★☆★JNSAメールマガジン 第96号 2016.10.7☆★☆

こんにちは
JNSAメールマガジン 第96号 をお届けします。
今週はCEATEC JAPAN 2016(http://www.ceatec.com/ja/)や越後湯沢での 情報セキュリティワークショップ(http://anisec.jp/yuzawa/)など、情報 セキュリティ関連のイベントが開催されていますね。

世界的な情報セキュリティイベントとして有名なのは、8月にラスベガスで 開催されるDEFCONです。今回のリレーコラムでは、今年8月にネバダ州 ラスベガスで行われた、「DEFCON」のレポートをJNSA幹事でアルテア・ セキュリティ・コンサルティング代表の二木真明様に、ご寄稿いただきました。

【連載リレーコラム】
サイバー旅行記:DEFCON24編

(JNSA幹事/アルテア・セキュリティ・コンサルティング 代表/二木 真明)

毎年、8月に米国ネバダ州ラスベガスで開催されるDEFCONは今年で24回目を数えます。世界中からハッカーやセキュリティの研究者たちが集まる「真夏の祭典」で、毎年、様々なハッキング手法や脆弱性の情報が発表され、話題となることも多いイベントです。また、セキュリティ技術を競うCTF競技の老舗で、このイベントで開かれる本戦は、世界最高峰のCTFと言われています。

この10年ほど、毎年のように参加していますが、年々参加者が増加していて、会場も次第に大きくなっています。事前登録はなく、当日受付に行って参加費を現金で払い、バッジを受け取るという参加方式をずっと貫いており、受付開始直後は、長蛇の列となります。これまでに、3,4時間の待ち時間も何度か経験しましたが、幸いにも今年は行った時間が少し早かったのと、受付の数も増えていて30分ほどでバッジをゲットできました。ちなみに、DEFCONのバッジは、毎年趣向をこらしていて、多くの場合電子回路基板になっています。マイコンとLEDやUSB端子などが付いていて、このバッジをハックするのもハードウエア系ハッカーの楽しみのひとつです。イベントでは、バッジ改造コンテストなども開かれるため、電子工作キット持参で参加する強者もいます。

さて、ここ数年、私の興味は自動車や制御システム、IoT関連の話題に向いているので、今年も、そのあたりを中心にセッションを聞きました。講演は3トラックのメイン会場と、特定の興味分野に特化したビレッジというエリアなどでも行われます。ビレッジには、IoTビレッジ、CAR Hackingビレッジといったものや、ソーシャルエンジニアリングをテーマにしたものなど、様々なものがあります。

IoTビレッジの小部屋では、IoT関連の問題に関する講演や、デモ、ワークショップなどが開かれています。私が見に行った時には、GEの冷蔵庫を例に、家電ハッキングで周囲に物理的な影響を与える、Kinetic Cyber 攻撃の可能性についての研究発表が行われていました。一時的に温度を上げて中身を劣化させ、それから温度を元に戻すのにどれくらい時間がかかるかといった実験や、製氷装置への給水をあふれさせ、周囲を水浸しにする実験、氷を砕く機構を暴走させ過熱させる実験などが紹介されていました。これらは、冷蔵庫のメンテナンス用USBポートに市販されている機器を接続することで行われ、同様の方法はGEの多くのスマート家電に応用できるとのことでした。直接のアクセスが必要になるため、ただちに悪用される可能性は低いですが、今後、これらがネットワークに接続されるようになった場合に、こうした問題が発生しないかどうか気になるところです。

Car Hacking ビレッジでは、実際に自動車のシステムを分解して、リバースエンジニアリングし、制御したり、情報を取得したりするデモが行われており、最も目を引いたのが、実車をコントローラ代わりにしてレースゲームをやるというコーナーでした。実際に運転席に座ってハンドル、アクセル、ブレーキなどを操作すると、それがゲーム機と連動して、前のスクリーンのレースゲーム画面が動くといった感じで、アーケードのレースゲームの感覚です。体験の順番待ちで長蛇の列ができていました。こうしたことが出来る背景には、車の多くの部分が電子化され、「ドライブ・バイ・ワイヤー」化が進んでいることが挙げられます。ゲーム機に送られる信号は、本来、車の各機構に送られるものですから、裏を返せば、これらはすべてコンピュータによって操作できるということになります。そういう意味で、自動運転車の素地はすでにできあがっていて、後は頭脳部分だけ・・・という印象を受けます。同時に、こうしたコンピュータシステムの安全をどう保っていくのかが、一層大きな課題になってくるのは間違いないでしょう。

興味深いといえば、米国国防省の研究機関DARPAがスポンサーとなって開催された Cyber Grand Challengeもその一つです。コンピュータ(AI)を参加者としたCTF大会で、すべてコンピュータだけで競技が行われます。昨今、深層学習アルゴリズムの進化やコンピュータの性能向上で、AIの応用がだんだん広がっています。セキュリティの世界でもAI活用という話が聞かれるようになりましたが、おそらくダークサイドでもAI活用は進んでいくと思われ、10年ほど後には、我々の最大の敵は「悪のAI」になっているかもしれません。そんな時代では、我々もAIを味方につけないと勝負にならなくなる可能性もあります。2045年にAIが人を越えると言われ始めて久しいですが、現実にはもっと早いのかもしれません。演算能力は既に人がはるかに及ばない領域にあり、これに知能、つまり経験を抽象化したり、そこから何かを見つけ出すような能力が加われば、それが人には及ばないレベルでも、様々な活用が期待できます。もちろん、これは人にとって大きな助けになる一方で脅威にもなり得ます。こうしたイベントを見るにつけ、そろそろ真剣にAIとの付き合い方を考えた方がいいと思うのです。

最後に、聞いたセッションをいくつか紹介しておきましょう。最近、IoTデバイスで、不要なサービス(たとえばtelnet)などがオープンになっていることが原因でマルウエア感染が多発するといった話題がよく聞かれます。今回のDEFCONでは、これに加えてVNCの危険性が指摘されていました。リモートコンソールサービスであるVNCがインターネット上に開けっ放しになったIoTデバイスが多数有り、それらの中には、医療系のシステムや、船の制御システム、工業系のシステムなども含まれ、SHODANで検索できてしまうといった話です。システムの管理用ユーザインターフェイス(GUI)に直接アクセスできるケースも多く、注意していく必要があるでしょう。ちょっと変わった視点では、家庭用の「セキュリティカメラ」の耐久性を調べるような研究もありました。単純な「ハッキング」ではなく、本来の機能である「監視」「記録」といった機能が、攻撃にどの程度耐えられるかといった視点での実験です。結果として、WiFi接続機種の多くが比較的簡単に接続妨害ができたり、停止させても何のアラームも発生しないなど、「セキュリティ」用途にはちょっと使えないという物も少なくないようです。一般家庭で防犯目的でWebカメラを設置するようなケースも増えていますが、こうした点にも注意が必要かもしれません。

さて、DEFCONをすべて語るのは、なかなか困難です。参加する人によって、その目的も異なりますから、自分の興味を持ったところに集中して参加するというのが、一番いいかもしれません。今年の参加費は現金で240ドル、10年前の100ドルから見ると2倍以上に高騰していますが、それでも、直前に行われるブラックハットと比較すると、一桁安い参加費なので、とりあえずマニアックな部分だけかじってみたいという人にはいいかもしれません。ちなみに、私は毎年、夏休みをかねて参加していて、DEFCON半分で、ラスベガスを楽しんできます。博才はないのでカジノへはほとんど行かず、日帰りツアーなどに参加しているのですが、今年はエリア51ツアーに行って来ました。もちろん、中に入れたり、施設が見えるところまで近づける訳ではありませんが、なんとなくミステリーツアーっぽくて楽しかったです。英語に自信がある方は是非一度参加されてはいかがでしょう。

以下のURLに今年のDEFCON風景をまとめたスライドがありますので、ご覧ください。

https://drive.google.com/file/d/0B8gEneiHErcpaG5XcjBuYjJKcFk/view?usp=sharing


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★電子署名WGでは、10月26日(水)夜に以下の勉強会を行います。
ライトニングトーク発表者も募集中ですのでぜひ御参加下さい!

「JNSA電子署名WG秋祭り、オクトーバーフェスト!」
 日 時:2016年10月26日(水) 18:30〜21:00 (18:00開場予定)
 場 所:南部労政会館 第5会議室(ゲートシティ大崎 ウエストタワー2階)
http://www.hataraku.metro.tokyo.jp/soudan-c/center/access/office02.html
 参加申込:connpassイベントにてお申込みください。
http://connpass.com/event/41795/
 ※connpassでの申込みができない方は 事務局 宛にお申込み下さい。
  件名「JNSA電子署名WG祭(10/26)参加希望」
  内容「会社名/お名前/懇親会(会費制)への参加・不参加」

★IoTセキュリティWG主催セミナー、残席があと僅かとなりました。
ご参加ご希望の方は、早めにお申込下さい。
 
「IoTセキュリティセミナー」
 日時:2016年10月26日(水)13:00-17:30
 場所:日本IBM本社 301セミナールーム(中央区日本橋箱崎町19-21)
  ※参加申込はセミナーページから
  https://www.jnsa.org/seminar
/2016/1026/index.html

★内部不正WGインタビュー連載「日本の人事と内部不正」第2回は
富士通エフ・アイ・ピー株式会社様です。ぜひご覧下さい。
https://www.jnsa.org/result/2016/surv_soshiki/


【事務局からの連絡、お知らせ】 ★JNSA事務局がビルの3階から4階へ移転いたしました。
 なお、電話・FAX番号等は変更ございません。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局まで
お願いします。

*************************************
JNSAメールマガジン 第96号
発信日:2016年10月7日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C) Japan Network Security Association. All rights reserved.