2012年2月版　「情報セキュリティ月間」はイベント目白押し

山本洋介山
bogus.jp

2012/3/12

　2月は毎年恒例の「情報セキュリティ月間」。それに合わせて開催された数多くのイベントに馳せ参じるため、寒さの中、日本全国を駆け巡った人がセキュリティクラスタの中にも多く見られました。

　また、日本でも久しぶりとなるCapture The Flag（CTF）がようやく大々的に開催されたり、CODEGATEの予選には多くの日本人の参加者があったりと、CTFも盛り上がりを見せています。一方でDNSの脆弱性が報告されたり、ICカードのプライバシーが問題となったりと、さまざまなレイヤで話題が繰り広げられることにもなりました。

「LOVE PC」キャンペーンってなーに？

　2月は「情報セキュリティ月間」で、セキュリティをテーマにしたイベントやセミナーが目白押しとなりました。

　一部だけを抜き出してみても、2月9日には肉を食べながらセキュリティを語る「29sec2012」が開催されたほか、2月10日には「NICT情報通信セキュリティシンポジウム2012」、2月16日〜17日には松山で「情報セキュリティシンポジウム道後2012」が開催されるという具合です。内閣官房情報セキュリティセンター（NISC）が取りまとめたものだけでも、1299件に上るイベントが開催されました。

　その中でひときわ目を引いたのが、「LOVE PC」キャンペーンというものでした。「PCにセキュリティという名の愛を」というキャッチコピーの下、突如出現したこのWebサイト。セキュリティというイメージからはあり得ない、ピンク色をベースにした女子向けサイトのようなデザインで、「誰が何のためにやっているのだ？」と一躍タイムライン（TL）の話題となります。

　実は、IBMやマイクロソフトなどの大手企業が運営事務局メンバーとなり、情報処理推進機構（IPA）や日本ネットワークセキュリティ協会（JNSA）などが後援する活動でした。「カジュアルなサイト」という路線を狙っていたようなのですが、TLではそれを面白がる人は少なく、本物なのか偽物なのかを探っている人の方が多いように感じられました。

　さらには、サイトを見た人の中から「右クリックが禁止されている」だの、「セキュリティポリシーがおかしい」（指摘を受けすぐに修正されました）だの、多数の突っ込みを食らうはめに。主な活動が、FacebookでJVNの脆弱性情報やセキュリティ関係の記事をシェアするという淡々としたものだったこともあり、残念なことに2月の半ばにもなるとあまり話題に上ることもなくなってしまいました。

　情報セキュリティ月間のキャラクターとしては、経済産業省の「セキュリーナ」もいますが、このあたりのアピール方法、もう少し何とかならないものでしょうか。

雪の中、第1回SECCON CTF開催！

　2月18日には、福岡県で「第1回SECCON CTF」が開催されました。「将来の情報セキュリティを担う若手技術者を発掘したい」という目的から、基本的には学生のみの参加だったようですが、なぜか当日は社会人との混成チームもあったようです。

【関連記事】 SECCON CTF福岡大会レポート http://www.atmarkit.co.jp/fsecurity/special/167ctf/01.html

　運営側、参加側どちらにも、TLでよく見かける人が多数参加していました。雪の中会場に向かう様子や準備にいそしむ様子がTwitterを通して垣間見えて、TLを読んでいる方も開始前からわくわくしました。

　さすがに競技中はつぶやくどころではなかったのか、参加者からのツイートはほとんどなかったのですが、運営の人たちが、得点経過だけでなく会場の写真などをアップしてくれたおかげで、雰囲気がよく伝わりました。長時間の戦いの後、第1回の優勝チームは「Ubel Panzer」となりました。おめでとうございます。

　残念だったのは、雰囲気以外の情報があまり伝わらなかったところです。「用意された問題のうち、Web関連の問題には誰も手を出さなかった」など、少しだけ傾向は漏れ伝わってきたのですが、もう少し問題の中身やルールなどの情報が外に伝わってきたらいいなと思いました。

【関連リンク】 第一回 Seccon CTFまとめ（Togetter） http://togetter.com/li/260225

　このように大きなCTF大会が開催されるのは日本では久しぶりのことです。後日、運営委員長の竹迫氏がラジオに出演した際には、「どうしてこれまで開催できなかったのか」と聞かれていたのですが、「マスコミに『犯罪を助長するようなことをやらせるなんて何事か』と叩かれたせいで開催できなくなった」ともいえず、言葉を濁していたのが印象的でした。TLでもこのことに言及している人が何人もいました。

Ghost Domain Names脆弱性の危険性は？

　2月8日、DNSサーバの新たな脆弱性に関する論文が発表されました。上位ゾーンの権威サーバがそのゾーンへの委任を取り消しても、そのゾーンのキャッシュが消えないようにできるという問題です。消したはずのドメイン情報が、幽霊（Ghost）のように消えずに残ったままになることから「Ghost Domain脆弱性」と名付けられましたが、人によって、危険なのか、それほど危険ではないのかで、意見が分かれていました（なお、BINDの脆弱性は3月にリリースされたバージョン9.9.0によって対策されています）。

　JPドメインの中の人である@OrangeMorishita氏は、使用中のドメイン名には影響がないため、拙速な対応よりも正しい理解が大切と考えているようでした。

　逆にqmail.jpの@beyondDNS氏は、この問題を重大な危険性をはらむものと考えているようで、DNSサーバの入れ替えや使用しているキャッシュDNSサーバの変更など早めの対策を勧めていました。さらに、さまざまなDNSサーバに対してGhostが残ることを実証する実験を行うなど、問題の啓蒙活動にも取り組んでいました。

　しかしながら、DNSなど低めのレイヤのセキュリティにはあまり関心を持たれないのか、自分でDNSサーバを管理している人が少ないからなのか、@beyondDNS氏がいろいろ情報を提供してもどうも反応が薄かったようです。また、この問題提起に反応を返すのも、いつものセキュリティクラスタを構成する人とは異なる人が多かったのが印象的でした。

　やはり、一口にセキュリティといっても物理層からアプリケーション層、政治層まで、興味と得意分野は人によってさまざまで、1人ですべての分野をカバーするのは難しいことを実感させられます。

セキュリティクラスタ、2月の小ネタ

　この他にも2月のセキュリティクラスタでは以下のようなことが話題となりました。3月はいったいどのようなことがTLを賑わせるのか楽しみですね。

• CODEGATE予選、SUTEGOMA2余裕の予選突破！
• Shibuya.XSS大人気でキャンセル待ちが200人
• IBMが通話履歴をビッグデータとして勝手に解析する？
• 不正アクセス禁止法改正で、はまちちゃん逮捕!?
• セキュリティキャンプ継続決定
• 「目grep」に続く「耳grep」
• OCN、3カ月半にわたり、他人のメールパスワードを再設定できるひどい状態だったことが明らかに
• 検閲があるはずのiPhoneでも、ユーザーのデータを収集するアプリが出現
• OAuthを単体で認証に使うと危険！
• 農林水産省にも標的型メールによる攻撃が
• AnonymousがpcAnywhereのソースコードをBitTorrentに放流
• 鉄道系ICカードでは他人の履歴情報を閲覧できるかも!?
  

Profile

山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年1月版へ

セキュリティクラスタまとめのまとめ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）