東京での開催が2年目となるコンピュータセキュリティカンファレンス「ブラックハット・ジャパン・2005・ブリーフィングス」が、京王プラザホテルにて18日まで開催している。初日の17日は、1997年にブラックハット(Black Hat)を創設したジェフ・モス氏が挨拶に立ったほか、基調講演には情報セキュリティ大学院大学の内田勝也助教授が登壇した。
|
|
1997年にブラックハット(Black Hat)を創設したジェフ・モス氏
|
基調講演に登壇した情報セキュリティ大学院大学の内田助教授
|
● 賢者は歴史から学ぶ
「愚者は経験から学び、賢者は歴史から学ぶ」と、19世紀のドイツの政治家であるビスマルクの言葉を引用し、内田氏も「サイバースペースでのインシデントなどを振り返ってみる必要がある」という。
インターネットの原型となったARPAnetが1969年に米国防総省に導入されて以来、40年近く経過。さまざまなコンピュータをめぐる事件があった。米Xeroxのパロアルト研究所では、夜間に稼働していないコンピュータを効率的に使おうと導入された“Vampireプログラム”にバグがあったせいで、翌朝には全てのコンピュータがクラッシュしてしまったという。また、IBMのメインフレームなどを利用していた学術ネットワーク「BITNET」では、1987年12月にクリスマスカードを偽装したトロイの木馬型プログラム「CHRISTMA exec」が感染を拡大したこともある。
|
|
米Xeroxのパロアルト研究所では、“Vampireプログラム”のバグで全てのコンピュータがクラッシュしてしまった
|
BITNETではクリスマスカードを偽装したトロイの木馬が流行したこともある
|
中でも1988年に発生した、当時コーネル大学大学院生であったロバート・タッパン・モーリス・ジュニア氏によるDDoS攻撃は「史上最大のDDoS攻撃だった」という。モーリス氏は、BSD 4.2/4.3の脆弱性を悪用するワーム型ウイルスを作成。当時誰でも読み出すことができたパスワードファイルから、ハッシュ化されたパスワードを推測し、バッファオーバーフローを引き起こして、管理者権限を奪取した。内田氏によれば当時インターネットに接続していたコンピュータ6万台のうち1割にあたる約6千台が感染したという。
「ハッシュ化されたパスワードからは元のパスワードに復元できないと考えられていたが、モーリス氏はハッシュ化したパスワードが同じであれば元のパスワードを推測できると考えた」と内田氏は言う。システム開発者はハッシュ化することで防御できると考えたが、ハッカーは推測することで暗号化したはずのパスワードを突き止めてしまったのだ。
|
|
モーリス氏による“史上最大のDDoS攻撃”
|
ハッシュ化したパスワードを推測したという
|
内田氏は、現在でもシステム開発者とハッカー側の意識に差があると強調する。「例えば、オンラインバンキングでは暗証番号は3回失敗すると入力できなくなるが、暗証番号を固定して口座番号を変更するハッキングに対しては防御できないのではないか。ハッカーの気持ちになってシステムを構築する必要がある」と指摘した。
● ボットが仕込まれたPCを「無料で配っている」!?
|
2001年に流行したCodeRed。「DDoS攻撃を行なう“兵隊”を自動的に作り上げるところは、現在話題になっているボットとあまり大きな違いはない」という
|
DDoS攻撃については、2001年に発生したワーム型ウイルス「CodeRed」を挙げた。CodeRedはマイクロソフトのIISの脆弱性「MS01-033」を利用するウイルスで、感染したコンピュータが特定のIPアドレスに対してDoS攻撃を行なうことが特徴だ。
「CodeRedは75万のコンピュータに感染した。DDoS攻撃を行なう“兵隊”を自動的に作り上げるところは、現在話題になっているボットとあまり大きな違いはない」という。また、ボットが仕込まれたPCが増えている点について、ウイルスによる感染以外にボットに感染したPCを無料で配る人たちがいると指摘する。
内田氏はニュースソースは明らかにしなかったものの、「信頼できる筋から入手した」情報だとして、「退職した人などをターゲットに、『無料で使えるからインターネットに接続しませんか』などとボットに感染したPCを配っている人たちがいるようだ」と述べた。
● オレオレ詐欺は日本ならでは
|
ウイルス対策ソフトやフィルタリングソフトのように症状を和らげるだけの「対症療法」にとどまっているのがセキュリティ対策の現状だ
|
このほか、「オレオレ詐欺は日本ならではの問題」と指摘。「銀行口座を開くために手数料が必要な米国では起こりえない」という。さらに個人情報保護法に関しても言及し、「(個人情報を漏洩した)個人が罰せられないことは問題」と述べ、今後同法律の修正があるのではないかとの見解を示した。
「セキュリティに対する治療は病気と同じだ」と内田氏。本来、身体に抵抗力を付ける「根本治療」や、病気に罹ってしまった場合に原因を取り除く「原因治療」が必要だが、現実はウイルス対策ソフトやフィルタリングソフトのように症状を和らげるだけの「対症療法」にとどまっている。
脆弱性を根本的に直すにはOSレベルから改善する必要がある。また、ボットに感染したPCの配布といったソーシャルエンジニアリング的な手法に対抗するには「啓蒙や教育が不可欠」(内田氏)。「パスワードの教育を行なっているか」という内田氏の質問に、会場の反応は1割程度。「日本はセキュリティアウェアネス(安全意識)が低い。1割程度の実施率でいいのだろうか」と問題提起して講演を締めくくった。
関連情報
■URL
ブラックハット・ジャパン・2005・ブリーフィングス
http://www.blackhat.com/html/bh-japan-05/bh-jp-05-jp-index.html
基調講演
http://www.blackhat.com/html/bh-japan-05/bh-jp-05-jp-speakers.html#Uchida
関連記事:ワーム「Code Red」被害拡大、東京めたりっくなどで被害続出
http://internet.watch.impress.co.jp/www/article/2001/0806/codered.htm
( 鷹木 創 )
2005/10/17 18:49
- ページの先頭へ-
|