ここ数年、毎年レポートしていたBlack Hat Briefings/ DefConに今年は参加しなかった。ベンダーやメーカーとの関係づくりを模索していた主催者の取り組みが形になり始め、現地レポートの役割も一段落と考えて、ひとまずお役ご免とさせてもらった。
過去5年ぐらいのBlack Hat/ DefConで記憶に残っているのは、05年のDefConのカギのピッキングのセッションだ。「"製品に関する情報の秘匿を徹底するメーカーのカギ"と"破られる可能性を公にするメーカーのカギ"、あなたならどちらのカギを利用するか?」という内容。
昔のカギの世界は極めて閉じており、構造を含むカギに関する情報は関係者にだけ伝えられ、秘密が厳守されていた。そのころ一般家庭で使用されていたカギは、コツさえつかめば誰でも開けられるほど構造はシンプル。ただ、情報漏れがごく一部にとどめられていたからカギは安全だった。
ところが今や、ネットを少し検索するだけで、カギの構造やピッキングの仕組みなどの情報を簡単に手に入れられる。以前のようにメーカーが脆弱性に口を閉ざすだけでは、カギの信頼性を維持できない。DefConのセッションでは、カギの歴史を紹介しながら、ちょっとしたツールを使って、実際にそれらのカギを次々に開けてみせた。「カギは開く(開けられる)ということを念頭に置いて利用するべき」というのが講演者のメッセージで、結論としてカギが破られる可能性などをちゃんと利用者に告知し、すぐに対応するメーカーのカギを選ぶことを勧めていた。
予告通りKaminsky氏がDNS脆弱性を発表
カギ業界の歴史は、ここ数年のBlack Hat/ DefConの動きに重ねられる。ネット時代のセキュリティにシフトする以前のソフトウエア業界は、昔のカギ業界のように脆弱性や欠点を明かさないことで安全性を維持していた。その情報を公にするDefConは目の敵にされていた。ところがブロードバンドが普及すると、脆弱性の漏れから1日と置かずに大規模な攻撃が行われる。脆弱性の情報をパートナーなどと共有し、ネット規模でのセキュリティのエコシステムを作らなければユーザーを守れなくなった。ベンダー側の方向転換で、情報公開をさけぶBlack Hat/ DefConとの溝が次第に埋まり、双方の歩み寄りも見られて、一昨年からは不動のNo1ターゲットだったMicrosoftがBlack Hatに本格参加している。
今年もDefCon会場のホテルでWindows端末の画面がわいせつ画像に変えられたりと、現地ではトラブル続出の模様。相変わらずの混乱ぶりのようだが、以下のような出来事が起こるのが今のBlack Hat/ DefConである。
The Wall of Sheep掲載拒否 : Black Hat/ DefConでは会場のネットワークを監視し、暗号化されていないユーザーIDやパスワードをキャプチャするとプロジェクタで大写しにする。フランスからのプレス登録者がBlack Hat Conferenceのプレスルームのネットワークをスニッフィングし、プレス関係者の情報を取得。The Wall of Sheepの管理者に提出したが、プレスルームが不可侵なスペースであることを理由に掲載を拒否。Black Hat主催者はプレスをターゲットにした行為を問題視して登録バッジを没収した。
Microsoft Active Protections Program : Microsoftが、セキュリティアップデートで対応するよりも早い段階で、脆弱性に関する情報をセキュリティソフトウエアベンダーなどと共有する新プログラムをBlack Hatで発表。
Kaminsky氏がDNS脆弱性の全貌を発表 : ドメイン乗っ取りの可能性があるDNSの脆弱性と対策の進捗状況について、セキュリティ研究者のDan Kaminsky氏が発表した。悪用されればWebの信頼性を地に落とすような危険をはらんでいたが、予告していたBlack Hatでの発表までの約1カ月、同氏がかたく口を閉ざしていたため、7月に業界全体が協調したようなパッチ群のリリースが行われた。
Black Hat/ DefConのすべてが安全と信頼性の向上に結びついているとは言えないのも事実だが、ハッカーコミュニティの取り組みをメーカーやベンダー、プレスに広げる主催者の試みがすでに定着した感がある。
発表阻止の訴訟が裏目に
ただ現在の路線が順風満帆というわけでもない。例えばDefConにおける講演者とMassachusetts Bay Transportation Authority(MBTA)のトラブルだ。マサチューセッツ工科大学の学生がボストンの地下鉄・バスで採用されている磁気およびRFIDカードシステムの脆弱性について発表する予定だったが、交通料金の詐取に利用される恐れがあるとしてMBTAが学生らを訴え、裁判所がComputer Fraud and Abuse Actに基づいて発表差し止めを命令した。
学生たちの発表は大学での研究内容の延長であり、悪用を避けるためにカギとなる情報が省かれていた。ところが裁判に発展したことで、学生たちが用意したプレゼンテーション以上の情報が裁判所を通じて公開されてしまっている。双方がセキュリティ保持に目を向けながら、全く逆の結果になってしまった。学生たちが提訴された後、電子フロンティア財団(EFF)が当事者の話を聞き、その上で学生たちの支援を表明している。DefConの歴史の中ではめずらしくない騒動だが、近年のBlack Hat/ DefConでは対立よりも、双方にメリットのある解決策が探られるケースが多いだけに残念だ。
かつては愉快犯が大半だったサイバー攻撃が金銭目的に占められるようになり、Black HatのみならずDefConでもMBTAの支払いシステムの脆弱性のような発表が行われるようになった。インターネットにつながるデバイスが増加し、サービスの種類が増えるにつれてBlack Hat/ DefConでカバーされるすそ野が広がっている。今回のMBTAのように、業界によっては過去のBlack Hat/ DefConの失敗が繰り返される。加えて問題はスケールだ。MBTAの脆弱性が悪用されれば、経済的なダメージは大きい。Black Hatではペースメーカーのような無線医療機器の脆弱性も取り上げられている。こちらは人命にかかわる問題だ。
今やBlack Hat/ DefConはカギのピッキングにとどまらず、金庫にも触れているような感じがする。当然ながら「金庫は開けられることを念頭に利用……」など許されない。Black Hat/ DefConのように衆人の議論をたきつける方法で、このようなすそ野の広がりとスケールの拡大に対処できるだろうか。この疑問を解消するようなアドレスが行われれば、また現地レポートを再開しようと思う。