検索
特集

知ってましたか? セキュリティ業界が歴史に学べることAVTOKYO2014リポート(2/2 ページ)

「No drink, No Hack!」を合言葉にしたセキュリティイベント「AVTOKYO2014」が、約300人の参加者を集めて開催された。最新のマルウェア解析あり、埋もれつつある歴史を振り返るパネルありのセッションの模様をお伝えしよう。

Share
Tweet
LINE
Hatena
前のページへ |       

みんな知ってる? あのとき歴史が動いた

 10年一昔とはよく言ったものだが、一昔前の共通認識が次の世代に受け継がれるとは限らない。ましてや、業界の黎明期の出来事ならばなおさらだ。「セキュリティインシデント10年史」と題したパネルディスカッションでは、2000年代前半の出来事を振り返りながら、セキュリティの「ルール」の再確認が行われた。

 1990年代、セキュリティに関する情報は、関心を持つ限られた人々の間でのみ流通していた。その中にはいわゆる「ゼロデイ脆弱(ぜいじゃく)性」に関するものも含まれており、パッチが存在しないまま詳細情報が公表されたこともある。


この10年を振り返り、セキュリティの根本的なルールについてあらためて留意を促した園田道夫/sonodam氏

 そうした状況に追いつこうと法制度の整備が始まり、「不正アクセス禁止法」が施行されたのは2000年になってからのことだ(公布は1999年)。ただ当時のこと、同法が想定していたのは識別符号(パスワードなど)による認証機能を突破して悪用するケースにとどまっていた。「Webアプリケーションの脆弱性が広まる以前の考え方によるもので、リモートエクスプロイットやパスワードの窃取が主なターゲットであり、Webアプリケーションの脆弱性への攻撃は該当しにくい部分があった」(園田道夫/sonodam氏)。

 この不正アクセス禁止法について、大きな議論を巻き起こす事件が2003年11月に起こる。セキュリティイベントの会場で発表者が、コンピュータソフトウェア著作権協会(ACCS)のサーバーに侵入し、個人情報を引き出す形で脆弱性を指摘。翌年、不正アクセス禁止法違反で逮捕されるという事件が起こり、脆弱性の指摘はどのように行うべきかという議論につながった。

 それから10年以上が経った今、事件の記憶は薄れつつある。パネルの冒頭、園田氏は「最近、バグハンティングのノリで、(自分の管理下にない)身近なシステムに対して脆弱性の有無を検査してしまうケースもあると聞く」と、過去の経緯を知らないがゆえにか、セキュリティの根本的なルールを破ってしまう可能性に警鐘を鳴らした。「バグハンティングは、法律をきちんと守っているという前提で行われる必要がある」(園田氏)

 園田氏によると、その前後から脆弱性情報の取り扱いについての議論が進んでいたという。第三者機関が発見者との間に立って調整し、ベンダーによる対策が準備できた段階で公開するという枠組み作りが進んでいた。それが「脆弱性情報ハンドリング制度」で、2004年にスタートした。事件がもたらした効果の一つとして、「脆弱性報告制度がきちんとできたのはよかった」と、元ハッカージャパンの斉藤健一氏は振り返る。

 ただ、サイバー攻撃が「金銭収入」に結び付くことが明らかになってきた今、またもや状況は変わりつつあるようだ。「最近は脆弱性情報がお金になる。いくらで買い取ってもらえるかという話になるか、あるいは脆弱性発見コンテストで懸賞金を得るかという形だ」(寺島崇幸/tessy氏)

「セキュリティ間に合ってます」?


バグハンティングが脅迫ととらえられた時期もあったと振り返る上野宣/TIP氏

 「今でこそ、セキュリティの脆弱性を見つけて報告すると『バグハンター』『ホワイトハッカー』と言われ、賞賛されるが、当時は同じ行為がただの脅迫ととらえられ、ひどい時には『セキュリティゴロ』呼ばわりされていた」(上野宣/TIP氏)。「情報処理推進機構(IPA)経由で脆弱性を指摘しても、相手からは何かの売り込みと間違えられ、『あ、セキュリティは間に合ってますから』といなされるケースもあった(笑)」(園田氏)という具合だった。

 そんな中で発生したACCS事件は、国内における脆弱性の指摘という行為、ひいてはセキュリティ研究全般に冷水を浴びせる結果になった。「脆弱性について研究するのはまずいんじゃないのか、という空気が生まれた。それ以前はいくつか存在していた勉強会も消えてしまった」(寺島氏)


最近では脆弱性情報が「お金」になると指摘した寺島崇幸/tessy氏

 しかし、セキュリティの重要性が高まりつつある近年、その風向きが変わりつつある。例えば、「sutegoma2」がDEFCON CTFに参加した実績などを受けて、CTFやセキュリティキャンプといった取り組みがマスメディアでも報道され、さらには経済産業省や総務省など政府機関が支援するまでになった。「NHKなどテレビで取り上げられたことも大きい。それによって一気に市民権を得た」(園田氏)

 パネルディスカッションの話題はその後、下火になったように見えて未だに多くの端末が感染しているAntinnyウイルスや、遠隔操作ウイルス事件であぶり出された捜査手法、フォレンジック手法の限界などにも広がった。上野氏は最後に「まだまだたくさんやるべきことがある」とまとめたが、新たにやるべきことに取り組む上で、過去の出来事を知るのも参考になると思わされる議論となった。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  4. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
  5. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  8. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  9. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る