Black Hat Japan 2005 に来日する世界最高ランクのエキスパート達の全貌第7回： Jeremiah Grossman

● Jeremiah Grossman

　フィッシングとクロスサイト・スクリプティング（XSS）を使ったハイブリッド型の詐欺が増えている。『スーパーフィッシング：次世代のフィッシング』について発表するJeremiahは、世界的に著名なウェブアプリセキュリティのエキスパート。ホワイトハット・セキュリティの設立者かつ最高技術責任者（CTO）でもある。(詳細：http://japan.blackhat.com/)

　今回の発表では、単なるフィッシング詐欺やXSSを取り上げることはせず、2つが一緒になった時に生まれる新しい攻撃テクニックの可能性を議論していく。既にフィッシャーはこれらを利用し、従来のセキュリティ対策では対応不能な新しいフィッシング攻撃を作っている。つまり、SSL、ブラックリスト、トークンベースの認証、ブラウザの同一発信者ポリシー、サービスの監視と必要に応じた停止などでは、ほとんど保護にならないのだ。似て見えるウェブサイトではなく、正真正銘のサイトから発信される攻撃やわずか数行のJavascriptを書き換えるだけでスパイウェアに変えられる攻撃も存在する。これらの攻撃をデモで紹介しながら、守るための必要なステップも示されるようだ。

　Jeremiaはマウイ島出身。12歳でコンピュータ「Commodore64」を得ると、独学で習得したパスカルでスクリーンセイバーを作ったりして遊ぶような少年だった。高校時代はウェブ環境設計のフリーランスで生活し、カレッジ時代はUnix管理者として働きながら電気工学を学んだ。その頃Yahoo! にスカウトされる。「卒業生で一番の高額所得はいくらかをカウンセラーに聞いたら僕へのスカウト提示額の方がはるかに多かった。だからカレッジをやめたんだ」と彼は笑う。

　彼のYahoo! 時代は強烈だ。1億8千名のユーザを抱えながら何百というウェブアプリを監査する。「干草の山に小さな針が含まれているんだ」と彼は話す。

　ウェブアプリセキュリティはぺネトレーションテスト等とは異なり、手作業の物が多い。「自動化やアプリから学習するスキャナーを作ることが挑戦であり、強力なツールとなるであろう。」

───────────────────────────────────
□ Black Hat Japan 2005 Briefings 開催概要
開催地：東京新宿京王プラザホテル
年月日：2005年10月17日(月)〜18日(火)
受講料：84,000円(税込)／早割料金73,500円(税込)
　 U R L ：https://www.netsecurity.ne.jp/14_4253.html