サイバー・セキュリティへの懸念が高まる中、日本発の情報セキュリティ国際会議「CODE BLUE」が12月18・19日の2日間、東京で開催された。国内外の第一線で活躍するセキュリティ専門家やハッカーたちが集い、最先端の情報を交換する場、「CODE BLUE」。セキュリティ分野の新しい国際コミュニティが、日本から世界へ広がりつつある。

「もはや他人事ではない:2015年からの、IoT時代のサイバー・セキュリティ」の写真・リンク付きの記事はこちら

日本発の情報セキュリティ国際会議

セキュリティ専門家の間に、こんなジョークがあるそうだ。「世の中には2種類の企業がある。ひとつはすでにハックされてしまった企業。もうひとつは、ハックされたことにまだ気づいていない企業だ」。そんなジョークがまことしやかにささやかれるほど、サイバー・セキュリティはすでに、あらゆる組織・すべての人にとって重大な問題になっている。

例えば、つい先日、米国ソニー・ピクチャーズエンタテインメント(SPE)がサイバー攻撃を受け、未公開映画の資料や従業員の個人情報などが流出した。その余波はおさまるどころか拡大し続け、いまや重大な外交問題にまで発展しつつある。

この事件がわたしたちに教えてくれることは、SPEのような、けっして普段からセキュリティ対策を怠っているとは思えないような大企業でさえ、ブラックハット・ハッカー(悪意のあるハッカー)の手にかかればやすやすとサイバー攻撃の餌食にされてしまう、ということだ。

PCやスマートフォンだけでなく、さまざまな電子機器や重要な社会インフラまでもがインターネットに接続されるようになった現在、サイバー・セキュリティはもはや特定の人々だけの問題ではなくなっている。あらゆる会社、あらゆる個人が明日のSPEになるかもしれないのだ。サイバー・セキュリティは、もうそんな状況にきている。

そのような状況のなか、日本発の情報セキュリティ国際会議「CODE BLUE」が、12月18・19日の2日間にわたって、東京・御茶ノ水で開催された。

昨年に続いて第2回を迎えるCODE BLUEは、国内外のセキュリティ専門家やハッカーたちが集い、情報交換をおこなう場。スーツにネクタイ姿の会社員からラフなスタイルの若者まで、会場をうめつくした約450人の参加者は、セキュリティの第一線で活躍する講演者たちによる最新・最先端の報告に、真剣に耳を傾けた。

サイバー・セキュリティ、5つの問題

CODE BLUEの初日は、ケレン・エラザリによる基調講演から始まった。

ケレンは今年はじめに出演したTEDで「ハッカーは情報化時代の免疫システム」と述べ、世界的に有名になったセキュリティ専門家だ。かのレイ・カーツワイルらが創設したシンギュラリティ・ユニヴァーシティのセキュリティ技術教員でもある。

今回の講演でケレンは、現在、世界が直面しているサイバー・セキュリティの問題とその対策を5つの視点から解説した。

141229wired_codeblue_02

基調講演を行なったセキュリティの専門家、ケレン・エラザリは「セキュリティ専門家やハッカー、そして一般の人々がお互いに協力し合い、行動をおこさなければならない」と述べた。


TAG

CybersecurityHackerInternetinternet of thingsPasswordPrivacy
141229wired_codeblue_01

スーツにネクタイ姿の会社員からラフなスタイルの若者まで、CODE BLUEの会場は約450人の参加者でうめつくされた。

1.あらゆるものがサイバー・セキュリティの対象に

まず認識しなければならないのは、セキュリティはもはやウェブやインターネットだけの問題ではないことだ。

いまや、リアルな世界のあらゆる「もの」がセキュリティの問題に脅かされている。例えばクルマやATM、スマートウオッチやスマートホームなど、わたしたちの身の回りのさまざまな機器はすべてハックされるおそれがある。

さらに、GPSや位置情報システム、航空機や船の管制システムなど、社会にとって重要なインフラにさえセキュリティの懸念は広がっている。マルウェア「Stuxnet」によってイランの核施設が攻撃された事件は、世界中にセキュリティ問題の深刻さを知らしめた。あるいは、走行している船に偽の位置情報を与えてコースを変えたり、糖尿病患者のインスリン・ポンプを誤作動させたりといったことも、十分起こり得るのだ。

セキュリティの対象として守らなければならない『○○スペース』は、どんどん広がっている。

2.悪人たちは「創造的で革新的で協力的」

サイバースペースの悪人たちは非常にスマートで、情報やテクニックを互いに交換しながら常に新しいものを「発明」している。その代表的なものが、Zeus(ズース)や、CryptLocker(クリプトロッカー)といったマルウェアだ。例えばZeusのソースコードは数年前に公開され、多くの亜種がつくられている(「サイバー犯罪を格安で請け負う、ロシアの地下市場」)。

また、「マルヴァタイジング」と呼ばれる悪質な広告も増加している。ユーザーがバナーをクリックすると(あるいはページにアクセスしただけで)マルウェアがダウンロードされ、感染してしまうというものだ。

シスコの調査によれば、マルヴァタイジングによって感染する確率は、アダルトサイトで感染する確率の182倍もあるという。さらに、アンチウイルスソフトだと思ってインストールするとウイルスに感染してしまう、偽アンチウィルスソフトも出回っている。このように、悪者たちは互いに協力して、「創造的で革新的な」ものを次々に生み出している。

(関連記事)情報セキュリティのカリスマ、ミッコ・ヒッポネン「ハッカーはイノヴェイティヴ」

これに対抗するためには、わたしたち、つまり善意のハッカーやセキュリティ専門家、そして一般の人たちも情報を共有、協力し、新しい知識を得て新しい対策を考えなければならない。すべての人が、発見したバグや脆弱性などの情報を公開し、共有するべきだ。

実際、そのような協力的な活動は世界中に広がり始めている。情報公開に躊躇する人もいるかもしれないが、いまやすべての組織がサイバー攻撃の標的になっていることを認識しなければならない。


TAG

CybersecurityHackerInternetinternet of thingsPasswordPrivacy
3603767671_ff44bea1fc_z

“Boba Fett” by SAM HOWZIT (CC:BY 2.0 Generic)

3.白日のもとにさらすことより優れた解毒剤はない

ある政府組織は、セキュリティの研究調査に数百万ドルも使いながら、その成果を公表するどころか、自分たちの諜報活動に利用している。ある暗号アルゴリズムに、故意にセキュリティホールをつくり、盗聴に利用していた例もある。そのために政府組織がソフトウェアメーカーにお金を渡していたともいわれている。

今年、世間をにぎわせた「Heartbleed」問題(今年4月、OpenSSLのセキュリティホールを通じて通信の盗聴が可能なことが明らかになった問題)もそうだ。政府組織はこの問題を何年も前から知っていて、自分たちの盗聴に利用していた。脆弱性を故意に仕込む、あるいは放置することで、特定の人々が利益を得てきたのだ。

この解決策として提案したいのは、バグを見つけたらすぐに公表する、ということ。セキュリティホールとなるバグの存在が秘密にされれば、すべての人が脅威にさらされたままになる。まず事実を明らかにすることが必要だ。100年前、米国のある最高裁判事はこういった。「白日のもとにさらすことより優れた解毒剤はない」。この言葉は、サイバー・セキュリティの世界にもあてはまる。

具体的な解決策のひとつが「バグ・バウンティプログラム(BBP。自社のサーヴィス・製品のバグや脆弱性を発見・報告したユーザーに、企業が報奨金を出す制度)」だ。現在、シリコンヴァレーの何百もの企業がBBPを採用し、数百万ドルの報奨金を世界中のハッカーに支払っている。

(関連記事)インターネットの未来は、「監視」から「協働」へ

例えばFacebookは200〜300万ドルをBBPにつかったといわれる。あるいは、HackerOneがはじめた「インターネット・バグバウンティプログラム」は、PHPやPerl、 OpenSSLといった、広く使われているが、あまり脆弱性に注意が払われていないような技術のセキュリティを向上しようというものだ。

BBPは脆弱性の発見を加速する。いくら企業が安全だ、セキュリティの問題はないと言ったところで、例えばエクスプロイト・データベース(脆弱性のあるソフトウェアをアーカイブしたサイト)をみれば、現実には多くの不正利用が行われていることがわかる。

shutterstock_108034838

image from Shutterstock

4.セキュリティはもっとも弱い鎖からくずれる

現在、わたしたちはすべて、巨大なエコシステムのなかにいる。他のサーヴィスやシステム、顧客、パートナーなどに依存せずにビジネスを行っている企業はないだろう。

ターゲット(米国の大手ディスカウントチェーン)は、毎年1万ドルをサイバー・セキュリティに投資しながら、まんまとハックされてしまった。悪意のあるハッカーたちは、まずターゲットの冷蔵庫メンテナンス業者をハックした。そして、その冷蔵庫を通じてターゲット内部のネットワークに侵入し、膨大なクレジットカード情報を盗み出したのだ。また、ロッキード・マーティンは2011年、自社のセキュリティ・プロバイダーを通じてハッカーに侵入された。

これらの例からわかるように、いくら自分たちの組織だけが注意を払っても、脆弱性はもっとも弱いパートナーから入り込んでしまう。

これを解決するには、すべての人をエンパワーするしかない。たとえば、「クリプト・パーティー」という、セキュリティ専門家がセキュリティについて一般の人に教える場がある。あるいは「レッド・サイバーチーム」というセキュリティ専門家のグループがある。彼らは自発的に企業のセキュリティチェックを行い、発見した問題を企業に教える活動を行なっている。また、「サイバー防火訓練」というものもある。サイバー攻撃を受けた時、まず最初にどうするか、どのような対応をとるかなど、防火訓練と同じように日頃から緊急事態に対応する訓練をしておくものだ。

シスコの調査によると、現在世界中で100万人のセキュリティ専門家が必要とされているという。もっと多くのセキュリティ専門家を育てる必要がある。

5.「ギャップ」を埋める

最後の問題は「ギャップ」、つまりセキュリティ専門家/ハッカーと、それ以外の一般の人々の間のギャップ、現場の人々とマネジメントとの間のギャップ、セキュリティ業界とメディアの間のギャップなどだ。

それぞれの立場でセキュリティに対する考え方や理解の深さは異なっている。「毎日無数のサイバー攻撃が発生している」という情報だけでは意味がない。それはどんな種類の攻撃なのか、どんな種類のマルウェアなのか、いつ誰に対しておきたのかなど、より具体的で現実的な対話をおこなう必要がある。それがギャップを埋めることだ。

「もしあなたの企業が、セキュリティ対策よりもコーヒー代により多くの予算をあてていたら、きっと問題がおきるでしょう」。これは、元ホワイトハウスの最高情報セキュリティ責任者、リチャード・クラークの言葉で、「ギャップ」をうまく表現している。

以上の問題はいずれも深刻だが、かならず解決できる、とケレンは言う。しかし、そのためにはセキュリティ専門家やハッカーたち、そして一般の人々がお互いに協力し合い、行動をおこさなければならない。いまがそのときなのだ、と。

「未来はすぐにやってきます。あらたな攻撃、脆弱性、技術があらわれ、わたしたちはまたあらたな問題に直面するでしょう。大切なことは、自らを守るためにわたしたちがどんな選択をするか、なのです」



141229wired_codeblue_03

脆弱性発見の専門家であるインバー・ラズは、レストランのPOSシステムから病院のタイムレコーダーまで、さまざまな機器を自分自身で実際に「ハック」した手口を紹介した。

あらゆる「モノ」がハックできる時代

今回のCODE BLUEの講演に通底していたテーマが「IoT」、モノのインターネット化時代のセキュリティだ。

サイバー・セキュリティの対象はもはやウェブやインターネットだけではない。わたしたちの身の回りにあるさまざまな「リアルなもの」も脅威にさらされている。その事実を具体的な事例を通じて教えてくれたのが、脆弱性発見の専門家、インバー・ラズだ。

インバーは「物理セキュリティ:サイバー・セキュリティがすべてではない」と題した講演で、レストランのPOSシステムから病院のタイムレコーダーまで、誰もが知っているさまざまな機器を自分自身で実際に「ハック」した手口を紹介した。

例えば、屋外テラスのあるレストランの中にはPOS端末を屋外に設置している店舗がある。閉店後、POS端末は店内にしまわれるが、端末が接続されていたイーサネットのコネクタ(ジャック)は、無防備にさらされたままになっていることをインバーは発見した。

「まるでわたしに『接続してくれ』と言っているかのようでした」と聴衆を笑わせた後、インバーはその無防備なコネクタに自分のPCを接続し、やすやすとサーバーに侵入して、顧客のクレジットカード情報と取引履歴を取得するまでの手口の一部始終を披露した(もちろんインバーの目的は、顧客や店舗の情報を盗むことではない。セキュリティ上の潜在的な危険を発見し、サーヴィスの提供者や機器のメーカーに警鐘をならすことなのだ)。

インバーはその他にも、映画館のキオスク端末や病院のタイムレコーダー、空港のエンターテイメント端末などに侵入した方法を紹介し、わたしたちに身近なシステムがいとも簡単に「ハック」できることを示した。

「例えば、無線ルーターにはパスワードをかけていても、ローカルネットワーク(LAN)はまったく保護されてないことが多いのです。世の中のほとんどの機器は、不正アクセスに対する対策が施されていません」と、彼は忠告する。


TAG

CybersecurityHackerInternetinternet of thingsPasswordPrivacy

141229wired_codeblue_04

さまざまな人々がさまざまな垣根をこえてセキュリティについて話し合う場を提供したい、と語るCODE BLUE発起人の篠田佳奈。

専門家だけの問題ではない

ケレンやインバーの講演以外にも、2日間にわたるCODE BLUEにはセキュリティ分野の著名人や新鋭が多数登壇し、貴重な情報や経験を聴衆と共有した。自宅のローカルネットワークが外部から容易にハッキングできることを示し、その脆弱性に警鐘を鳴らしたKaspersky Labのディビッド・ジャコビィ、ARドローンを偽アプリでハックし、モーターを停止させるデモを行なった韓国のドンチョル・ホン、日本製ルーターの脆弱性を徹底的に調査したベン・シュミットとポール・マコウスキーなど、実践にもとづく報告が続いた。

また、2日目の基調講演には、セキュリティ分野でも幅広く使われている逆アセンブラ「IDA Pro」を開発した伝説のプログラマー、イルファク・ギルファノヴも登場した。CODE BLUE以外ではなかなか聴くことができない、貴重な講演だ。

また、日本からも、岡・デニス・健五と松本隆宏による自動車ECUソフトウェアへの攻撃手法調査、産業技術総合研究所の須崎有康によるサイバーエスピオナージを防ぐためのデヴァイス無効化技術、シマンテックの篠塚大志によるアンチウィルスソフトに検出されないための回避技術、「バグハンター」キヌガワマサトによるバグハンターの実態報告など、海外勢に勝るとも劣らない、中身の濃い発表があった。なかでも、バグ・バウンティプログラムだけで生計を立てているというキヌガワの、ストレートでユーモアあふれた発表は満員の聴衆をわかせた。

世界中から一流のセキュリティ専門家を集めるとともに、日本の優れたリサーチャーを国際的な表舞台に出し「日の光をあてる」ことも、CODE BLUEの重要な目的のひとつだ。

その成果は確実に出始めているし、日本でも脆弱性プログラムが動き出すなど少しずつ社会が変わっていることを感じる──。CODE BLUEの発起人・篠田佳奈はそう前置きをしながら、まだやるべきことはたくさんある、と言う。

「今後は、技術者だけ、IT業界だけでは立ち行かなくなります。東京オリンピックが開催される2020年には全世界で500億のデヴァイスがインターネットに接続されると言われ、急ピッチで製品開発が行われる一方、セキュリティを確保し、利用者が安心感をもって安全に使えるような社会をつくるためには、製品開発の時点から技術者・経営層などさまざまな垣根をこえて話し合っていく必要があります。CODE BLUEがその場を提供できれば、と思います」

さまざまなものがお互いに接続され、全世界をつなぐ巨大なネットワークがさらに巨大化・複雑化しつつある現代、サイバー・セキュリティはけっして専門家だけの問題ではない。今回のCODE BLUEは、そのことを強く実感させてくれた。

サイバースペースという巨大な免疫システムのなかで、すべての人が「共同し、共有し、革新する」社会を一刻も早くつくる。「いまがその時」なのだ。

TAG

CybersecurityHackerInternetinternet of thingsPasswordPrivacy