SecurityAffairsの世界ハッカーインタビュー (14) SQLインジェクション技術に心を奪われた「Chema Alonso」

『Security Affairs』

September 20, 2016 13:00
by 『Security Affairs』

Telefonicaのチーフデジタルオフィサーであり、最も優秀なサイバーセキュリティ専門家の一人であるChema Alonso(@chemaalonso)氏へのインタビューをお楽しみください。Chema Alonso氏は現在、Telefónicaのチーフデジタルオフィサーである。彼は最も優秀なサイバーセキュリティ専門家の一人で、ITセキュリティ業界のスターだと見なされている有能なハッカーである。

それではインタビューをお楽しみください。

Q:あなたは世界で最も優秀なサイバーセキュリティ専門家の一人ですね。あなたの技術的な経歴やハッキングを開始した時期について教えてください。

A:私はコーディングを始めたのは12歳の時だ。AMSTRAD製パソコンで動作するBASICで、簡単なアルゴリズムをプログラミングしていた。それからコンピューター・エンジニアの学位を取るために大学に進学してデータベースを専攻した。大学卒業後はOracleデータベースのチューニングの専門家として働いていたが、1998年12月25日にrfp(Rain Forest Puppy)が執筆したSQLインジェクションに関する初のドキュメントがインターネットに登場した。私は長いSQLクエリを作成するのにはとても慣れており、SQLインジェクション技術に心を奪われた。

何年も過ぎた後、私はDEFCON 16で時間差を利用した(Time-based)ブラインドSQLインジェクションについて発表し、BlackHat Europeではブラインドを含むLDAPインジェクションについて発表した。それから、このような種類のハッキング技術の研究により博士号を取得した。

Q:最大のハッキングチャレンジについて教えてください。

A:私は長年、ペネトレーションテスターやセキュリティ研究者として仕事をしてきた。しかし残念なことに、全ての作業でシステムへのフルアクセスが得られるというわけではない。正直に言うと、そういったこと——単一のアプリを強制されるとかユーザーを攻撃できないとか——はごく限られた数のプロジェクトでのみ起きる。しかしこのようなケースでは、ピースの足りないパズルを解くような気分を味わうだろう。

しかし、私は企業に対して違法な行為は何もしていない。そして、新しいハッキング技術や、技術面の新たな欠陥を学ぼうとしている。何週間も費やしたターゲットの中には、何の結果ももたらさなかったものもある。しかし現実はそんなものだろう。接続文字列パラメーター汚染(Connection String Parameter Pollution)や時間差を利用したブラインドSQLインジェクション(Time-Based Blind SQL Injection)、ブラインドLDAPインジェクション(Blind LDAP Injection)のようなものを見つけた時の気分は最高だ。しかしこれらは、長時間の大変な作業に比べるとほんの一瞬の出来事である。

Q:ハッカーの必需品として欠かせないツールとその理由を教えてください。

A:皆さんが何に焦点を置いているかにも因るが、私がいつもインストールしているのは Burp ProxyWireShark、それから最愛のFOCAEvil FOCAだ。FOCAに気を付けろ!

Q:今ウェブ上で最も面白いハッキングコミュニティを教えてください。

A:現在、様々な場所にたくさんのコミュニティがある。Telegram、フォーラム、その他もろもろだ。スペインやラテンアメリカでは様々なイベントが開催されており、知識やツール、経験を共有するハッキングコミュニティもある。ハッキングコミュニティのレベルは健全であると考えている。

Q:サイバー攻撃に最も晒されている業界(ヘルスケア、自動車、通信、金融等)とその理由を教えてください。またインターネット上であなたがより恐れていることを教えてください。

A:それらの大部分が、大体同じレベルでサイバー攻撃に晒されている。金融や通信業界は以前からサイバー攻撃標的である。しかし今では、一般的なセキュリティインシデントが病院でも起こっているとか、自動車の脆弱性といったニュースを目にする。正直なところ、サイバー犯罪の初期段階はすでに終わったと私は思う。そして、サイバー犯罪者は良い利益をもたらすようならどんな業界への攻撃でも周到に準備するのだ。残念ながら、サイバー犯罪は有益なビジネスである。

Q:サイバー兵器や重要インフラに対するサイバー攻撃について頻繁に耳にします。重要インフラに対する大規模かつ致命的なサイバー攻撃のリスクが実在すると思いますか?

A:「終末は近い」いや、冗談はさておき、重要インフラは他の業界と同様に攻撃下にある。問題は、重要インフラの脆弱性が私たち皆にとってのリスクレベルが高いということだ。イギリスの水処理施設をハックし、攻撃者が水を汚染しようとした方法をVerizonが説明している。そしてもちろん、Stuxnetのエクスプロイトが別のやり方で利用された場合に起こりうるあらゆる影響について、我々は何度も分析をしている。

自動車や電車、飛行機、IoT、SCADAシステム、電子投票……我々の生活の中で何が次の「Stuxnet」になり得るのか今は分からない。しかし我々はデジタル思考の急激な成長の中にいて、我々の身の回りにはハッカーによるチェックを全く受けていないたくさんのコードが走っている。従って、こういった事件が臨時ニュースで報じられることになるのは確実だろう。
 
Chema Alonso氏プロフィール
スペイン出身のセキュリティ研究者であるChema Alonso氏は、セキュリティ企業や大学でキャリアを積んだ後、2013年にスペインの大手通信企業Telefónicaの出資を受け、セキュリティ製品・サービスを提供するEleven Pathsを創立しCEOに就任。ここでさまざまな製品の他、ドキュメントフィンガープリンティングツール FOCA(Fingerprinting Organizations with Collected Archives)やネットワークテストツールEvil FOCAなどのツールを開発。2013年のDEF CON21ではEvil FOCAについてのスピーチも行っている。2016年からはTelefónicaのチーフ・デジタル・オフィサー(CDO)も務める。

Twitter:@chemaalonso
Blog:http://www.elladodelmal.com

翻訳:編集部
原文:Hacker Interviews – Chema Alonso
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…