SecurityAffairsの世界ハッカーインタビュー (14) SQLインジェクション技術に心を奪われた「Chema Alonso」

『Security Affairs』

September 20, 2016 13:00
by 『Security Affairs』

Telefonicaのチーフデジタルオフィサーであり、最も優秀なサイバーセキュリティ専門家の一人であるChema Alonso(@chemaalonso)氏へのインタビューをお楽しみください。Chema Alonso氏は現在、Telefónicaのチーフデジタルオフィサーである。彼は最も優秀なサイバーセキュリティ専門家の一人で、ITセキュリティ業界のスターだと見なされている有能なハッカーである。

それではインタビューをお楽しみください。

Q:あなたは世界で最も優秀なサイバーセキュリティ専門家の一人ですね。あなたの技術的な経歴やハッキングを開始した時期について教えてください。

A:私はコーディングを始めたのは12歳の時だ。AMSTRAD製パソコンで動作するBASICで、簡単なアルゴリズムをプログラミングしていた。それからコンピューター・エンジニアの学位を取るために大学に進学してデータベースを専攻した。大学卒業後はOracleデータベースのチューニングの専門家として働いていたが、1998年12月25日にrfp(Rain Forest Puppy)が執筆したSQLインジェクションに関する初のドキュメントがインターネットに登場した。私は長いSQLクエリを作成するのにはとても慣れており、SQLインジェクション技術に心を奪われた。

何年も過ぎた後、私はDEFCON 16で時間差を利用した(Time-based)ブラインドSQLインジェクションについて発表し、BlackHat Europeではブラインドを含むLDAPインジェクションについて発表した。それから、このような種類のハッキング技術の研究により博士号を取得した。

Q:最大のハッキングチャレンジについて教えてください。

A:私は長年、ペネトレーションテスターやセキュリティ研究者として仕事をしてきた。しかし残念なことに、全ての作業でシステムへのフルアクセスが得られるというわけではない。正直に言うと、そういったこと——単一のアプリを強制されるとかユーザーを攻撃できないとか——はごく限られた数のプロジェクトでのみ起きる。しかしこのようなケースでは、ピースの足りないパズルを解くような気分を味わうだろう。

しかし、私は企業に対して違法な行為は何もしていない。そして、新しいハッキング技術や、技術面の新たな欠陥を学ぼうとしている。何週間も費やしたターゲットの中には、何の結果ももたらさなかったものもある。しかし現実はそんなものだろう。接続文字列パラメーター汚染(Connection String Parameter Pollution)や時間差を利用したブラインドSQLインジェクション(Time-Based Blind SQL Injection)、ブラインドLDAPインジェクション(Blind LDAP Injection)のようなものを見つけた時の気分は最高だ。しかしこれらは、長時間の大変な作業に比べるとほんの一瞬の出来事である。

Q:ハッカーの必需品として欠かせないツールとその理由を教えてください。

A:皆さんが何に焦点を置いているかにも因るが、私がいつもインストールしているのは Burp ProxyWireShark、それから最愛のFOCAEvil FOCAだ。FOCAに気を付けろ!

Q:今ウェブ上で最も面白いハッキングコミュニティを教えてください。

A:現在、様々な場所にたくさんのコミュニティがある。Telegram、フォーラム、その他もろもろだ。スペインやラテンアメリカでは様々なイベントが開催されており、知識やツール、経験を共有するハッキングコミュニティもある。ハッキングコミュニティのレベルは健全であると考えている。

Q:サイバー攻撃に最も晒されている業界(ヘルスケア、自動車、通信、金融等)とその理由を教えてください。またインターネット上であなたがより恐れていることを教えてください。

A:それらの大部分が、大体同じレベルでサイバー攻撃に晒されている。金融や通信業界は以前からサイバー攻撃標的である。しかし今では、一般的なセキュリティインシデントが病院でも起こっているとか、自動車の脆弱性といったニュースを目にする。正直なところ、サイバー犯罪の初期段階はすでに終わったと私は思う。そして、サイバー犯罪者は良い利益をもたらすようならどんな業界への攻撃でも周到に準備するのだ。残念ながら、サイバー犯罪は有益なビジネスである。

Q:サイバー兵器や重要インフラに対するサイバー攻撃について頻繁に耳にします。重要インフラに対する大規模かつ致命的なサイバー攻撃のリスクが実在すると思いますか?

A:「終末は近い」いや、冗談はさておき、重要インフラは他の業界と同様に攻撃下にある。問題は、重要インフラの脆弱性が私たち皆にとってのリスクレベルが高いということだ。イギリスの水処理施設をハックし、攻撃者が水を汚染しようとした方法をVerizonが説明している。そしてもちろん、Stuxnetのエクスプロイトが別のやり方で利用された場合に起こりうるあらゆる影響について、我々は何度も分析をしている。

自動車や電車、飛行機、IoT、SCADAシステム、電子投票……我々の生活の中で何が次の「Stuxnet」になり得るのか今は分からない。しかし我々はデジタル思考の急激な成長の中にいて、我々の身の回りにはハッカーによるチェックを全く受けていないたくさんのコードが走っている。従って、こういった事件が臨時ニュースで報じられることになるのは確実だろう。
 
Chema Alonso氏プロフィール
スペイン出身のセキュリティ研究者であるChema Alonso氏は、セキュリティ企業や大学でキャリアを積んだ後、2013年にスペインの大手通信企業Telefónicaの出資を受け、セキュリティ製品・サービスを提供するEleven Pathsを創立しCEOに就任。ここでさまざまな製品の他、ドキュメントフィンガープリンティングツール FOCA(Fingerprinting Organizations with Collected Archives)やネットワークテストツールEvil FOCAなどのツールを開発。2013年のDEF CON21ではEvil FOCAについてのスピーチも行っている。2016年からはTelefónicaのチーフ・デジタル・オフィサー(CDO)も務める。

Twitter:@chemaalonso
Blog:http://www.elladodelmal.com

翻訳:編集部
原文:Hacker Interviews – Chema Alonso
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…