脅威に打ち勝つために情報武装せよ
DEFCONの向こうにある安全な世界を目指して
滝口 博昭
株式会社ラック
JSOC事業部 MSS部 アナリスト
CISSP
2008/9/29
DEFCON16セッションで現在の脅威を認識し、将来に向け私たちができることを考えよう。DEFCONレポートシリーズ最終章。(編集部)
DEFCON独特の雰囲気を紹介した「突撃! ハッカーの祭典「DEFCON16」in ラスベガス」に続き、本記事ではそこでの講演内容をもとに、セキュリティインシデントに対するトレンドを中心にレポートしよう。
DEFCON、そして海外セミナー参加の心構え
講演全体についての感想だが、マルウェア解析やFuzzing、ハードウェア関連のハッキングなどの講演が多いと感じられた。最終的にどのような被害に遭うのかを分析する技術。脆弱性そのものを見つける技術。ハードウェアに対するセキュリティ技術。いずれも時代が変化してもセキュリティ対策を考えるうえでは必要不可欠な技術だ。今後もこれらに対する研究はさまざまなセミナーで講演されると思われるので、動向に注目すべきだろう。
次に、会場の雰囲気についての感想だが、かなり厳しい制限が設けられていたように感じられた。まず第1に写真撮影に制限が設けられていた。これは去年、NBCのニュース番組Datelineが偽装して潜入取材を試みたことも影響していると思われる。
講演の入場に関しても制限が設けられていた。DEFCONの講演ブースは複数存在し、並行して講演が行われている。このため、聴きたい講演に対して、参加者は前の席を確保しようとまだ前の講演が終わっていないブースに移動し、ブース横の壁に座る。これをDEFCONスタッフが阻止したのだ。スタッフは公平性を保つために、講演終了後にいったん参加者全員をブースの外に出し、その後で並ばせて再度ブースに入場させていた。これにより一番人気だと思われるダン・カミンスキー(Dan Kaminsky)氏によるDNSキャッシュポイズニングの講演では、どこまで続くのか!? と思われるくらいの列が作られた。
これらの制限により、講演に参加するハッカーたちは自由にコミュニケーションが図れ、または聴きたいセッションを公平に聴けたのではないかと思う。これで参加費が120ドルなのだからアメリカに住んでいるセキュリティ関係者は参加しないわけがない。日本からラスベガスまでの費用がもう少し安ければ、きっと日本人もたくさん参加するだろう。
●英会話能力に不安があっても、名刺があればなんとかなるさ!
次に、私がチャレンジした海外の方とのコミュニケーションについて少し触れておきたい。私は海外に行くのは好きなのだが、英語力は日常会話レベルしかない。DEFCONに参加すれば当然技術用語がたくさん飛び交うが、講演の中で飛び交う英語は資料が手元にあるわけだから予習、復習を行えばなんとかなるものだ。しかしQ&Aではそうはいかない。相手とのやりとりが発生するからだ。そこで私は「メール」でのやりとりをお勧めしたい。私の場合はまず質問したい内容を考えるのではなく、とにかく相手に顔と名前を覚えていただき、相手のメールアドレスを聞きだすことに専念した。
講演が終わってQ&Aが始まったらまず直接相手とあいさつする。握手までできればなおよい。そしてすかさず自分の名刺を渡すのだ。DEFCONの場合は相手が名刺を持っている確率が低い。お堅いセミナーではなくビールを飲みながら交わされるコミュニケーションの場に名刺はいらないと考えているのだろう。
しかしあえて私は名刺を渡した。そして相手の名刺を催促するのではなく、ないこと前提で相手にこういうのだ。「私は日本から来たセキュリティに興味を持つ人ですが、英語があまり話せないのでメールで質問してもよろしいですか? よかったらこのメモにメールアドレスを書いてください」と。あとは辞書片手に頑張ってメールを書けばよい。
この方法で今回のDEFCONでは、名刺を渡した相手と100%の確率でメールのやりとりが行えた。海外に興味があるけどコミュニケーションがあまり取れない方にはお勧めだ。ただこの方法は会話を回避しただけにすぎないので、勇気があるのならボイスレコーダ片手に質問してみるのもよいかもしれない。
注目の集まる“DNSキャッシュポイズニング”講演
カミンスキー氏によるキャッシュポイズニングの講演は、攻撃手法などが事前にリークされていたこともあり、各プロトコルとDNSがどれほど関連しているかを説明しながら、ポイズニングの被害に遭った場合のリスクを話していた。
講演のすべてを紹介することはできないが、その中の1つであるSSLとDNSの関連の話が興味深い内容であった。サーバ証明書をきちんと確認していないユーザーにとっては「SSLであれば安全だ」という言葉だけ頭に入っており、その状況でDNSキャッシュポイズニングの被害に遭ったとしても、ユーザーはドメイン名と見ているサイトに大きな変化がなければ信用してしまうことが多い。よって機密性も大事だが、完全性を根幹から脅かすDNSの脅威についても考えなければならない、とセキュリティの観点から話していた。
個人的には、自ネットワークで管理しているユーザー数が多いほどこの攻撃の影響範囲が大きいのではないかと思う。よって、ISPなど不特定多数のユーザー向けにDNSサービスを提供している企業は、早急に対策する必要があると思う。
また、カミンスキー氏はインターネットから直接アクセスできないDNSサーバに関してもキャッシュポイズニングを行うことは可能であると話していた。DNSサービス管理者は、その設置場所がファイアウォールの内外にかかわらず対策することが必要である。
| 【関連記事】 DNSキャッシュポイズニングの影響と対策 前編 カミンスキー氏が発表したDNSアタック手法と対策例 http://www.atmarkit.co.jp/fsecurity/special/130dnspoisoning1/dnspoisoning01.html 後編 DNSキャッシュポイズニングの原因・対策・その理由 http://www.atmarkit.co.jp/fsecurity/special/131dnspoisoning2/dnspoisoning01.html |
| ←チーム「dumbtech」、 Sexy Hacking Girlsへの挑戦 |
1/3 |
 |
| Index | |
| DEFCONの向こうにある安全な世界を目指して | |
 |
Page1 DEFCON、そして海外セミナー参加の心構え 注目の集まる“DNSキャッシュポイズニング”講演 |
| Page2 現実の脅威を引き起こす「ゲームの世界」 プライバシー観、EUと日本の違い |
|
| Page3 Internet Wars、その傾向と対策 エンジニアよ、海外の仲間とも情報共有せよ! |
|
| 関連記事 | |
| 突撃! ハッカーの祭典「DEFCON16」in ラスベガス | |
| チーム「dumbtech」、Sexy Hacking Girlsへの挑戦 | |
| DEFCONの向こうにある安全な世界を目指して | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
