Airpods

Black HatとDEF CON 2017から学ぶサイバーセキュリティの3つの主要トレンドと教訓

Black HatとDEF CON 2017から学ぶサイバーセキュリティの3つの主要トレンドと教訓
先週、ラスベガスでBlack Hatセキュリティカンファレンスが開催されました。(写真はFacebook / BlackHatEventsより)

毎年、世界中のトップクラスのセキュリティ専門家がラスベガスで開催されるセキュリティカンファレンス「Black Hat」と「DEF CON」に集まり、最新の情報セキュリティ(InfoSec)研究、脆弱性の発見、ハッキング手法を共有します。これらの研究者による発見はサイバー犯罪者をはるかに先取りしていることが多く、これらのブリーフィングは次世代の脅威の傾向や攻撃を予測するのに役立ちます。これらの傾向を事前に理解することで、将来の攻撃に備えて防御策を調整し、適応させることができます。

残念ながら、情報セキュリティ業界以外では、これらのカンファレンスに参加する機会がほとんどなく、そこで得られる学びを逃してしまっています。カンファレンスで得られた学びをすべて1つの短い記事でご紹介することはできませんが、この2つのカンファレンスの3つの主要なテーマと、そこから学べることについて簡単にまとめたいと思います。

まず、これら2つのセキュリティイベントの簡単な歴史から始めましょう。どちらのハッカーカンファレンスも、ジェフ・モス氏(ハッカーハンドルネームはDark Tangent)によって設立されました。モス氏は1993年にDEF CON、1997年にBlack Hatを創設しました。どちらも米国で最も古い情報セキュリティ関連のカンファレンスの一つです。

モス氏は、主にハッカーと研究者コミュニティのためにDEF CONを創設しました。この2つのカンファレンスの中で、DEF CONはおそらく、ハッカーカンファレンスに対するありきたりな期待に最も近いと言えるでしょう。参加者は「ブラックハット」と呼ばれることは少ないものの、技術システムの破壊やハッキングに熱中しており、このカンファレンスは防御よりも攻撃に重点を置いています。また、コミュニティの人々が気楽に過ごし、楽しみ、同じ志を持つ人々と交流する場でもあります。ビジネスカンファレンスとは異なり、DEF CONはパーティーのような雰囲気で、鍵開けコンテストや暗号チャレンジなど、様々なイベントが開催されます。DEF CONの参加者は他人をハッキングしたり、技術的ないたずらをしたりすることも厭わないので、しっかりと防御策を講じて臨むことをお勧めします。

名前から想像されるほどではありませんが、Black Hatは2つのカンファレンスの中でよりビジネス志向のカンファレンスです。Moss氏は、大企業のCSOや情報セキュリティチームを教育するためにBlack Hatを設立しました。講演者は両方とも同じ人が多いものの、Black Hatのブリーフィングはより専門的で、防御戦略に焦点を当てている(または少なくとも防御戦略で締めくくられている)ことが多いです。業界のプロフェッショナルカンファレンスに参加したことがある方なら、Black Hatの形式に馴染みがあるでしょう。とはいえ、これらのカンファレンスは同じ週に開催されるため、多くの人が両方に参加し、それぞれ独自の価値を提供しています。

さて、ショーについて少しご理解いただけたところで、Black Hat と DEF CON 2017 のトップ 3 のテーマについてお話ししましょう。

1. モノのインターネット(IoT)を制覇する

IoTのセキュリティ問題は、今年のDEF CONとBlack Hatカンファレンスの最大のテーマでした。両カンファレンスでは、研究者がIoTのセキュリティ問題や、IoTに関連するハードウェアおよびソフトウェアのハッキング手法について多くの講演を行いました。

DEF CON 2017のKeyportブース。(写真はFlickr / TheKeyPortより)

例えば、Black Hatでは、中国の研究者2人が「EvilSploit - ユニバーサルハードウェアハッキングツールキット」について講演しました。IoT研究者がハードウェアを分析する際、最初のタスクの一つは、ハードウェアのフラッシュメモリまたはファームウェアのダンプです。IoTデバイスのPCBには、デバッグや初期フラッシュ書き込み用のUARTまたはJTAGインターフェースを提供する未実装のパッドが配置されていることがよくあります。ハードウェアハッカーは、ラベルのないインターフェースを手作業で調べ、ピン配置や通信プロトコルを解明するのに多くの時間を費やします。EvilSploitの研究者たちは、接続されたデバイスのピンを自動的に列挙できるデバイスとソフトウェアを実演しました。これにより、IoTターゲットの初期ハードウェア偵察が大幅に容易になります。

Black Hatの別の講演「ビルディングオートメーションにおける(不)セキュリティ」では、スマートビルディングで使用されているアーキテクチャと業界固有のプロトコルに焦点を当て、攻撃者がこれらのシステムをどのようにハッキングするかについて考察しました。要約すると、これらのプロトコルを理解し、ネットワークにアクセスできれば、ビルディングオートメーションシステムへの攻撃は比較的容易です。実際、講演者はShodanなどの公開スキャンツールを用いて、多くのビルディングオートメーションシステムがインターネットに公開されていることを発見しました。

DEF CON では IoT に関する講演も数多く行われ、その中にはさまざまな IoT デバイスに存在する数十の脆弱性について研究者が詳細を披露した講演もいくつかありました。

「あなたのものはすべて私たちのもの」と題された講演で、Exploitee.rsのハッカーたちは、ウェブカメラからネットワーク接続ストレージ(NAS)デバイスまで、20種類以上のIoTデバイスにゼロデイ脆弱性を仕掛けました。実際、彼らの調査では、Western DigitalのMyCloud NASデバイスだけで80件を超える脆弱性が発見されました。これらの脆弱性を次々と説明した後、講演者は人気テック系ラッパーをステージに招き、eMMCチップ経由でIoTファームウェアを入手するためのカスタムPCBを無料で配布しました。

Bastille Networks の研究者を中心に、IoT に関する講演も行われました。特に、ISP から提供されるルーターやケーブルトップボックスに焦点を当てています。「CableTap: Wirelessly Tapping into Your Home Network」という講演の中で、3 人のハッカーは、Comcast Xfinity から顧客が購入する可能性のあるホームネットワーク機器に存在する数十の脆弱性について説明しました。これらの脆弱性の中には、組み合わせて使用​​されると、リモート攻撃者がホームネットワーク内の主要機器を完全に制御できるものも存在します。

これは、両ショーで行われた数多くのIoT関連の講演のほんの一部に過ぎません。IoTのトレンドは明確です。まず、多くのIoTデバイスは依然として非常に安全性の低い設定や構成で出荷されています。次に、研究者や犯罪者もIoTを標的としているため、ネットワークに接続されたガジェットを保護する必要があります。

ここでは、IoT セキュリティに関する 2 つの簡単なヒントを紹介します。

  1. IoTネットワークをインターネットと重要なサーバーの両方から分離しましょう。IoTデバイスの管理インターフェースにはファイアウォールが必要です。これらのデバイスの多くは依然としてオープンなインターネット上に存在しており、Miraiのような攻撃が成功したのはそのためです。また、ファイアウォールを使用してIoTデバイスを重要な社内サービスから分離することをお勧めします。そうすれば、IoTデバイスが乗っ取られた場合でも、サーバーは安全な状態を維持できます。
  2. ファームウェアを定期的に更新しましょう。IoTデバイスはハードウェアですが、ソフトウェアで動作します。研究者がこれらのカンファレンスで発見した脆弱性の種類を公開すると、メーカーは通常、それらを修正するためのファームウェアアップデートをリリースします(例えば、ComcastはDEF CONで公開された脆弱性の一部を修正しました)。ハードウェアのファームウェアはできるだけ頻繁に更新するようにしてください。

2. 機械学習はダークサイドへ

テクノロジー業界に携わっている方なら、機械学習(ML)、ディープラーニング、人工知能(AI)という言葉をよく耳にしたことがあるでしょう。これらの技術は、インターネット上の猫の写真の分類から自動運転車の開発まで、あらゆる用途に活用されています。最近では、セキュリティ業界もマルウェアや攻撃の検知精度向上のためにこれらの技術を採用し始めています。

2017年のセキュリティ予測の一つは、攻撃者が攻撃の精度向上のために機械学習を活用し始めるだろうというものでした。まだ実環境では確認されていませんが、先週の展示会では、攻撃と防御の両方において機械学習を活用することを支持する講演が数多く行われました。

例えば、Black Hatの講演「Bot vs Bot: Evading Machine Learning Malware Detection(ボット対ボット:機械学習によるマルウェア検出の回避)」では、攻撃者が機械学習を用いて他の機械学習ベースのマルウェア検出メカニズムが「探している」ものをどのように把握するかが検討されました。そして、それらのものを回避するマルウェアを作成し、検出を回避できるのです。別の講演「Wire Me Through Machine Learning(機械学習による接続)」では、スパマーが機械学習を活用してフィッシングメールを改良することで、フィッシングキャンペーンの成功率を向上させる方法を探りました。

DEF CONでは、研究者たちが機械学習を武器化する方法について共有しました(そもそも人間性は過大評価されている)。彼らは、ウェブアプリケーションをハッキングするオープンソースAI「DeepHack」というツールを紹介しました。一方、機械学習は、直接機械学習に触れていない多くの講演でも、背景にある話題として取り上げられていました。研究者も攻撃者も、機械学習とAIを活用してプロジェクトのスピードアップと改善を図っていることは明らかです。

犯罪者が機械学習を使用しているという証拠はまだ見つかっていませんが、機械学習はセキュリティにおいて明らかに重要なテーマであり、多くの人が攻撃者も機械学習を利用すると予想しています。機械学習によって改善された攻撃やマルウェアから身を守るための簡単なヒントは、防御にも機械学習を活用する以外にありません。

3. 地政学的なハッキングと偽情報の増加

最後に、両展示会では、国家や地政学的なハッキングの現状を探る講演やイベントが数多く開催されました。これらの講演には、政府によるゼロデイ脆弱性の蓄積、国家による産業制御システム(ICS)への攻撃、そして高度な技術を持つ敵対者がプロパガンダを武器にしてより影響力のあるフェイクニュースを作り出す方法などに関する調査が含まれていました。

DEF CONでは、投票村で実際の投票機の脆弱性を悪用するコンテストも開催されました。90分以内に、参加者は比較的安全性の低いこれらの投票機に多くの脆弱性を発見しました。脆弱性の中には、攻撃者が投票機のファームウェアを書き換えられるものや、ワイヤレスで動作するものもありました。

セキュリティ専門家が投票機ハッキング村の欠陥を暴こうとしている。(写真:Flickr / Doctorow)

つまり、サイバー戦争とスパイ活動における政府の役割は、Black HatとDEF CONで間違いなくテーマの一つとなった。これは、現在の地政学的情勢を考えると当然のことだ。この問題には簡単な解決策はない。

政府によるハッキング活動の中には、許容されるものとそうでないものが存在するのでしょうか?政府はソフトウェアの脆弱性を発見して隠蔽すべきでしょうか、それとも修正を支援すべきでしょうか?投票操作やハッキングは、宣戦布告に値するほど悪質な違反行為と言えるでしょうか?政府や社会がこれらの疑問にまだ集団として答えを出していないように思いますが、これらはすべて、私たちが将来に向けて考えるべきことです。ここで私が唯一アドバイスできるのは、投票や発言を通して、議論の中で自分の声を届けることです。

今年のBlack HatとDEF CONで共有された有益な情報はほんの一部に過ぎませんが、この情報が将来のセキュリティリスクについて考えるきっかけになれば幸いです。これらのカンファレンスに参加する機会があれば、今後の攻撃のトレンドをいち早く把握し、防御策を講じる絶好の機会となるでしょう。