IoT時代に必要とされる「新型セキュリティエンジニア」とは:「@ITセキュリティセミナー(福岡)」レポート2016(2/3 ページ)
@IT編集部は2016年3月10日、福岡市で「@ITセキュリティセミナー」を開催した。本稿では、東京、大阪会場では行われなかったセッションを取り上げて紹介する。
近い将来、必ず必要になる“新型”セキュリティ人材とは
福岡会場の特別講演では、「Chief “Hacking” Officer(最高“ハッキング”責任者)」の肩書を持つ、サイバーディフェンス研究所 技術部長 林真吾氏が、「未だ見えぬ攻撃者に寄り添ってみる日」と題した講演を行った。これまで最先端のハッキングを見てきた林氏は、最近起きた事件にも触れながら、「これまではあまり注目されなかった“特別な部分”を理解できる人材」が今後必要になると語った。
脆弱性はすぐに見つかるし、今後も量産されていく
林氏はまず、“クラシックな”サイバー攻撃のスタイルを紹介するため、昨今さまざまな企業が被害に遭っている「不正アクセス」において、実際にどのような攻撃が行われているかをデモを交えながら解説した。
例えばWebサイトに対する攻撃デモの中では、脆弱性があるデモサイトを表示し、検索欄にシングルクオーテーションを入力するとエラーが出る、つまりサイトにSQLインジェクション脆弱性が残っていることを示した後、ツールを使い、あたかも目の前にデータベースがあるかのようにサーバから情報を取り出せることを実演してみせた。
林氏は、これまで多数の企業のWebサイトを診断してきた中で、半数以上のサイトで「高」レベルの脆弱性を検出してきたという。「攻撃者は狙い撃ちだけではなく、ツールを使い“機械的に”標的を探しまくっている。サイトの規模は関係ない。皆さんも自分の会社などのサイトのアクセスログを見れば、毎日攻撃されていることが分かる」(林氏)。
さらに、Webサイトだけでなくプログラムに残る脆弱性についても、林氏は「比較的すぐに見つかる」と語り、zipやlzhなどの圧縮ファイルを展開する「アーカイバ」プログラムを用いたデモを行った。デモの中では、アップデートが行われておらず既知の脆弱性が残ってしまっているアーカイバを使うと、数バイトのファイルを開くだけで、いわゆる“任意のコード“を実行できてしまう様子が示された。
こうした脆弱性に対して林氏は、マイクロソフトが提供する「EMET」などのツールを紹介し、「今後も脆弱性は量産されていくだろう。未知の脆弱性に対する緩和策としては、EMETのようなツールを使うのも1つの手だ」と述べた。ただし同時に「最近では、EMET自体の脆弱性を突いた攻撃も起きているのだが」と、一筋縄ではいかない脆弱性対策の難しさを明かした。
Copyright © ITmedia, Inc. All Rights Reserved.
すご腕バグハンターたちが報奨金制度運営者と本音トーク
セキュリティエキスパートたちが「最近気になっていること」――@IT人気筆者陣も登壇
「公衆無線LAN」の安全な使い方