世界最大級のセキュリティ・カンファレンス「Black Hat USA 2015」 速報

江添 佳代子

August 7, 2015 14:00
by 江添 佳代子

真夏のラスベガスで、世界最大級のセキュリティイベント「Black Hat USA」が開催された。現在マンダレイ・ベイ・コンベンション センターは、世界中から集まったセキュリティ関係者たちで溢れかえっている。8月1日から行われていたトレーニングは4日に終了し、いよいよ本日8月5日(現地時間)にはブリーフィングやブース展示、その他イベントが始まった。

幕開けの基調講演を行ったのは、インターネットのプライバシーや市民的自由の問題を担当してきた女性弁護士のジェニファー・グラニック氏。電子フロンティア財団で「市民的自由のディレクター(Civil Liberties Director)」を務めた彼女は、賛否両論を呼ぶハッカーたちを弁護してきたことでも知られており、これまでに担当した有名人の中には、26歳で自ら命を絶った伝説のハクティビスト、アーロン・スワーツなどもいる。

基調講演を行ったジェニファー・グラニック

Black Hat史上2人目の女性による、この基調講演「The Lifecycle of a Revolution」は、「人々がますますサイバーセキュリティに関心を示すようになった」、「世界中で深刻なインシデントが頻発している」といった業界の話題ではなく、「世界中で、インターネットの自由の夢が死につつある」という、インターネットそのもののありかたの変化に警鐘を鳴らす内容だった。

この基調講演の後は、注目度の高いブリーフィングが続々と同時開催される。午後3時からは、「Switches Get Stitches(様々な産業制御システムで利用されているスイッチの重大な脆弱性の発表)」、「Remote Exploitation of an Unaltered Passenger Vehicle(フィアット・クライスラー車の大量リコールを引き起こしたことでお馴染みの2人の研究者による発表)」、そして「Stagefright: Scary Code in the Heart of Android」(非常に大規模なAndroidの脆弱性の攻撃として、すでに話題となっている)」がぶつかってしまい、どれか1つを選ばなければならないといった状況だ。

「Stagefright(Androidのマルチメディアフレームワーク)のエクスプロイト」は、セキュリティ企業Zimperiumの研究者Joshua J. Drake氏が確認した攻撃手法で、世界中の約9億5000万台のAndroidデバイス(Android 2.2~5.1.1 r、全Androidの約95%)に影響を与える可能性があると主張している。この攻撃が利用する「複数の脆弱性」に関しては、すでにGoogle、およびSilent Circleなどの一部メーカーが、問題を修正したアップデートの配信を開始している(その他のメーカーも、あと数日の間にパッチを適用する予定)。

この手法の大きな特徴として、様々なベクトルから攻撃できることが挙げられるが、特に恐ろしいのは、「マルチメディア・メッセージング・サービス(MMS)で特定のファイルをAndroidデバイスへ送信することにより、そのデバイスで悪質なプログラムを実行できる」という点だ。このStagefright攻撃の騒動に関し、GoogleのAndroidセキュリティのエンジニアを率いるエイドリアン・ルートヴィヒ(Adrian Ludwig)氏は、「世界がこれまでに経験した『一回のソフトウェアのアップデート』で最大のものになるだろう」と語っている。

本日ほぼ満席の会場でJoshua J. Drake 氏が行ったブリーフィングでは、彼のエクスプロイトが50分間にわたって解説され、また実際に攻撃を行う様子のデモ映像も公開された。詳しい内容は、近日中にお届けしたい。

さて、Black Hat USA 2015の本番初日とも言える5日の時点で、個人的に気になったのは、昨年よりも女性の参加者が増えているように感じられたことだった。昨年はほぼガラガラだった女子トイレでも、今年は他の参加者に遭遇する機会が多かった。また会場の通路では、女性のサイバーセキュリティワーカーの成功を支援する非利益団体The Women’s Society of Cyberjutsu(WSC)の案内も行われていた。

セキュリティイベントの企業ブースで配布されるTシャツにも、女性用のサイズが当たり前のように揃えられる、そんな日を待ち望んでいる筆者にとっては、この傾向が非常に嬉しく感じられた。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…