エフセキュアブログ

DEFCON を含む記事

今年度のCTFを無双した韓国チーム、その強さの秘密

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む

#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

DEFCON CTFでの日本と世界の差がすごいと話題に

世界最高峰のハッキング大会であるDEFCON CTFのネットワークを流れるデータは宝の山です。
主催者を含め世界中の研究者は、毎年そのデータを元に様々な研究を行います。
その中でも特にネットワークの可視化は見た目にもわかりやすいのでたびたび行われていて、時々画面を見せてくれたりします。

これは2014年の大会で主催チームであるLegit BSが行った可視化です。



見る目が肥えている日本の技術者であれば、率直に言ってショボいと感じたことでしょう。
一方、日本で可視化と言えば、NICTのNIRVANA改ですよね。



日本のクオリティの高さを実感できます。

もしもDEFCON CTF優勝者が防衛省サイバー防衛隊に入ったら

福田和代さんが執筆した「サイバー・コマンドー」というタイトルの小説が発売になりました。

サイバー・コマンドー

DEFCON CTF優勝経験者が防衛省サイバー防衛隊に入り、日本を巻き込んだサイバー戦争に立ち向かうというストーリーです。
CTFに関しては、なぜ自分がCTFをやるのかといった心意気からどうでもいいコネタにいたるまでを私が入れ知恵し、防衛省に関しては、元陸自システム防護隊初代隊長の伊東さんがアドバイスしていますので、妙にリアルな内容になっており、業界の人ならニヤリとするネタが満載です。
もちろんネタだけじゃなくて、今後起こりうるサイバー戦争のシュミレーションとしても価値のある一冊です。

プロモーションビデオもあるようです。

DEFCON CTFネットワークを可視化せよ

今年のDEFCON CTFでもsutegoma2は予選を突破し、決勝に進みました。(CTFについては、こちらを参照)
私も五度目の決勝出場を果たす予定でしたが、直前で体調を崩してしまいドクターストップのため渡米すら叶いませんでした。
しかしチームメンバーが健闘してくれて、今までの中では最高となる6位という成績を収めることができました。

そんな中、今年はCTFネットワークを可視化するという試みを行いました。
日本のサイバーセキュリティで可視化と言えば、テレビでもおなじみのNICT(情報通信研究機構)が開発したnicterです。
そこで今回のDEFCON CTF決勝ではNICTの協力を得て、CTFでの攻防の様子を可視化することにしました。
やるからには見ておもしろいだけではなく、実戦で役に立つことを目標に開発が行われました。

実際に今年のCTFを可視化した動画をご覧ください。(音声あり)



CTFでは各サーバからキーと呼ばれるファイルを取得するか、上書きすることで得点が加算されていきます。そのため防御面ではキーが盗まれたことをいち早く察知し対応することが求められますので、キーが盗まれた場合には「警」マークを表示しています。

可視化することで、
  • どのサービスが攻撃の標的にされているのかを一目で把握できる
  • どこから攻撃が来ているのかを一目で把握できる
  • 侵入後の攻撃者の活動を観察することができる
  • 意図しないサービスが攻撃されていることを検知できる
  • 重要な情報の流出を検知できる
などのメリットがあることがわかります。

これらのメリットがあるということは、可視化が役に立つのはCTFだけではなく、企業のセキュリティにも応用できるということだと思います。

以上、参加してないのに今年のDEFCONレポートでした。

善良なハッカーは存在する?

 NPR(National Public Radio、米国の公共ラジオ局)のTED Radio Hourの司会者Guy Raz氏は、DEFCONに出席した際にミッコと情報交換を行った。

 DEFCONでのミッコの忠告:「誰も信じるな」「メモ帳とペンが非常に役立つ」

TED_Radio_Hour_The_Hackers

 Guyは先週のTED Radio Hourの放送The Hackersの中で、ミッコにインタビューを行った。

 ミッコのは、最初の1コマ「Are There Good Hackers? (善良なハッカーは存在する?)」だ。ここでは、初のPCウィルス「Brain」の作者を見つけるための、ミッコのパキスタン・ラフォールへの旅について、再び語られている。

 YouTubeでは旅の様子を動画で見られる。

ここがヘンだよ、日本のCTF

韓国で開催されているCODEGATE CTFでは、韓国内のセキュリティ技術者と海外技術者との交流を促進するため、今年はDEFCON CTF優勝チームをCTF決勝戦に招待しました。技術者の心をよく理解した、素晴らしい試みだと思います。

現に、CODEGATEでの過去の優勝チームはロシア、アメリカ、スウェーデンと国際色豊かです。毎年、少なくない金額の賞金を海外チームに持っていかれてますが、韓国の技術者にとっては大きな刺激になっています。

codegate2013
予選通過した国は、アメリカ、スイス、ロシア、スウェーデン、日本、チュニジア、スペイン、それにもちろん韓国を加えた8カ国、11チーム。

一方その頃日本では、CTFを知らない人たちによって、作為的に海外からの参加者を閉め出したCTF(らしきもの)が多額の税金を投入して開催されましたとさ。

強制開示された制御システムの脆弱性

今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。

調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。
ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。

その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。

以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。
dirtraversal

しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するにも関わらず放置され続けていることを注意喚起するという内容です。
慎重派が多いICS-CERTにおいて、未修整の脆弱性に関するアドバイザリが出されることは珍しいことです。なぜ慎重派が多いかというと、制御システムは一般の情報システムと比べ、攻撃が発生した場合の影響が大きいためです。
それにも関わらず、今回ICS-CERTが強制開示という対応を取らざるを得なかったのか、私が脆弱性を報告してから公表されるまでの顛末をご紹介したいと思います。
  1. 脆弱性の種類がディレクトリトラバーサルという、攻撃手法が単純なタイプの脆弱性だったので、文書にてICS-CERTへ報告
  2. 開発元が脆弱性を理解できないと言っているという連絡をICS-CERTから受ける
  3. 私は攻撃方法についての動画を作成し、ICS-CERTへ送付
  4. 開発元の環境では再現しない、検証したバージョンが古いのではないかという連絡を受ける
  5. 英語版のWindowsを用意し、念のため再度最新版のアプリケーションをインストールして、脆弱性が再現することを確認
  6. アプリケーションのインストールからセットアップ、バージョンの確認、起動、そして最後に攻撃を行う動画を作成し、ICS-CERTへ送付
  7. それでも開発元は再現させることもできず、脆弱性について理解できないという返答
この一部始終を見ていたICS-CERTはアドバイザリの公開を決断しました。私が報告してから情報公開までに8ヶ月近くの時間を要しました。
実はICS-CERTとのやりとりの中で、ICS-CERT側の担当者がDEFCON CTFの決勝に参加することが判明し、ラスベガスのCTF決勝会場で直接話をすることができました。(DEFCON CTF決勝については、こちら。2011年の記事ですが。)

公開の理由について、「あんなに親切で単純明快な報告なのに、それでも理解できないというのは、開発者がすっとぼけようとしているとしか考えられない。今までで一番わかりやすい報告だったよ。情報を公開する以外に解決策は無いと判断した。」という話を伺いました。(余談ですが彼らのCTFチームはとても紳士的で、私のチームが停電で困っているときに助けてくれました。)

今回は報告から8ヶ月経っての公開となりましたが、ICS-CERTの脆弱性情報公開ポリシーでは強制開示までの目安は45日と定められています。
これは45日を過ぎると強制的に公開されるという意味ではなく、なんの反応もないまま45日を過ぎると公開する場合があるという意味です。45日以内に修正完了しなければならないという意味ではありません。ふつうに対応していれば45日ルールが適用されることはありませんので、ご安心を。

来週:「世界戦争」

  これは来週、大きなニュースになるイベントだ…もしまだご存知ないなら、知っておくべきだ。

  ドバイで「ITU Telecom World 2012」カンファレンスが開催される:

ITU World2012

  何故ニュースになるのか?

World War 3.0

  その疑問に対する答えは、5月のVanity Fairの記事にある:世界大戦 3.0

  政策通の方は以下をご覧頂きたい:

  •  シビルソサイエティーは国際的インターネット管理に関する議論へのカギ
  •  ITU WCITとインターネットの自由

  来週、インターネットのコントロールのための「戦争」がある。

  知っておこう。

ハッキング可能なHuawei

  合衆国下院常設情報問題特別調査委員会が月曜、中国の通信会社HuaweiおよびZTEに関する報告書で、騒ぎを引き起こした。

U.S. House of Representatives

  同報告書は中でも、両社を機密システムから除外し、米国のネットワークプロバイダが他のベンダを探すことを勧めている。それに対してHuaweiは、中国政府との結びつきやバックドア化された危機の可能性にかけられた嫌疑の背後にある真の理由は、米国の保守主義であると主張している。

Forbes

  しかし、すべてのニュースの中で忘れられているようなのは、Huaweiが信頼できるかどうかではなく、ハッキング可能かということだ。

  DEFCONのニュースに従うなら、答えがイエス…であることは既にご存知だろう。

Risky Business #250

  つまりおそらく、ベンダにはHauweiを使用したくない、愛国度の低い別の理由がある。

  このエピソードを、Risky Businessのポッドキャストでチェックして欲しい:Risky Business #250 -- Hack it like it's 1999

  LindnerとKopfによるDEFCONでの講演のPDFもそこにある。

BlackHat 2012/Defcon 20 レポート

フォテイーンフォティ技術研究所 鵜飼です。

BlackHat/Defconに今年も行ってまいりました。
私はContent Review Boardとしての参加ですが、弊社からは技術戦略室の大居がWindows Phone 7関連のトピックで講演して参りました。

大居の現地レポートなどは弊社のBlog(本記事の下段にリンク参照)に掲載されていますが、私の現地レポートは少々遅ればせながらこちらで掲載させていただきたいと思います。

私は、BlackHat/Defconに2003年から参加しています。弊社が設立された2007年以降は、行く年もあれば行かない年もあるという状況ですが、昨年度からはBlackHatの論文審査を行うReviewerになった事もあり、Las Vegasは昨年度に続いての参加です。最近は、Black Hatも日本から参加される方が増え、現地の状況なども国内で共有されるようになってきました。そこで今回は、まだ国内ではあまり共有されていない話をお伝えしたいと思います。

■ BlackHat Speakerになるという事

BlackHat(特にLas Vegas)の魅力は、何と言っても厳しい査読を通過した全9トラックのプレゼンテーションが見られるBriefingsだと思います。世界中の研究者が、このステージに立つために日々研究を行い、成果をまとめあげます。方々で言われている通り、BlackHatではベンダーニュートラルな最新の研究成果が発表される正解最大規模のカンファレンスですが、この日のために時間と人を費やし、研究資金を投入し、論文審査を通過させ、発表を行う研究機関やベンダーは世界中に数多く存在します(弊社もその中の一つです)。論文審査も特にLas Vegasは厳しく、なかなか発表できません。ですので、かなり気合が入っているスピーカーも沢山います。

何故ここまで気合を入れるのか。それは、BlackHatで発表する事が、企業として、あるいは個人の研究者として、特に米国のセキュリティ業界では非常に高いステータスになるという事です。BlackHat Speakerになる事が一つの憧れであり、それに向けて挑戦を続ける研究者は少なくありません。このようなステータス性が、逆に発表内容のクオリティを維持している要因になっているものと思います。

■ BlackHatはオフ会、Defconはパーティ?

しかし一方で、BlackHatは「オフ会」としての側面も非常に強いです。こちらはあまり日本国内で共有されていないのですが、「BlackHatは超巨大なオフ会であり、高いクオリティの研究発表が並行して行われ」る、といった雰囲気を合わせ持っています。オフ会的要素と、研究発表的要素、どちらが欠けてもBlackHatは成立しないのではないかと思います。米国ではご存じのとおり転職が非常に盛んで、今どこで誰が何をしているのかを把握するのは、Linked InやFacebookが登場するまではとても大変でした。しかし、SNSが普及した現在でも、やはり細かい事はface to faceじゃないとなかなか共有できません。このため、年に一度Black Hatでお互いの近況を共有するのが恒例となっています。BlackHat期間中は、参加者の溜り場になっているバーやベンダーパーティなどに人が集まりますが、特にGalleria Barは色々な人たちのオフ会会場になっています。そういった交流の中でネットワークも広がっていきます。今年は、多くの知人が独立起業した事が大きな変化の一つでした。

BlackHat終了後のDefconは、パーティーとしての側面があります。BlackHatとDefconの両方に参加されている方はお分かりかと思いますが、参加費用が全く異なるという事もあり、明らかに参加者の年齢層や雰囲気が違います。こちらは、個人的な印象としては「巨大なパーティ」であり、参加者同士の交流などに主眼が置かれている印象です。プレゼンは非常に技術レベルの高いものもありますが、玉石混合状態です。しかし、Defconには楽しい雰囲気を醸し出すイベントや仕掛け、展示などが沢山あり、BlackHatとは違った楽しみ方があります。今年は、日本のCTFチーム「Sutegoma2」の応援も兼ねて参加しましたが、各国の研究者やカンファレンスのオーガナイザーと新しい交流を持つ事ができ、大変有意義でした。

■ BlackHatで講演しませんか?

日本からもBlackHatで喋るスピーカーが沢山出てほしいという思いから、H23年9月から、インターネット協会で「Black Hatでの国際論文発表に向けたアドバイス」を提供しています。
http://www.iajapan.org/press/isec_20110901press.html

BlackHatでスピーカーになると世界中の研究者と交流を持つ事ができ、一気にネットワークが広がります。我こそはと思われる方は、是非ご連絡くださいませ。


[BlackHatレポート]
・2012-07-30 Black Hat USA 2012 現地レポートその1
 http://www.fourteenforty.jp/blog/2012/07/2012-07-30-1.htm
・2012-07-31 Black Hat USA 2012 現地レポートその2
 http://www.fourteenforty.jp/blog/2012/07/2012-07-31-1.htm
・2012-08-6 Black Hat 技術報告 前編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-06-1.htm
・2012-08-10 Black Hat 技術報告 中編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-10-1.htm
・2012-08-15 Black Hat 技術報告 後編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-15-1.htm

世界のCTFから

DEFCON CTFに向けて鍛錬を続ける日々ですが、トレーニングも兼ねて私が所属するチームsutegoma2は世界各地で行われるCTFにも参加しています。その中で予選を突破し、決勝に進むことができたCTFの中から、決勝戦の様子を紹介します。

CODEGATE YUT
韓国で開催されているCTFであり、韓国の伝統的なゲームであるユンノリをベースに試合が行われます。ユンノリは日本でいうとスゴロクのようなものです。単に問題を解くだけでなく、何マス進めるかといった戦略や、運が試合を左右することもあります。韓国の伝統文化を世界に紹介するよい機会になっていると思います。DEFCON CTFと違い、CTF中の食事や交通費の補助が提供されており、世界中から優秀なチームを集めるんだという意思を感じます。

codegate

Nuit du Hack
フランスで行われたCTFで、主催者曰く、「現実に近い形式にこだわっている」そうで、攻防戦形式で行われ、DoSも可という珍しいルールです。実際に、試合の途中で問題を解くことよりもDoSの応酬合戦が激しくなり、結局主催者側のサーバがダウンしました。さらに運営側に問題があり、ダウンしたサーバが復旧不可能という事態に陥り、終了予定時間を待たずして試合続行不可能となり、そのまま終了しました。なんともお粗末なCTFでしたが、サーバをダウンさせるだけなら簡単であり、クラウドの脆弱さを証明したCTFでもありました。

ndh

SECUINSIDE
こちらも韓国で行われたCTFです。過去には攻防戦形式で行われたこともあるそうですが、2012年の決勝はクイズ形式で行われました。特徴は得点の加算方式にあります。一般的なCTFでは問題の難易度を主催者側が検討し、難易度に応じて得点が決められています。それに対して、SECUINSIDEでは問題を解いたチームの数が多いと各問題の得点が下がるようになっています。つまり、問題の難易度は解答チーム数によって決まるので、合理的とも言えます。しかしその一方で試合が終了するまで順位がわからないという欠点もあります。試合終了後に集計が行われて最終順位が決定するので、意外な大逆転というのが起こります。今回、sutegoma2は試合終了3分前に解答し、5位で試合を終えましたが、集計が終わってみると3位という大逆転を起こしました。

secuinside

他にも世界中で様々なCTFが開催されており、CTFの広がりを実感するのと同時に各国とも情報セキュリティに力を入れていることを肌で感じます。そんな中、やはり強い国はアメリカとロシアです。最近のCTF業界ではこの2カ国がずば抜けています。現実に起こっているサイバー戦争の力関係を表した縮図のような状況です。

さて、7月末からはいよいよDEFCON CTFの決勝が開催されます。今年はDEFCONが第20回の記念大会ということで、世界各国のCTF優勝チームが集められ、合計20チームでの戦いとなります。
sutegoma2は去年に引き続き決勝の舞台に立つ切符は手に入れていますが、今年は一体どんな戦いになるのでしょうか。このまま苦汁を舐めさせられ続けるわけにはいきません。

2012年へ秒読み開始!

2009年5月に産声を上げたエフセキュアブログも遂に2012年で3歳を数えようとしております。これもひとえに関係者のみなさま、読者のみなさまのご支援あってのことと、2011年から2012年に移るこの機会に改めて感謝の気持ちでいっぱいでございます。略儀ではございますが、この場を借りて心より御礼申し上げます。
続きを読む

ミッコ・ヒッポネンが来日 @PacSecJP

  最近TEDGoogle Zeitgeistなどで精力的に講演しているF-Secureのミッコですが、今週9-10日に東京で開催のPacSecセキュリティコンファレンスにも登場して「標的型スパイ攻撃」について話してくれる予定です。三菱重工、IHIなど防衛産業や衆議院、参議院、総務省などへの標的型サイバースパイ活動が明らかになっている最近の状況を俯瞰する上で、意味のある話が聞けるでしょう。ミッコの今迄の講演では最近のセキュリティ事件の状況から、サイバー犯罪者、ハクティビスト、国家による動き、の3つを重要な論点に挙げていますが、最新の話題も含めた話が聞けそうです。

  先週はTokyo Designers Weekでしたが、今週はTokyo Security Weekと呼べそうなほどイベントが目白押しです。今日7日は日本スマートフォンセキュリティフォーラムの成果発表会があります。9-10日のPacSecに続いて12日には、エフセキュアブログ・メンバー福森さんも参加してあのDefcon CTFに出場したSutegoma2の関係者が主催する、日本発のセキュリティコンファレンス「AVTokyo」が開催されるので、こちらでも濃い話題が聞けそうです。また10日夜には日本の政府/民間を横断的につなぐセキュリティコミュニティ「WaiGaya」の集まりも企画されているようです。11日にはやはりエフセキュアブログ・メンバー鵜飼さんのFourteen Fortyのセミナーもありますね。

  アメリカなど海外のコンファレンスに行くには旅費・宿泊費を足して行くとけっこうな金額になるので、このような国際的なセキュリティイベントが日本で増えれば、勉強したりネットワーキングできる機会が増えるので良い事です。
みなさんはどのイベントに参加されますか? 


  ちなみにPacSecでの他の講演者も含めた内容はこんな感じです↓ 私も運営に参加していますが、講演内容は日本の状況も考慮して選ぶようにされています。

続きを読む

マスコミが書かない「DEFCON CTF」

2011年のDEFCON CTFが終わりました。
会場では、サポートメンバーによっておにぎりと味噌汁が振る舞われました。
個人的には3度目のDEFCON CTF決勝、日本チームとしては初めての決勝でしたが、今までこんなに恵まれた環境はありませんでした。
一般的にCTFでは、予選はインターネット上で行われるのに対し、決勝は一つの会場に集まって行われます。
そのため、環境の問題、食事の問題、時差の問題、機材の問題など、様々な問題と向き合いながら競技を行うのがCTF決勝の特徴でもあり、アウェイの洗礼は日常茶飯事です。
今回はサポートしてくれたメンバーの尽力によって、そういった問題によるストレスを大きく軽減し競技に集中することができました。本当にありがとうございました。

defcon2011ctf

日本でもCTFへの注目が高まり、少しずつメディアにも取り上げるようになってきましたが、未だメディアには取り上げられない重要な点をご紹介します。

今回のCTFでは、CTF会場が停電したり、ネットワークやサーバトラブル、スコアリングシステムへの批判など、運営側も非常に大変です。毎年必ず運営側の不手際に対する批判を耳にします。特に今年は運営側の意図しない方法を使って全サーバのroot(管理者権限)が奪われるという事態もありました。

ではなぜ、大変な苦労をしてまで運営をするのでしょうか。
勉強になるからという単純な理由ではありません。

DEFCON CTFを運営するのは、アメリカ海軍学校の教授、生徒からなるチームです。ということは、競技中に飛び交った様々な攻撃コードは教材として使われると同時に、米軍に蓄積されていきます。

その背景には、アメリカが国家としてサイバー空間を重要視していることが挙げられます。陸、海、空、宇宙に続く第5の戦場としてサイバー空間が位置づけられているのです。さらに、サイバー空間への攻撃に対しては武力による報復も辞さないとの発表もありました。
結局のところ、DEFCON CTFはアメリカ、サイバー戦争の下地作りでもあるわけです。毎年、アメリカ、韓国は政府による強力なバックアップを後ろ盾にチームを送り込んできています。現在、積極的にCTFを開催しているのは、アメリカ、韓国、ロシア、マレーシアなどです。
日本では23年度版防衛白書で、サイバー攻撃対処のため最新技術の研究に取り組むという内容の文言が記載されました。具体的なことは何も書かれていませんが、今後の動向には要注目です。

AVに参加してみませんか?

このブログの読者ならAVと聞いてAnti Virusを頭に浮かべると思いますが、今回は残念ながらそのAVではなく、AVTOKYOのご紹介です。

先日、DEFCON CTFというセキュリティ技術を競う大会の決勝戦に出場してきました。世界各地で行われている大会の中で最大のものです。予選はインターネット上で行われており、主催者側が作成した問題を解いて点数を競います。主催者側の発表では529チーム、1428人が参加したそうです。予選で上位10チームに入ると、決勝の出場権を与えられます。決勝はアメリカ、ラスベガスのホテルの一室で開催され、その競技内容はというと、与えられたプログラムの脆弱性を探し、チーム間で攻撃防御を行うようになっています。日本でもセキュリティ企業や学生を中心に年々参加者も増え、世界の技術者と切磋琢磨し向上していく場のひとつとなっています。

1

皆さんの多くはこのような大会が存在すること自体、知らなかったのではないでしょうか。また、参加してみたいけど何から手を付けていいかわからないという方もいらっしゃるのではないでしょうか。
そんな方々のために、気軽にCTFに触れていただけるイベントが日本で開催されます。
私もDEFCON CTFの予選、決勝を紹介する役目を仰せつかっています。ここには書ききれなかった裏話を紹介する予定です。ご興味のある方は覗いてみてください。

AVTOKYO meets HackerJapan
http://ja.avtokyo.org/meetshj

さて、最後にみなさんにお土産?です。
DEFCON CTFの決勝会場ではフォーチューンクッキーがばらまかれていました。ふつう、フォーチューンクッキーの中にはことわざのような短いメッセージが書かれた紙が入っているのですが、DEFCONのフォーチューンクッキーはひと味違います。みなさんぜひご賞味ください。

2

福森大喜さん:エフセキュアブログメンバーご紹介

高間さん星澤さん岩井さんにつづいて、Webアプリケーションセキュリティの専門家でいらっしゃる福森大喜さんに、先月から当ブログのオフィシャルコメンテータとしてご参加いただいております。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

さっそく、福森さんのご紹介を申し上げたいと思います。

11月下旬、神田の福森さんのオフィスでお話をお聞きしました。

●福森大喜さん

福森 大喜(ふくもり だいき)
株式会社サイバーディフェンス研究所 上級分析官

大手セキュリティベンダーでIDS、IRT等に従事した後、Webアプリケーションのセキュリティ検査サービスを立ち上げる。その後、Webセキュリティベンチャーを設立。2009年よりサイバーディフェンス研究所に参加。


専門領域:
Webセキュリティ、ペネトレーションテスト、マルウェア解析

受賞:
2007年 第3回 IPA賞(情報セキュリティ部門)
2009年 グーグル Native Client セキュリティコンテスト 世界4位

寄稿記事:
ここが危ない!Web2.0セキュリティ」 (gihyo.jp)
セキュリティから読み解くWeb2.0」 (警察庁@police)
いざラスベガス、いざDEFCON CTF決勝へ」 (@IT)
など

講演実績:
2007年4月12日 セキュリティ・ソリューションフォーラム(「Web 2.0は危険がいっぱい」)
2007年4月26日 RSA CONFERENCE JAPAN(「Webセキュリティはなぜ破られるのか」)
2008年10月11日 AVTokyo 2008(「Flashを媒介したXSSワームの可能性」)
2007年11月15日 POC Korea 2007(「Attacking Web 2.0」)
2008年11月 Email Security Expo & Conference 2008(「SQLインジェクションの基本と応用」)
2009年4月22日 Shibuya Perl Mongers テクニカルトーク(「Native Client Hacks」)
など

世界のセキュリティコンファレンス - アメリカ大陸

  ベガスで「Black Hat」が開催さらにBlack Hat USA方面の話題 などの記事でも触れていましたが、世界のセキュリティ専門家の集まるコンファレンスは、最新情報を入手できることと専門家同士が直接意見交換できる場所として、セキュリティ業界の重要な機能を果たしています。ここではいくつかを紹介してみましょう。

  7月に様々なニュースに話題が出ましたが、ラスベガスで開催されるBlack Hat USAは数あるセキュリティコンファレンスの中でも最大級の内容に発展しました。Black Hatは2日間の参加費が$1500とかなり高額な方ですが、それでも4000人以上が集まるイベントになっています。参加者は政府関係者・企業・独立系セキュリティコンサルタントで三等分される感じです。http://www.blackhat.com/

  Black Hatの元祖主催者のJeff Mossは、以前からDefconを開催してきた人で、こちらは今年で17回目。Defconは参加費が比較的安く済むためこちらも5000人以上が集まるイベントになっています。かなり世代交代したとはいえ、アンダーグラウンドの雰囲気をまだ少し伝えています。http://www.defcon.org/

  通常秋と春の2回開催されるComputer Security Instituteのコンファレンスは、展示会の比重が大きくメーカーやベンダー製品の概観を見て回るには役に立ちます。Computer Security Instituteは、統計情報も集めていてFBIと共同で発行しているCSI-FBIのレポートは引用されることが多く、2000年ころまではセキュリティのプレゼンテーションでやたらに参照されていました。http://www.gocsi.com/

  RSAコンファレンスは、もともと暗号学者の会議として始まり、アメリカ政府が暗号技術の輸出規制をしていた1990年代には激しい議論の場でしたが、2000年くらいからCSIと並ぶ総合セキュリティ展示会の面が強まる様相を呈して来ました。とはいえ主催して来たRSA Security社は、元々RSA暗号を開発したリベスト、シャミア、エーデルマンたちの始めた会社ということもあり、プレゼンテーションの内で暗号技術とデジタル署名にかけられる比重がまだ大きいといえます。http://www.rsaconference.com/

  カナダのバンクーバーで開催されるCanSecWestは、小さいながらも技術的内容が濃いことでしられ、今では500人を越える参加者が集まる様になりました。また「Pwn2Own」などの懸賞付きコンテストがあることから、MacOSやSafariやiPhoneの脆弱性の世界初の発表が相次ぎ、注目されるようになりました。このようなコンテストは、新しい問題点の発見を加速するのに最適といえそうです。
http://cansecwest.com/
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード