Black Hat Japan 2006 Briefings、スピーカー紹介〜Joanna Rutkowska（ジョアンナ・ルトコウスカ）〜

10月5日および6日に開催予定のコンピュータ・セキュリティ・カンファレンス「Black Hat Japan 2006」の講演者の中でも注目されるのは、「Vistaカーネルのコード署名迂回法と仮想マシンへ注入されるルートキットの可能性」というタイトルで講演予定のポーランド人研究者、Joanna Rutkowska（ジョアンナ・ルトコウスカ）女史であろう。
Rutkowska氏は、本社をシンガポールに置くリサーチ企業、COSEINC社のマルウェア研究所に所属するセキュリティ・リサーチャーである。彼女は、小学生の頃からOSの内部構造に魅了され、MS-DOS上のx86アセンブラを学び始めた。その後、ほどなくしてLinuxコミュニティに移行し、特にLinuxとWindows x86システム両方のセキュリティ上の脆弱性検知を専門として、サブシステムやカーネルのプログラミングに参加した。
そしてその後、数年前から、マルウェアと攻撃者によって使われ悪意のある行為を隠してしまうことができる、ステルス技術に興味を持ち始めたという。この技術は、多様なrootkit、ネットワーク・バックドア、秘匿チャネル通信などを含んでいる。彼女は現在、この種の攻撃を検知することと、新しい攻撃用の技術を開発・テストすることの両方に取り組んでいる。

Rutkowska氏は、8月に開催されたBlack Hat USA 2006での「Subverting Vista Kernel For Fun And Profit（遊びと実益のためのWindows Vistaカーネル転覆）」というプレゼンテーションで、Windows Vistaベータ2（x64版）のカーネルに実装されているセキュリティ対策のひとつである、署名のないコードの実行を阻止する機能を迂回し、カーネル内に任意のコードを読み込み可能であることを証明して見せた。しかも、この攻撃手法にはシステムの再起動は必要ない。
また、Black Hat USA 2006でのプレゼンテーションの後半では、AMDの最新の仮想化技術「SVM（Secure Virtual Machine、別名: Pacifica）」を利用して独自の超軽量型ハイパーバイザーを作成し、下層にあるOSを完全に支配するマルウェアを作成可能という新技術、"Blue Pill"についても説明された。
しかしRutkowska氏によれば、このプレゼンテーションの最終目標は、コンセプトではなく強力なアルゴリズムに基づいている検知不可能なマルウェアが作成できる（もしくは、まもなく可能となる）ことを、デモを通して説明することにあるという。そのため、対策として考えられる要素も解説され、ユーザーモードでのraw ディスクへのアクセス禁止、ページファイルの暗号化、メモリページングの無効化などを挙げていた。
10月のBlack Hat Japan 2006では、このプレゼンテーションが日本で再現されることになるので、Las VegasのBlack Hat USAに行けなかった方にはたいへん期待できる発表といえる。

「Black Hat Japan 2006 Briefings」は、9月15日までは早期割引73,500円で受け付けている。なおインターネット協会会員割引や、3名以上のグループ参加での割引も用意されている。また、ブリーフィングの前日2日間実施する「Black Hat Japan Training 2006」についても、早期割引29万8000円で受け付けている。

Black Hat Japan 2006 Briefings
http://shop.ns-research.jp/3/9/7481.html
Black Hat Japan Training 2006
http://shop.ns-research.jp/3/9/7503.html