CODE BLUE――日本発のサイバーセキュリティカンファレンスの価値:セキュリティ業界、1440度(6)(2/3 ページ)
日本発、世界へ発信を目指した「CODE BLUE」が2014年2月に開催されました。その価値は、参加費以上に大きいものなのです。
国内外からのハイレベルな研究発表
ここでは、私が技術的に興味深いと感じたセッションについて簡単に紹介したいと思います。
車載ネットワークと制御ユニットの冒険(クリス・ヴァラセク氏)
DEF CON 21で発表された、フォード エスケープおよびトヨタ プリウスに対する車載機器へのハッキングについての発表が行われました。これまで公開されていた内容がベースになっていますが、今回の発表では研究の過程で撮影されたさまざまな動画が再生され、より分かりやすくなっていました。
車載ネットワークで利用されているプロトコルであるCAN(Controller Area Network)には通信の暗号化や各ユニット間での認証が存在しないため、車に搭載されているOBD-IIポート経由でCANにアクセスできてしまいます。ここにさまざまなパケットを送信することで、ブレーキやドアロックなどのユニットをPCからコントロールすることができる、というものです。
OSやアプリを問わず装着するだけで重要なデータを防御するセキュリティバリアデバイス(戸田賢二氏)
SATAなどのブロックデバイスに対するアクセスをフィルターするFPGAベースの専用デバイスを開発し、そのデバイスをシステムに装着することで、ソフトウェアから透過的にアクセス制御を実現する技術に関する発表が行われました。
インテルのマネジメントエンジンの秘密(イゴール・スコチンスキー氏)
Intel社がvProブランドを提唱した際に、それを構成する技術として導入されたIntel AMT(Active Management Engine)の解析結果についての報告が行われました。
vProブランド以降のIntelプロセッサーには、PC本体とは分離された状態で単独動作する管理機構、AMTが組み込まれています。これを利用すると、PC本体の電源がOFFの状態でも電力供給(電源ケーブルが接続されている)およびネットワーク接続が提供されている場合、外部からの電源投入やOSとは別のレベルでNICに作用する通信ポリシーを適用するなどの外部管理が可能となります。サーバークラスのマシンに用意されているリモート管理機能(デルのDRAC、HPのLights-Outなど)相当のものが、標準で搭載されていることになります。
発表では、このAMTのファームウェアをインターネットから入手、解析し、独自のコードをAMTのコンテキストで実行する試みについての説明が行われました。現時点では任意のコード実行までは至っていないとのことですが、内容的には非常に高度であり、個人的には最も興味深かったセッションとなりました。
ハードディスクのディザスタリカバリとファームウェア改ざん攻撃への対応策(しもがいと だい氏)
前半は、ディザスタリカバリで直面する実際のHDDの状況と、HDDの構成およびその復旧方法についての紹介がありました。後半は、HDD上に存在するSA(System Area)モジュールと呼ばれるファームウェアの解説とそれに対して攻撃を行うことで、データ復旧を阻害するバルサーという技術についてのデモが行われました。
ディスタリカバリにおいて必要となる、ファーストレスポンスのガイドラインをDisaster Data Recoveryのサイトにて今後公開予定とのことでした。
SCADAソフトウェアの実態はスイスチーズのごとく穴だらけ?(チェリ・ウヌベール氏)
SCADAシステムは、遠方監視制御装置(RTU)/プログラマブルロジックコントローラー(PLC)などの制御対象機器、その制御・管理を行うヒューマンマシンインターフェース(HMI)、より上流で生産管理を行うITシステムの3層から構成されます。この発表ではHMI機能を提供するソフトウェアについて調査を行い、発見した脆弱性の詳細が報告されました。
脆弱性を発見し、ベンダーに報告したものの、修正版として公開されたソフトウェアは脆弱性攻撃を成立させるためのパラメーターを変更しただけで、実は同一の問題が存在したままであったという事例も紹介されました。
ネットワーク家電と脆弱性(堀部千壽氏)
PanasonicにおけるIT環境と、それに対応した製品群の系列を勃興期、発展期、成熟期の3フェーズで説明し、それぞれのフェーズにおいて製品出荷前に社内で実施しているセキュリティ検査とその結果、洗い出された脆弱性の傾向についての紹介が行われました。
堀部氏は今後の予想として、デバイスの多様化が進む中でIPネットワーク以外の知識・技術が必要となること、それに伴い非ITエンジニアの必要性が高まることを提言していました。
IDAの脆弱性とBugBounty(千田雅明氏)
脆弱性発見、リバースエンジニアリング、マルウェア解析を行う上で必要不可欠でデファクトスタンダードなツールともいえる「IDA」の脆弱性発見コンテストでの結果、経験についての紹介が行われました。
IDAの開発元であるHex-Raysは、外部参加によるIDAに対する脆弱性発見コンテストを行っており、過去に計11の脆弱性が発見されているとのことでした。発表において「うち、5件は私(千田氏)が発見しました」という発言の後、自然と感嘆の声が上がり、大きな拍手が起こったことがとても印象的でした。
発見した各脆弱性についての説明や脆弱性を報告した際のHex-Raysの対応についても言及されました。多くの場合、営業時間内であれば脆弱性報告後、数時間後にはベータ版パッチが千田氏の元に提供され、検証の依頼を受けるなど、非常にスピーディーな対応が行われているとのことでした。
o-checker:悪性文章ファイル検知ツール〜ファイルサイズからにじみ出る悪意(大坪雄平氏)
標的型攻撃などで利用される悪意のPDFファイルや、Microsoft Office製品のドキュメントファイルなどを発見する技術およびそのツールについての紹介が行われました。原理的には、PDFなどのドキュメント形式のフォーマット、および標準的なPDF生成ツールが当該規格に準拠していることを前提に、悪意のPDFファイルなどにのみ見られる、そこから逸脱した特徴に着目することで、不正な文章ファイルを発見する技術となります。
通常、攻撃者が特定のビュワーソフトの脆弱性を悪用した悪意の文章ファイルを作成する場合、文章規格を半ば無視して無理やりマルウェアを組み込むため、ファイル内のデータ構造がNの倍数ではない、ヘッダー構造とデータ構造の整合性が取れていない、EOF(End Of File)相当のデータ構造の後ろにもデータが存在するなどの矛盾が存在するという特徴が存在します。o-checkerではこれを基に検知を行っているとのことです。また、独自のベンチマークも実施しており、誤検知率が非常に低い、検査の実行速度が高速だという利点が説明されました。
Fight Against Citadel in Japan(中津留勇氏)
日本でも問題になっている、オンラインバンキングを対象としたトロイの木馬(Banking Trojan)の一種である「Citadel」を対象に、中津留氏が開発を行ったCitadel Decryptorについての紹介が行われました。Citadelの動作原理を解説し、動作内でのデータ暗号化処理の解析を行い、その解読を行うというものです。
日本人スピーカーでは唯一英語での発表を行っており、日本発の国際会議であるCODE BLUEの最後の講演をきれいに締め括っていたと感じました。
今回紹介したのは発表内容のごく一部です。セッション間のコーヒーブレークでは、Hex-Raysのイゴール氏と千田氏が隣席で話し合っている様子や、発表直後、さまざまな人がランチ・タイムにスピーカーをつかまえてディスカッションする光景など、その場でないとできない、伝わらないものが本当に多かったと感じています。
Copyright © ITmedia, Inc. All Rights Reserved.