漏れず順番待ちをしたわけですが、当初、並びの理由が分からなかった私は、思わず最後尾の方に「何で並んでいるんですか?」と尋ねました。すると5〜6人から「Tシャツだよ!! 君の眼は節穴かい? AHAHAHA!」という元気な声が上がり、まだ話したこともない異国の方々との距離が急に縮まる不思議な体験をしました(皆さん、だいぶ酔っ払っているご様子でしたが)。

 そんな行列の中で30分ほど待った頃でしょうか。予定時間を少し過ぎてもなかなか販売が始まらず、会場がザワつき始めたころ、前から1枚の紙が次々と回されて来ているのが分かりました。しばらくして私まで回ってきたとき、思わず紙を見て笑ってしまいました。


紙には「ping」の文字が(実際の紙は後ろの人に回してしまったので、写真は再現です)

 列に対して前からpingが飛んできたので、そのネットワークに組み込まれていた私もルート(行列)に従順にホップし、まだまだ100人くらい並んでいるのを眺めていました。すると、何とその紙が途中で早々と引き返してきたことに気付きました。私の元に戻ってきた先ほどのパケット――要は1枚の紙ですが――には、こんな文字が加わっていました。


紙には「T.O.(Timed Out)」の文字が。あまりに行列が長すぎて時間切れです

 残念ながら目的のデバイス(最後尾)にたどり着くことはできませんでしたが、そんなこんなで楽しみつつ、やっとの思いでパーカーをゲットできました!  パーカーの背中には、今回の大会のキャッチフレーズでもある「Not My Department」という文字列が“ハッカーテイスト”で記されています。

すべての願いを叶える道具を持ち合わせるハッカーは、どんな夢でも叶えようとする。

よく管理職が言い訳に使う

  「Not My Department(うちの担当じゃないな)」

という言葉を、ハッカーは一番嫌う。


という意味合いが込められているそうです。


今年はカッコイイパーカーに仕上がっていました

次回は30th! 高まるセキュリティ指向


いろんなブースを回りながら話を聞き、頂いたステッカーを全部貼ったら大変なことになった筆者のノートパソコン

 CCCではディープなセッションのほとんどで「セキュリティ」がテーマに掲げられ、ヨーロッパ全体にまたがつセキュリティ動向や技術を掴むには絶好の機会だと思います。筆者の所属する三井物産セキュアディレクションは、海外のレベルをつかみ、情報を収集し、また検討・提案して国内外に積極的に発信していますので、今後も継続して参加することを検討しています。

 日本からの参加者はまだ少ないのですが、アジアから先陣を切って情報を発信していくことも十分可能ですので、セキュリティに従事されている方もそうでない方も、参加を検討されてはいかがでしょうか。あるいは、年末の長期休暇を利用し、現地でCTFに参加して、帰りにフランクフルトやパリを経由してCTFの疲れを癒すコース、なんていうのもとても魅力的です。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  8. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  9. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  10. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
ページトップに戻る