8月版 DEFCONで盛り上がった夏の終わりに現れたのは……


山本洋介山
bogus.jp

2011/9/8

 8月はセキュリティ界における一大イベントである「DEFCON」が開催され、日本からも多数が参加し、ツイートしていました。続いて中旬には、次世代のIT人材を育てる「セキュリティ&プログラミングキャンプ」のため、セキュリティクラスタ民が大阪に大移動。終盤になると「Apache Killer」「カレログ」と、さまざまな事件とイベントで活発なセキュリティクラスタでした。

DEFCON&Black Hat開催! CTFにはsutegoma2が参戦

 セキュリティ界における一番のイベントといえば、真夏のラスベガスで開催される「DEFCON」と、その前に併催される「Black Hat」です。セキュリティクラスタからも何人もの方がラスベガスに向かい、カンファレンスやイベントに参加されたようです。日本留守番組としてはうらやましい限りですね。

 今回会場で一番盛り上がっていたのは、なぜか「モヒカン」。モヒコン(Mohawk-Con)というイベントがDEFCONで行われていたらしく、TLにはたくさんのモヒカン写真が流れていました。さすがに日本人でモヒカンにした人はいなかったようですが……。

 また、Kinectでパケットを切る(!?)「Packet Killing」というイベントを日本の方が開催されていたようで、和服に刀を差した格好がツイートされていました。賞品も刀や手裏剣だったようです。

 7月の予選を見事1位で通過したチームsutegoma2は、DEFCON本戦のCTF(Capture The Flag)に参加しました。DEFCONのメインイベントに日本チームが参加しているというだけで胸が高鳴りますね。とはいえ、さすがに期間中は参加メンバーのツイートも少なく、見守るしかありません。結果は残念なことに最下位。

【関連記事】
「組織力」でハッキングコンテストに挑む日本人チーム(@ITNews)

http://www.atmarkit.co.jp/news/201108/05/ctf.html

 毎度ながら、CTFが時間どおりに開始されなかったり、点数がきちんとカウントされないという不備があったようです。また、ネットワークがIPv6ベースだったことも戸惑った要因のようでした。とはいえ、やはり問題を解くことが中心の予選と、防御しつつも相手を攻撃することが必要な本戦とでは勝手が違ったようで、なかなか順位を上げることができなかった模様です。解析のスキルだけでなく、攻撃用のexploitを書く必要を感じているツイートが見られました。

盛大にボコられた感でいっぱいless than a minute ago via twicca Favorite Retweet Reply

反省会? ベガス現地では日が変わりましたが、終わる気配なしw 今回の悔しい思いは来年に返すということが共有できたかな。less than a minute ago via TwitBird Favorite Retweet Reply

 とはいえ今回の成果で、決勝進出から、決勝でいかに順位を上げていくかということに目標が変化したと思います。新たな目標に向け、着実に歩みを進めていただきたいものです。

【関連リンク】
日本の人のDEFCONツイートまとめ

http://togetter.com/li/171035

セキュリティ&プログラミングキャンプ、大阪にて開催

 8月10〜14日に、次世代を担うIT人材の早期発掘と育成を目的とした「セキュリティ&プログラミングキャンプ」が開催されました。今年は震災の影響もあり、大阪での開催です。

【関連記事】
Lisp竹内氏「プログラミングには地を這う努力が必要」(@IT 自分戦略研究所)

http://jibun.atmarkit.co.jp/lcom01/special/spcan2011/01.html

 さすがに講義中のツイートはなく残念でしたが、休憩中や夜になると、関係者からさまざまなツイートがありました。ツイートを見ていると、今年はレッドブルとGentoo Linuxがアツかったようです。

 もちろんそれだけでなく、同じ興味を持つ同世代の人たちとの交流や、講義や講師陣との対話の中で、学びや新たなモチベーションを得た人も多かったようです。一方、実行委員や講師陣からも「参加者の姿勢から教わった」とのツイートもあり、お互いに得るものは大きかったようですね。

セプキャン終わった。参加者の方々の「貪欲に技術を学び取ろうとする姿勢」には本当に頭が下がった。もしかして向上心の重要性を教わったのは、むしろ自分の方だったんじゃなかろうかw less than a minute ago via web Favorite Retweet Reply

 キャンプの後も報告ブログや感想がツイートされるだけでなく、参加者同士が組んでCTFに参加したり、CTFを計画したり、バイナリエディタを開発したりするなど、いろんな動きがあるようで、これらについても今後が楽しみです。

キャンパーでCTFチーム作っていつかsutegoma2超えます!! #spcampless than a minute ago via twicca Favorite Retweet Reply

Apache Killerが猛威を振るう

 8月最後の週末前の25日には、巷で広く使われているWebサーバソフトウェアの「Apache」に、簡単にサービスを停止させることができる脆弱性(CVE-2011-3192)があることが報告されました。

 これはHTTPのリクエストヘッダに複数のRangeフィールドを指定した際に、ApacheにDoS(サービス妨害)攻撃が発生するというもので、Apacheの仕様に問題があったようです。さらに、この脆弱性を利用する「Apache Killer」というツールも公表されて、TLを大きく騒がせることになりました。

Apache HTTP Server には、サービス運用妨害 (DoS) の脆弱性があります。修正済みプログラムを適用しましょう!^YK http://t.co/VZLTg0Xless than a minute ago via Tweet Button Favorite Retweet Reply

 このApache Killerは簡単なPerlスクリプトで書かれており、自身のサーバで試してみた結果や動画がツイートされていました。それらによって事態の深刻さがより一層明らかになり、セキュリティ関係者のみならず、Webサイトやアプリにかかわる多数の人が驚いたり、対応に頭を悩ませていたようです。現在使用しているWebサーバが他人に簡単に攻撃されて、サービスが停止させられることが分かったのですから、無理もありません。

 このApache Killer、週末に公開されたため、パッチが出るまでの回避策に追われ、休日がなくなった人も多かったようです。当初、Apache Software Foundationが48時間以内に緊急対策パッチを出すという報告がありましたが、なかなか出ず、リリースされたのは結局週明け31日になってから。長い長い48時間でした。

【関連記事】
DoSの脆弱性を修正した「Apache 2.2.20」、公開(@ITNews)

http://www.atmarkit.co.jp/news/201108/31/apache.html

 また、この脆弱性を使われた実際に攻撃も行われており、「2ちゃんねる」のサーバをはじめ、たくさんのサーバが被害に遭っているようです。中には、安易に本番サーバで試してしまい、サービスを落としてしまう間抜けな人もいたようです。

カレログでカレのプライバシーが丸分かり!?

 8月末に「カレログ」というAndroidアプリケーションがリリースされました。TLは一時、このアプリについて騒然となりました。

 このアプリはカレログという名の通り、彼氏の携帯電話にインストールすると、彼の通話履歴、位置情報やインストールしているアプリケーション名などの情報を彼女が手に入れられます。プライバシーを気にする人にとっては怖くてたまらないアプリで、一歩間違えばマルウェアともとらえられてもおかしくないものです。

【関連記事】
「カレログ」をMcAfeeがスパイウェア認定 「信頼できない人とデバイスを共有しないで」(ITmedia News)

http://www.itmedia.co.jp/news/articles/1109/05/news071.html
彼氏追跡アプリ「カレログ」提供元がお詫び サービス見直し(ねとらぼ)
ttp://nlab.itmedia.co.jp/nl/articles/1109/01/news090.html

 TLでも、「自分の携帯に勝手にインストールされるのは心配、怖い」という意見とともに「個人情報保護の観点からどうよ」とか、「使用規約がおかしいのでは」「業務用で貸与された携帯に入っていたら笑い事じゃすまない」「宣伝と規約が矛盾している」とか、「そもそも違法なのでは」など、さまざまな意見がツイートされていました。また、早速カレログの存在を検知したり、インストールできないようにするアプリもリリースされていました。その他にも、アプリのSSLサーバ証明書が開発元を証明していないとか、電池を食いまくりそうでAndoroidの評判が下がるのではないかというネガティブな意見がありました。

 ただTLでは、プライバシーや違法性について真剣に考える人よりも、「カレログを入れるほど束縛したがりな彼女がいるんだぜ」というアピールや、「カレログ入れてもいいからAndroid携帯ください」「彼氏2次元だから使えない」「彼はWebに位置情報残しまくりだから必要ない」……など、カレログをネタにする方向で盛り上がる人も多かったです。

カレログの何が凄いって、「彼氏には一切分かりません!」と散々アピールしておきながら「カレログは、端末所有者の同意をとってご利用ください!」ってのうのうと書いている所が、「女子高生セックス!」とか銘打っておいてパッケージに「出演者は全員18歳以上です」て堂々と書いてるAV並に凄い。less than a minute ago via web Favorite Retweet Reply

 話題になった次の日には「お詫び」が掲載され、アプリがインストールされたことを分かるようにするなど、サービスを見直すことになりました。これからもアプリケーションとプライバシーの問題はTLを騒がせることになりそうですね。

【関連リンク】
彼氏追跡アプリ「#カレログ」は #ウイルス罪 になるか!? 高木浩光 @HiromitsuTakagi が解説する! #fuseisirei togetterまとめ

http://togetter.com/li/181388

セキュリティクラスタ、8月の小ネタ

 その他に話題となったトピックには、以下のようなものがありました。9月はどのようなことが起こるのでしょう。

  • PHP 5.3.7に任意のパスワードでログインできてしまう致命的なバグが発見される
  • Pixivで、ユーザーID漏えいの事実に加え、パスワード試行制限がないことが分かり大騒動
  • iOSでUDIDの使用禁止でセキュリティ業界とWeb広告屋さんが対立
  • FFFTPが開発終了。「お疲れ様でした」の声多数
  • ockeghem先生によるPHP本サンプルコードのセキュリティチェックがすごい
  • ペンテスターの需要ありすぎって本当ですか?
  • WikiLeaks、情報提供者情報までリークしてぶっちゃけすぎ
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年7月版へ    


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間