SecurityAffairsの世界ハッカーインタビュー (14) SQLインジェクション技術に心を奪われた「Chema Alonso」

『Security Affairs』

September 20, 2016 13:00
by 『Security Affairs』

Telefonicaのチーフデジタルオフィサーであり、最も優秀なサイバーセキュリティ専門家の一人であるChema Alonso(@chemaalonso)氏へのインタビューをお楽しみください。Chema Alonso氏は現在、Telefónicaのチーフデジタルオフィサーである。彼は最も優秀なサイバーセキュリティ専門家の一人で、ITセキュリティ業界のスターだと見なされている有能なハッカーである。

それではインタビューをお楽しみください。

Q:あなたは世界で最も優秀なサイバーセキュリティ専門家の一人ですね。あなたの技術的な経歴やハッキングを開始した時期について教えてください。

A:私はコーディングを始めたのは12歳の時だ。AMSTRAD製パソコンで動作するBASICで、簡単なアルゴリズムをプログラミングしていた。それからコンピューター・エンジニアの学位を取るために大学に進学してデータベースを専攻した。大学卒業後はOracleデータベースのチューニングの専門家として働いていたが、1998年12月25日にrfp(Rain Forest Puppy)が執筆したSQLインジェクションに関する初のドキュメントがインターネットに登場した。私は長いSQLクエリを作成するのにはとても慣れており、SQLインジェクション技術に心を奪われた。

何年も過ぎた後、私はDEFCON 16で時間差を利用した(Time-based)ブラインドSQLインジェクションについて発表し、BlackHat Europeではブラインドを含むLDAPインジェクションについて発表した。それから、このような種類のハッキング技術の研究により博士号を取得した。

Q:最大のハッキングチャレンジについて教えてください。

A:私は長年、ペネトレーションテスターやセキュリティ研究者として仕事をしてきた。しかし残念なことに、全ての作業でシステムへのフルアクセスが得られるというわけではない。正直に言うと、そういったこと——単一のアプリを強制されるとかユーザーを攻撃できないとか——はごく限られた数のプロジェクトでのみ起きる。しかしこのようなケースでは、ピースの足りないパズルを解くような気分を味わうだろう。

しかし、私は企業に対して違法な行為は何もしていない。そして、新しいハッキング技術や、技術面の新たな欠陥を学ぼうとしている。何週間も費やしたターゲットの中には、何の結果ももたらさなかったものもある。しかし現実はそんなものだろう。接続文字列パラメーター汚染(Connection String Parameter Pollution)や時間差を利用したブラインドSQLインジェクション(Time-Based Blind SQL Injection)、ブラインドLDAPインジェクション(Blind LDAP Injection)のようなものを見つけた時の気分は最高だ。しかしこれらは、長時間の大変な作業に比べるとほんの一瞬の出来事である。

Q:ハッカーの必需品として欠かせないツールとその理由を教えてください。

A:皆さんが何に焦点を置いているかにも因るが、私がいつもインストールしているのは Burp ProxyWireShark、それから最愛のFOCAEvil FOCAだ。FOCAに気を付けろ!

Q:今ウェブ上で最も面白いハッキングコミュニティを教えてください。

A:現在、様々な場所にたくさんのコミュニティがある。Telegram、フォーラム、その他もろもろだ。スペインやラテンアメリカでは様々なイベントが開催されており、知識やツール、経験を共有するハッキングコミュニティもある。ハッキングコミュニティのレベルは健全であると考えている。

Q:サイバー攻撃に最も晒されている業界(ヘルスケア、自動車、通信、金融等)とその理由を教えてください。またインターネット上であなたがより恐れていることを教えてください。

A:それらの大部分が、大体同じレベルでサイバー攻撃に晒されている。金融や通信業界は以前からサイバー攻撃標的である。しかし今では、一般的なセキュリティインシデントが病院でも起こっているとか、自動車の脆弱性といったニュースを目にする。正直なところ、サイバー犯罪の初期段階はすでに終わったと私は思う。そして、サイバー犯罪者は良い利益をもたらすようならどんな業界への攻撃でも周到に準備するのだ。残念ながら、サイバー犯罪は有益なビジネスである。

Q:サイバー兵器や重要インフラに対するサイバー攻撃について頻繁に耳にします。重要インフラに対する大規模かつ致命的なサイバー攻撃のリスクが実在すると思いますか?

A:「終末は近い」いや、冗談はさておき、重要インフラは他の業界と同様に攻撃下にある。問題は、重要インフラの脆弱性が私たち皆にとってのリスクレベルが高いということだ。イギリスの水処理施設をハックし、攻撃者が水を汚染しようとした方法をVerizonが説明している。そしてもちろん、Stuxnetのエクスプロイトが別のやり方で利用された場合に起こりうるあらゆる影響について、我々は何度も分析をしている。

自動車や電車、飛行機、IoT、SCADAシステム、電子投票……我々の生活の中で何が次の「Stuxnet」になり得るのか今は分からない。しかし我々はデジタル思考の急激な成長の中にいて、我々の身の回りにはハッカーによるチェックを全く受けていないたくさんのコードが走っている。従って、こういった事件が臨時ニュースで報じられることになるのは確実だろう。
 
Chema Alonso氏プロフィール
スペイン出身のセキュリティ研究者であるChema Alonso氏は、セキュリティ企業や大学でキャリアを積んだ後、2013年にスペインの大手通信企業Telefónicaの出資を受け、セキュリティ製品・サービスを提供するEleven Pathsを創立しCEOに就任。ここでさまざまな製品の他、ドキュメントフィンガープリンティングツール FOCA(Fingerprinting Organizations with Collected Archives)やネットワークテストツールEvil FOCAなどのツールを開発。2013年のDEF CON21ではEvil FOCAについてのスピーチも行っている。2016年からはTelefónicaのチーフ・デジタル・オフィサー(CDO)も務める。

Twitter:@chemaalonso
Blog:http://www.elladodelmal.com

翻訳:編集部
原文:Hacker Interviews – Chema Alonso
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…