2012年7月版　セキュリティ業界の夏祭り、Black Hat＆DEFCON

山本洋介山
bogus.jp

2012/8/10

　7月はラスベガスで年に一度のハッカーの祭典、「DEFCON 20」が開催されました。併催の有料カンファレンス「Black Hat USA」とともに日本から多数の参加者があったようで、留守番組からするとうらやましい限りですね。DEFCONでは、2度目の出場となった「Sutegoma 2」がCapture The Flag（CTF）本戦に参加し、3日にわたって熱戦を繰り広げていました。

　また、財務省をはじめ複数の組織からの情報流出が報告されたり、夏の恒例行事になりつつあるBINDの脆弱性が今年も発表されたり、Anonymousは渋谷でゴミ拾いオフ会を行ったりと、セキュリティクラスタの話題に事欠かない1カ月でした。

話題豊富な「Black Hat USA 2012」、日本からも登壇

　7月25日、26日には米ラスベガスでBlack Hat USA 2012が開催されました。今年のBlack Hatは例年に比べて内容が濃かったためか、現地からのツイートも多く、タイムライン（TL）を追うだけでも大変な2日間でした。

　1日目はまず、元FBI捜査官ショーン・ヘンリー氏のサイバーテロに関する基調講演で始まり、BluetoothによるNFC（近距離無線通信）機能を備えたAndroidスマートフォンへのハッキングなどが話題となりました。後者のケースでは、端末を持って近寄るだけでクラックされてしまうそうです。ただでさえマルウェアが怖いといわれるAndroidですが、さらなる危険性が指摘されてしまいました。

　また、日本ではあまり話題に上らない、インターネット以外の分野のセキュリティに関して驚くような発表もありました。電力の計測に使われるスマートメーターをハッキングしたり、ホテルのカードキーをハッキングしてどんなドアでも開き放題にするといった内容です。世界的に大きな関心を呼んでいたようで、これらの話題を取り上げたツイートも多かったです。

　2日目は有名な暗号研究家のブルース・シュナイアー氏のスピーチがありました。また、米Appleの従業員が初めてBlack Hatに参加することも話題となり、このセッションについても多くのツイートがありました。iOSのセキュリティがテーマでしたが、あまり深い内容ではなかったようで、TLからは不満の声も上がっていました。iOSに関するセッションはほかにもあり、AndroidやiOSなどスマートフォンに関連するツイートが多数ありました。

【関連記事】 Apple、「Black Hat USA」に初登壇へ――テーマはiOSセキュリティ（ITmedia） http://www.itmedia.co.jp/news/articles/1207/25/news034.html

　そのほか、Netgearの無線LANルータに対するSQLインジェクションや、Windows 8のセキュリティをテーマとしたセッションも関心を呼んでいたようでした。

　この日は、日本からのスピーカーも登場しました。フォティーンフォティ技術研究所の大居司さん（@a4lg）さんによる、Windows Phone 7のセキュリティをテーマとしたセッションです。スマートフォンOSとしてはiOSやAndroidに比べまだ影が薄いので、参加者は少なめだったようですが、過去にも数人しかいない日本人によるセッションを無事に終えました。お疲れさまでした。

【関連リンク】 Black Hat USA 2012 http://www.blackhat.com/usa/ Black Hat 2012 1日目まとめ - Togetter http://togetter.com/li/345591 Black Hat 2012 2日目まとめ - Togetter http://togetter.com/li/345581

DEFCON 20も開催、CTFの結果は……？

　ラスベガスではBlack Hatに続き、DEFCON 20が開催されました。こちらは入場料もBlack Hatほど掛からず、全体的に「大きなオフ会」といった趣です。

　DEFCONでもBlackHat同様、MS-CHAP v2やHuaweiのルータを対象にしたクラックを取り上げるなど、技術的なセッションが多く開かれるほか、いろいろなイベントが行われます。が、Black Hatに比べると、お祭りに近い会場の雰囲気を楽しんでいた人が多かったようで、ツイートも少しくだけた感じでした。

　ただ、刀でパケットを切っていた参加者の姿が話題になった去年に比べると、今年は日本人のツイートが少なかった気がします。もしかすると日本からの参加者の多くはCTFで手がいっぱいでそれどころではなかったのか、あるいは会場の無線LANに接続するのは気が引けたのかもしれません（DEFCON会場で提供される無線LANアクセスポイントに接続して平文で通信すると、会場にさらされてしまいます。過去にも何人かの日本人参加者がさらされました）。

　メインイベントのCTFには、先月の予選を突破した「Sutegoma2」も参加しました。このことは日本テレビのニュースで報道されたようです。テレビで初めて彼らのことを知った人たちの「なぜ『Sutegoma』っていう名前なの？」「なんで『2』なんだ？」という疑問の声が面白かったです。

　さて肝心のCTFですが、最初の方は少しもスコアを獲得できず、去年同様いろいろ苦労したようでしたが、最後の最後で追い上げを見せていました。上位入賞はかないませんでしたが、また来年もラスベガスで戦えるといいですね。

　チームSutegoma2はDEFCON CTFの前にも、フランスで開催された「Nuit Du Hack」、台湾で行われた「HITCON」、韓国で開催された「SECUINSIDE」のCTFにも参加しており、まるでプロCTFファイターのような活躍ぶりでした。よく体力が持つと感心します。tessyさんをはじめとするSutegoma2の方々、お疲れさまでした。そして、ツイートもありがとうございます。

【関連リンク】 DEFCON 20日本人まとめ - Togetter http://togetter.com/li/346123

財務省のPC 123台がウイルス感染、情報流出が話題に

　7月20日には、日本の財務省のPCがウイルスに感染し、2年以上にわたって情報が流出していた件が話題になりました。財務省には2000台ほどの端末があったそうですが、そのうち123台ということは、感染率は約5％。非常に高い割合といえるでしょう。

　財務省という国の重要な情報が集まっている組織の端末が被害を受けた事実、そして感染台数の多さからTwitterでも大きな話題となり、「『ウイルス対策ソフトが検知しない未知のウイルス』って何だ」「長期間検知できないなんて何も対策していなかったに等しい」などの批判の声が上がりました。また、いったい誰が情報収集していたのか心配する声もありました。

　同省は再発防止策の1つとして、「外部とやりとりできるファイルの容量を制限する」という対策を挙げましたが、これには「制限するのはそこじゃないだろ」という突っ込みが多数入りました。

【関連リンク】 財務省123台のパソコンがウイルスに感染して情報流出しているかもしれない件まとめ - NAVER まとめ http://matome.naver.jp/odai/2134276585856004701

　7月にはその他にも、国内ではカルピスから9万5000件、ソフトウェア販売サイトのネットライドから1万8000件あまりの個人情報が流出したほか、海外でもアメリカのYahoo!から45万人、Formspringから42万、Nvidiaから40万、韓国のKTから870万人分の個人情報、MMOのGamigoから820万件のメールアドレスが流出するなど、世界的に情報流出が話題になっていました。

セキュリティクラスタ、7月の小ネタ

　このほかにも、7月のセキュリティクラスタでは以下のようなことが話題となりました。8月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

• OpJapan落ち着く。Anonymous、渋谷でゴミ拾いオフ会
• 毎年恒例!? 夏のBIND祭り
• NTTドコモのSPモードにまたまた障害で困る人続出
• 書籍「めんどうくさいWebセキュリティ」、校正をめんどくさがった模様
• Tポイント、個人が購入した医薬品のデータを取得していることが分かり大騒ぎ
• Windows UpdateによるXPのブルースクリーン祭り発生
• DNS Changerの暫定サーバ運用が停止されるが、日本で大きな騒ぎにはならず
• ブラクラを作った中学生がウイルス作成罪で補導
• WhiteHackerz、トロイにやられたものの、めげずにハッキングチャレンジサイト『8946』オープン

Profile

山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年6月版へ

セキュリティクラスタまとめのまとめ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）