SecurityAffairsの世界ハッカーインタビュー (14) SQLインジェクション技術に心を奪われた「Chema Alonso」

『Security Affairs』

September 20, 2016 13:00
by 『Security Affairs』

Telefonicaのチーフデジタルオフィサーであり、最も優秀なサイバーセキュリティ専門家の一人であるChema Alonso(@chemaalonso)氏へのインタビューをお楽しみください。Chema Alonso氏は現在、Telefónicaのチーフデジタルオフィサーである。彼は最も優秀なサイバーセキュリティ専門家の一人で、ITセキュリティ業界のスターだと見なされている有能なハッカーである。

それではインタビューをお楽しみください。

Q:あなたは世界で最も優秀なサイバーセキュリティ専門家の一人ですね。あなたの技術的な経歴やハッキングを開始した時期について教えてください。

A:私はコーディングを始めたのは12歳の時だ。AMSTRAD製パソコンで動作するBASICで、簡単なアルゴリズムをプログラミングしていた。それからコンピューター・エンジニアの学位を取るために大学に進学してデータベースを専攻した。大学卒業後はOracleデータベースのチューニングの専門家として働いていたが、1998年12月25日にrfp(Rain Forest Puppy)が執筆したSQLインジェクションに関する初のドキュメントがインターネットに登場した。私は長いSQLクエリを作成するのにはとても慣れており、SQLインジェクション技術に心を奪われた。

何年も過ぎた後、私はDEFCON 16で時間差を利用した(Time-based)ブラインドSQLインジェクションについて発表し、BlackHat Europeではブラインドを含むLDAPインジェクションについて発表した。それから、このような種類のハッキング技術の研究により博士号を取得した。

Q:最大のハッキングチャレンジについて教えてください。

A:私は長年、ペネトレーションテスターやセキュリティ研究者として仕事をしてきた。しかし残念なことに、全ての作業でシステムへのフルアクセスが得られるというわけではない。正直に言うと、そういったこと——単一のアプリを強制されるとかユーザーを攻撃できないとか——はごく限られた数のプロジェクトでのみ起きる。しかしこのようなケースでは、ピースの足りないパズルを解くような気分を味わうだろう。

しかし、私は企業に対して違法な行為は何もしていない。そして、新しいハッキング技術や、技術面の新たな欠陥を学ぼうとしている。何週間も費やしたターゲットの中には、何の結果ももたらさなかったものもある。しかし現実はそんなものだろう。接続文字列パラメーター汚染(Connection String Parameter Pollution)や時間差を利用したブラインドSQLインジェクション(Time-Based Blind SQL Injection)、ブラインドLDAPインジェクション(Blind LDAP Injection)のようなものを見つけた時の気分は最高だ。しかしこれらは、長時間の大変な作業に比べるとほんの一瞬の出来事である。

Q:ハッカーの必需品として欠かせないツールとその理由を教えてください。

A:皆さんが何に焦点を置いているかにも因るが、私がいつもインストールしているのは Burp ProxyWireShark、それから最愛のFOCAEvil FOCAだ。FOCAに気を付けろ!

Q:今ウェブ上で最も面白いハッキングコミュニティを教えてください。

A:現在、様々な場所にたくさんのコミュニティがある。Telegram、フォーラム、その他もろもろだ。スペインやラテンアメリカでは様々なイベントが開催されており、知識やツール、経験を共有するハッキングコミュニティもある。ハッキングコミュニティのレベルは健全であると考えている。

Q:サイバー攻撃に最も晒されている業界(ヘルスケア、自動車、通信、金融等)とその理由を教えてください。またインターネット上であなたがより恐れていることを教えてください。

A:それらの大部分が、大体同じレベルでサイバー攻撃に晒されている。金融や通信業界は以前からサイバー攻撃標的である。しかし今では、一般的なセキュリティインシデントが病院でも起こっているとか、自動車の脆弱性といったニュースを目にする。正直なところ、サイバー犯罪の初期段階はすでに終わったと私は思う。そして、サイバー犯罪者は良い利益をもたらすようならどんな業界への攻撃でも周到に準備するのだ。残念ながら、サイバー犯罪は有益なビジネスである。

Q:サイバー兵器や重要インフラに対するサイバー攻撃について頻繁に耳にします。重要インフラに対する大規模かつ致命的なサイバー攻撃のリスクが実在すると思いますか?

A:「終末は近い」いや、冗談はさておき、重要インフラは他の業界と同様に攻撃下にある。問題は、重要インフラの脆弱性が私たち皆にとってのリスクレベルが高いということだ。イギリスの水処理施設をハックし、攻撃者が水を汚染しようとした方法をVerizonが説明している。そしてもちろん、Stuxnetのエクスプロイトが別のやり方で利用された場合に起こりうるあらゆる影響について、我々は何度も分析をしている。

自動車や電車、飛行機、IoT、SCADAシステム、電子投票……我々の生活の中で何が次の「Stuxnet」になり得るのか今は分からない。しかし我々はデジタル思考の急激な成長の中にいて、我々の身の回りにはハッカーによるチェックを全く受けていないたくさんのコードが走っている。従って、こういった事件が臨時ニュースで報じられることになるのは確実だろう。
 
Chema Alonso氏プロフィール
スペイン出身のセキュリティ研究者であるChema Alonso氏は、セキュリティ企業や大学でキャリアを積んだ後、2013年にスペインの大手通信企業Telefónicaの出資を受け、セキュリティ製品・サービスを提供するEleven Pathsを創立しCEOに就任。ここでさまざまな製品の他、ドキュメントフィンガープリンティングツール FOCA(Fingerprinting Organizations with Collected Archives)やネットワークテストツールEvil FOCAなどのツールを開発。2013年のDEF CON21ではEvil FOCAについてのスピーチも行っている。2016年からはTelefónicaのチーフ・デジタル・オフィサー(CDO)も務める。

Twitter:@chemaalonso
Blog:http://www.elladodelmal.com

翻訳:編集部
原文:Hacker Interviews – Chema Alonso
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




ロシア下院が「VPNやプロキシを禁じる新しい法案」を採択

July 26, 2017 08:00

by 江添 佳代子

ロシア連邦議会下院は2017年7月21日、市民のインターネット利用を制限するための法案を全会一致で採択した。 これはロシアでのVPNやプロキシなどの利用を非合法化する法になると伝えられている。この採択を受け、モスクワでは2000人以上の市民が「インターネットの自由」や「ロシア当局によるオンライン監視…

中国北京市に大量の偽携帯基地局が存在する理由

July 25, 2017 08:00

by 牧野武文

以前、偽の携帯電話基地局から大量の広告ショートメッセージ(SMS)を発信した事件をお伝えした。その際、偽携帯基地局からのSMSは、発信元の電話番号を自由に偽装できるため、受信者側では本物のSMSなのか、偽物なのかの見分けがつかないという危険性を指摘した。案の定、中国で、偽携帯基地局から発信したSMS…