Black Hat Japan 2006 Briefings、スピーカー紹介〜Scott Stender（スコット・ステンダー）〜

来月開催されるBlack Hat Japan 2006では、データ入力に対する攻撃についてもセッションがある。開催まであと約2週間と迫ってきた今回は、Scott Stender（スコット・ステンダー）氏を紹介しよう。Stender氏は、ストラテジック・デジタル・セキュリティに関するコンサルティングを提供するiSEC Partners設立パートナーの1人で、iSEC Partners社の以前には、著名ハッカーであるMudgeの設立した@stake社や、マイクロソフトにおいて数年間にわたる大規模ソフトウェア開発とセキュリティコンサルティングの経験を有している。@stake社では、多くの最重要顧客のアプリケーションアナリストとして活躍。マイクロソフト社では、分散型エンタープライズ・アプリケーションのセキュリティと信頼性分析に従事していた。Stender氏はまた、セキュアなソフトウェア・エンジニアリングの方法論と、中核となる技術のセキュリティ分析のリサーチャーとしてもよく知られている。Black Hat USAやOWASPやSoftware Security Summitなど多数の講演経験がある。ノートルダム大学にてコンピュータ工学理学士号を取得している。

Stender氏はBlack Hat Japan 2006でのセッションでは、「国際化されたソフトウェアへの攻撃」というテーマを取り上げる。PHPで書かれた小規模なブログから大企業クラスのデータベースまで、どのようなアプリケーションであっても、データ入力の際には未加工のbyteデータそのものを受け取り、それを入力データとして解釈し、システムが正常に稼動するための情報として利用される。文字表示から単位にまでおよぶ国際化支援は、データが処理されるプロセスの中間にある「解釈(Interpretation)」の処理に影響を及ぼすという。

データの解釈が想像を絶するような難しいタスクであることを理解し、適切にシステムを実装できるソフトウェア開発者はたしかに存在はするのだが、彼ら以外はその難しさを理解できないため、最悪の場合には質の悪い国際化に加えて、その部分に弱点のあるセキュアでないソフトウェアを生んでしまうことになる。どの開発者も、OS、通信メカニズム、データフォーマットやアプリケーションの国際化を信用し、依存している。これは、こうした他方面への要素への乏しい理解が、範囲の大きいセキュリティ攻撃の表層となることを意味しているということなのだ。

一般的に見られる多くの攻撃は、単純に「不良データ」をシステムに送り込み、受信側の誤動作を利用して悪影響を与えることに注力しているにすぎない。したがって、多くの防御用システムは悪意のあるデータの侵入を未然に防ぐよう発達してきた。今回のセッションでは、一般的なソフトウェアの無数のコンポーネントに使われるデータを操作するために、データ解釈の段階を利用するという高度なテクニックが解説される。また、コア・テクノロジーに関する数年来の研究に基づいた、攻撃と防御のそれぞれの方法論も提示される予定となっている。

「議論を重ねて作られた国際化ソフトウェアで、セキュリティ対策がきちんとなされたというものは、ほとんど見たことがない。まして詳細まで踏み込んだものは皆無だ。このセッションの参加者のみなさんには、僕がお見せする3つの攻撃パターンに対する理解を深めてもらい、社内あるいは自分の関わるシステムがさらされるリスクを正確に把握してもらいたい。これは特に日本のみなさんには重要なことだと思う。私がお話しする多くの攻撃パターンは、そのほとんどが現地固有のシステム設定に依存している。日本語（ロケール）をサポートするシステムは、非常に多くの日本語文字をサポートするという複雑性によって、よりこの種の攻撃にさらされやすくなる。」とStender氏は言う。

同氏は今回のBlack Hat Japanで二つの目的を達成したいという。一つは、前述で例示されたような特有の攻撃パターンについてのナレッジを広めること。二つめは、アプリケーションセキュリティ分野についてのリサーチ活動を促進することだという。「セキュリティの改善は、システムが持ちこたえなければならない攻撃手法に対する、深い理解を通してのみ期待できるものであると思っている。」とStender氏は語る。

【1】専門・研究領域は?
アプリケーションセキュリティ・コンサルティングの仕事をしているので、多様なプラットフォームや言語に対応できる幅広い経験がある。最近では、国際化やWebサービスやセキュア・ソフトウェア・エンジニアリングの方法論、高度なfuzzing手法についての調査に多くの時間を費やしている。

【2】セキュリティの大きなトレンドは?
アプリケーションセキュリティにおける、バッファ・オーバーフローの回避やSQLインジェクションといった「シンプル」な問題は、ソースの分析とテスト両方の自動化の恩恵を受け続けるだろう。しかしそれらが、新たな攻撃テクニックは今後もこのペースを継続するだろうし加速することさえ考えられるため、特定の技術やアプリケーションに的を絞ったものになってくるといえる。その結果として、必ずしもセキュリティのニーズには合致しないが、アプリケーションは今日のトップ10に入る欠陥よりも低い傾向になるだろう。セキュリティ専門家の視点から言えば、今後のシステムは攻撃とそれに対する防御に特化した専門のナレッジが必要になるだろう。また、ツール類は書くのも実行するのも難しくなってくること、そして、意味のある長期的観点のセキュリティに対する要求は、玉虫色のゴールとして存在し続けるということを私たちは認識すべきだ。

【3】最近注目したインシデントは？
特にこれと特定するインシデントではないのだが、フィッシングの脅威は特に興味深い。フィッシングは、資産、モチベーション、履歴に対する攻撃といった、セキュリティの脅威に関するすべての形成要件の側面を持っている。一方で、フィッシングはどのセキュリティ・チェックリストにもフィットしない。技術者としては、「そうした脅威からはユーザーを守りきれません」と宣言し、線引きをするのは簡単だが、それを言うのは間違っている。システムは、フィッシングの可能性やインパクトを低減するように実装されるべきだし、その点についての欠陥はすべて脅威に対する震源となる。

【4】日本で興味のあることは？
私の旅行スタイルは、前もって旅程表を作って行動するというより、その場所に行って周りの環境にどっぷりつかるタイプなので。とはいいつつ、築地の魚河岸にはすごくおいしい鮨屋あるらしいし、美術館や歴史博物館、美しい庭園もたくさんあると聞いているので、滞在中にできるだけ多くのところに言ってみたいと思っているよ。

Stender氏の話の続きは10月5、6日に東京・新宿の京王プラザホテルで開催される「Black Hat Japan 2006 Briefings」での詳細なプレゼンテーションに期待したい。オンラインでの参加登録締切は9月末で、参加費用は通常価格が84,000円。なおインターネット協会会員や3名以上のグループ参加の場合は1名あたり63,000円という割引価格が適用される。
また日本で初回開催となるトレーニングについては、開催初年度のスペシャル価格として2日間のコースを29万6000円に新設定。こちらもインターネット協会会員や2名以上のグループ参加の場合、1名あたり197,000円となる。

Black Hat Japan 2006 Briefings
http://shop.ns-research.jp/3/9/7481.html
Black Hat Japan Training 2006
http://shop.ns-research.jp/3/9/7503.html