★☆★JNSAメールマガジン 第169号 2019.8.23 ☆★☆
こんにちは
JNSAメールマガジン 第169号 をお届けします。
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは、8月3日からラスベガスで開催された「BlackHat USA 2019」について、SECCON Beginnersリーダーの米内貴志氏にご寄稿いただきました。
BlackHat USA 2019 参加記
株式会社 Flatt Security / SECCON Beginners リーダー
米内 貴志
2019年8月3日から8月8日の間、BlackHat USA 2019が開催されました。
BlackHat は毎年約2万人の参加者を擁するカンファレンスであり、直後に開催されたDEFCONと並び、世界最高峰のセキュリティ技術者が集まるイベントです。
会期中はトレーニング・ブリーフィング・アーセナル・ビジネスホールなど、多種多様でレベルの高いコンテンツが6日間に渡って提供されました。本稿では筆者が特に印象的に感じた2つの発表を紹介したいと思います。
まず初めに紹介するのは、James Kettle氏による発表「HTTP Desync Attacks: Smashing into the Cell Next Door」です。この発表ではWebアプリケーションよりも下のレイヤにあたる部分の不備――具体的にはTransfer-EncodingヘッダとContent-Lengthヘッダがともに指定してあるHTTPリクエストを処理する際の不備――を利用した攻撃の提案と、その攻撃の現実世界での適用例の紹介がなされました。彼が提案した攻撃手法により、攻撃者は他者のHTTPリクエストに変更を加えたり、通常では発行され得ないようなリクエストをWebアプリケーションに対して発行することができます。実際に彼はいくつかの著名なWebサービスにおいてこの攻撃を成功させており、その報告を通して多額の報奨金を獲得しています。今回提案された攻撃手法のリスクの高さが伺い知れますね。
ところで発表者であるJames氏は昨年開催された BlackHat USA 2018 においても、Webアプリケーションのインフラ部分の不備を利用した攻撃を提案・実証しています。近年Webを取り巻く技術が複雑化してきている事実を鑑みると、今後このような攻撃の発展はしばらく続くのかもしれない、と筆者は感じました。今後はより幅広いレイヤの技術動向に敏感にならなくては、と身を引き締めた次第です。
次にOrange Tsai氏による発表「Infiltrating Corporate Intranet Like NSA - Pre-auth RCE on Leading SSL VPNs」について紹介します。この発表では、彼が見つけたいくつかのVPNルータの認証前における脆弱性について、どのようにそれを発見したかが語られました。その手法の面白さもさることながら、彼が発見した脆弱性の実社会における影響度の大きさには眼を見張るものがあります。またVPNルータのようなセキュリティを意識すべき製品であっても、こうも粗雑な作りがなされているものがあるのか、という驚きがありました。
セキュリティのためのプロダクトだからそれ自体もセキュアである、という先入観は持つべきではなさそうです。
また個人的にはOrange氏の発表中の楽しそうな姿を見て、同じアジアに生きる情報セキュリティ分野の愛好家として、彼のようになりたいという憧れを抱きました。この発表に限らず、最前線で輝く研究者を沢山見たことで、なんだかやる気が大幅に向上した気がします。
以上、ここまでで紹介した2つのセッションの内容からは、BlackHat USAの発表のレベルの高さが伺い知れることかと思います。またここでは紹介しなかった他のセッションやアーセナル、ビジネスホールにおいても、好奇心をくすぐる発表が多くありました。筆者は都合により参加できませんでしたが、数多く併催されているベンダー主催のパーティーでの他技術者とのコミュニーケーションも非常に良い刺激となることでしょう。これらに加えて、今回が初参加である筆者の目には、そこに集まる参加者も魅力の一つであるように見えました。
BlackHatやDEFCONにはしばしばレジェンドと呼ばれるような専門家もこぞって参加しているのです。筆者もこのチャンスを逃すまいと、現地では多くの研究者とのディスカッションの機会を設けました。ここで得られた知見はかげがえのない財産になったと確信しています。
情報セキュリティ分野を愛する専門家たちが一堂に会し、数日間どっぷりとこの分野に浸かれる BlackHat。みなさんも一度参加してみてはいかがでしょうか。
#連載リレーコラム、ここまで
<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン169号の感想をお寄せください。
https://bit.ly/31WcfSI
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★会員交流部会主催で勉強会(会員限定)を開催します。
テーマ:「デジタルファースト時代における企業の準備」
日 時:2019年9月3日15:00-17:00
ご参加ご希望の方は事務局までご連絡下さい。
★「CTF for GIRLS 第12 回ワークショップ(学生優先)」参加登録受付中!
登録は8月25日まで↓
https://www.seccon.jp/2019/ctf4girls_1/ctf_for_girls_12.html
★「SECCONビギナーズ金沢」、 「SECCON Workshop広島」の参加登録受付中!
詳細・登録は「SECCON2019」から↓
https://www.seccon.jp/2019/
【事務局からのお知らせ】
★「JNSA全国横断セキュリティセミナー2019」参加受付を開始しました。
参加者にはCAISとCISSPポイント、ITC実践力ポイントも付与されます。
全国5か所(名古屋9/13、東京9/25、10/4大阪、10/23札幌、11/7那覇)で開催します。
初回[名古屋会場]
日程:2019年9月13日(金)13時30分〜17時00分
会場:ウインクあいち(名古屋市中村区名駅4-4-38)
申込、他会場の情報はこちらをご覧下さい!
http://www.jnsa.org/seminar/2019/cross2019/
★ゲーム教育WGでは、【セキュ狼】解説動画を4本公開、情報科学専門学校の学生と共同開発したAndroid用無料アプリもリリースしました。
「セキュ狼」紹介ページよりご覧ください。
https://www.jnsa.org/edu/secgame/secwerewolf/secwerewolf.html#sw_youtube
★独立行政法人情報処理推進機構様では「「中小企業の情報セキュリティマネジメント指導事業」参加企業を募集しています。
詳細は以下をご覧ください
https://www.ipa.go.jp/security/keihatsu/sme/management.html
★JNSAは、(ISC)2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。受講の際にはぜひ事務局までご連絡下さい。
SANSトレーニング11月のお申込み受付を開始しました!
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第169号
発信日:2019年8月23日
発 行:JNSA事務局 
*************************************
