2006'12.01.Fri
2006年10月5日、6日に新宿で開催され盛況のうちに幕を閉じた、国際セキュリティ会議 Black Hat Japan 2006 Briefings には、世界各国及び日本国内から、著名なコンピュータセキュリティのエキスパートが集結、世界トップクラスの研究成果と、知識・経験が発表されました。
会期中は、多数の入場者が訪れたばかりか、その選りすぐられた講師陣が海外でも話題を呼び、ヨーロッパ等国外からの参加者も多数来日しました。
同会議には今年も昨年に引き続き、日頃SCANに寄稿いただいている専門技術者の方が、レポーターとして、参加しました。「Winny」「カーネル内でのWindowsフォレンジック分析」「イントラネットへの外部からの攻撃」「AJAXウェブアプリケーションへの攻撃」等、BHJ2006 のハイライトの一部を紹介します。
------------
■ Winnyとウイルス
Winnyの知名度がここまで上がったのは、間違いなく各種ウイルスが引き起こした情報漏えい事件にある。暴露系ウイルスの中でもっとも有名なのがいわゆるキンタマウイルスであるが、Winny上で流通しているファイルの約3%がこのウイルスの関連ファイルであるとのことだった。
これらのウイルスはウイルス作成ツールにより作成されており、毎月数十種類という猛烈な勢いで亜種が登場している。このため、ウイルス対策ベンダの対策が追いついておらず、当分はこのままの状況が継続すると見込まれる。「ただし、同一ツールから作成されるウイルスであれば、それらをまとめて検知することができるはずで、そのような対策をウイルス対策ベンダに望みたい」という提言でこの話題は結ばれた。
■ Winnyを対象としたフォレンジック
冒頭に述べたとおり、ネットエージェントは業務としてWinnyに関する調査を請け負っているが、そこには多分にフォレンジック的な要素が含まれている。簡単ではあるが、そこで得られたノウハウの紹介がここで行われた。
情報漏えい系の事件の場合、問題のファイルの一次発信者の特定が重要になるが、一部の超人気ファイルを除けばほぼ間違いなくできる、と自信を見せていたのには少々驚いた。ネットエージェントが設置している複数の監視ポイントで収集したWinnyのキーの伝播状況を分析することにより可能になるとのことだったが、少なくともプロの手にかかれば、Winnyにはすでに匿名性はないということを再認識させられた。
また、特定のファイルがWinnyによって流出していないかどうかの調査を依頼されることもあるが、こちらは条件がそろっていないと難しいとのことだった。「問題のファイルのアクセス日時 = Winnyの最終起動時間」であれば、Winnyにより公開はされているものの、誰もダウンロードしていないということが明らかになる(Winnyは起動時に公開するファイルにアクセスするため)が、ウイルス対策ソフトウェアでディスクをスキャンしてしまうとアクセス日時が変更されてしまう。「ウイルスによるWinny経由での情報漏えいが疑われる場合、対処としてウイルススキャンを行うのは正しいが、フォレンジック的な証拠が消えてしまう」という、悩ましい問題の存在が語られた。
■ まとめ
本講演は色々な意味で「Blackhatならではの空気」を感じさせてくれた。
Winnyに関する数多くの「生きた」情報が紹介され、非常に参考になったのはもちろんだが、通常のセキュリティセミナーであれば、「この現状を踏まえて弊社が開発した対抗策が...」と製品紹介に繋がるだろう。しかし、Blackhatではそれがまったくないのだ。杉浦氏にしても、「ネットエージェントの代表」ではなく、「Winnyの専門家」という立場で講壇に立っており、同社で提供しているWinny関連のサービスについては、話の流れ上必要とされる程度にしか触れられなかった。ここで改めて、Blackhatは特定のベンダや商品を背景に持たない、最新のセキュリティ状況を追及する稀有な場であることを感じさせられた。
また、この講演に限って言えば、どうすればWinnyを“上手”に利用できるか?という側面が見え隠れしていたのが非常に印象的だった。本講演でもっとも盛り上がった場面は、「Winnyを利用するのであれば、どこのISPを利用するのがいいのか」という話題(こんな話題を採り上げられること自体、通常では考えられない)で、当初匿名で話されていたISP名の実名が、「うっかり」杉浦氏の口から出てしまった瞬間だった。
川淵キャプテンのオシム発言を髣髴させる流れで明らかにされたそのISP名は、もちろん講演資料には記されていないが、後日公開されるであろう音声ファイルを聞けば、誰でもそれを知ることができるだろう。そしてその音声ファイルを聞けば、筆者が感じた「Blackhatならではの空気」も感じることができるだろう。
【執筆:NTT東日本セキュリティオペレーションセンタ 日吉 龍】
URL : http://www.bflets.dyndns.org/
著作物 :不正侵入検知[IDS]入門 ――Snort&Tripwireの基礎と実践
http://www.gihyo.co.jp/books/syoseki.php/4-7741-1985-7
最新のセキュリティ情報メールマガジンの申込みはこちらから
http://www.ns-research.jp/cgi-bin/ct/p.cgi?07_scan
会期中は、多数の入場者が訪れたばかりか、その選りすぐられた講師陣が海外でも話題を呼び、ヨーロッパ等国外からの参加者も多数来日しました。
同会議には今年も昨年に引き続き、日頃SCANに寄稿いただいている専門技術者の方が、レポーターとして、参加しました。「Winny」「カーネル内でのWindowsフォレンジック分析」「イントラネットへの外部からの攻撃」「AJAXウェブアプリケーションへの攻撃」等、BHJ2006 のハイライトの一部を紹介します。
------------
■ Winnyとウイルス
Winnyの知名度がここまで上がったのは、間違いなく各種ウイルスが引き起こした情報漏えい事件にある。暴露系ウイルスの中でもっとも有名なのがいわゆるキンタマウイルスであるが、Winny上で流通しているファイルの約3%がこのウイルスの関連ファイルであるとのことだった。
これらのウイルスはウイルス作成ツールにより作成されており、毎月数十種類という猛烈な勢いで亜種が登場している。このため、ウイルス対策ベンダの対策が追いついておらず、当分はこのままの状況が継続すると見込まれる。「ただし、同一ツールから作成されるウイルスであれば、それらをまとめて検知することができるはずで、そのような対策をウイルス対策ベンダに望みたい」という提言でこの話題は結ばれた。
■ Winnyを対象としたフォレンジック
冒頭に述べたとおり、ネットエージェントは業務としてWinnyに関する調査を請け負っているが、そこには多分にフォレンジック的な要素が含まれている。簡単ではあるが、そこで得られたノウハウの紹介がここで行われた。
情報漏えい系の事件の場合、問題のファイルの一次発信者の特定が重要になるが、一部の超人気ファイルを除けばほぼ間違いなくできる、と自信を見せていたのには少々驚いた。ネットエージェントが設置している複数の監視ポイントで収集したWinnyのキーの伝播状況を分析することにより可能になるとのことだったが、少なくともプロの手にかかれば、Winnyにはすでに匿名性はないということを再認識させられた。
また、特定のファイルがWinnyによって流出していないかどうかの調査を依頼されることもあるが、こちらは条件がそろっていないと難しいとのことだった。「問題のファイルのアクセス日時 = Winnyの最終起動時間」であれば、Winnyにより公開はされているものの、誰もダウンロードしていないということが明らかになる(Winnyは起動時に公開するファイルにアクセスするため)が、ウイルス対策ソフトウェアでディスクをスキャンしてしまうとアクセス日時が変更されてしまう。「ウイルスによるWinny経由での情報漏えいが疑われる場合、対処としてウイルススキャンを行うのは正しいが、フォレンジック的な証拠が消えてしまう」という、悩ましい問題の存在が語られた。
■ まとめ
本講演は色々な意味で「Blackhatならではの空気」を感じさせてくれた。
Winnyに関する数多くの「生きた」情報が紹介され、非常に参考になったのはもちろんだが、通常のセキュリティセミナーであれば、「この現状を踏まえて弊社が開発した対抗策が...」と製品紹介に繋がるだろう。しかし、Blackhatではそれがまったくないのだ。杉浦氏にしても、「ネットエージェントの代表」ではなく、「Winnyの専門家」という立場で講壇に立っており、同社で提供しているWinny関連のサービスについては、話の流れ上必要とされる程度にしか触れられなかった。ここで改めて、Blackhatは特定のベンダや商品を背景に持たない、最新のセキュリティ状況を追及する稀有な場であることを感じさせられた。
また、この講演に限って言えば、どうすればWinnyを“上手”に利用できるか?という側面が見え隠れしていたのが非常に印象的だった。本講演でもっとも盛り上がった場面は、「Winnyを利用するのであれば、どこのISPを利用するのがいいのか」という話題(こんな話題を採り上げられること自体、通常では考えられない)で、当初匿名で話されていたISP名の実名が、「うっかり」杉浦氏の口から出てしまった瞬間だった。
川淵キャプテンのオシム発言を髣髴させる流れで明らかにされたそのISP名は、もちろん講演資料には記されていないが、後日公開されるであろう音声ファイルを聞けば、誰でもそれを知ることができるだろう。そしてその音声ファイルを聞けば、筆者が感じた「Blackhatならではの空気」も感じることができるだろう。
【執筆:NTT東日本セキュリティオペレーションセンタ 日吉 龍】
URL : http://www.bflets.dyndns.org/
著作物 :不正侵入検知[IDS]入門 ――Snort&Tripwireの基礎と実践
http://www.gihyo.co.jp/books/syoseki.php/4-7741-1985-7
最新のセキュリティ情報メールマガジンの申込みはこちらから
http://www.ns-research.jp/cgi-bin/ct/p.cgi?07_scan
(Scan) - 11月2日
PR
Post your Comment
広告
ブログ内検索
アーカイブ
カウンター