リバースエンジニアリングの国際的権威　ペドラム・アミーニ氏インタビュー(Black Hat Japan Training 2007)

リバースエンジニアリングの専門家ペドラム・アミーニ(Pedram Amini)氏が5月28,29日に新宿で開催されるトレーニングセミナーの講師として来日する。編集部は、セミナー開催事務局の協力のもと、来日前の氏にメールでインタビューを行った。

アミーニ氏は現在、3Com社の一部門であるTippingPoint社で、セキュリティ研究に従事し、セキュリティ・アセスメントチームを率いている。iDEFENSELabs社の設立メンバーの1人でもあり当時アシスタント・ディレクターを務めていた。

リバースエンジニアとして「IDA Pro」と「OllyDbg」のようなソフトウェアのために、自動化ツールやプラグイン、スクリプトを開発する一方、リバースエンジニアリングへの深い情熱と愛情やみがたく、2005年にはコミュニティサイト「OpenRCE.org」を設立。DefCon、RECon、TorConでのプレゼンテーション実績を持ち、Black Hat USA 2005でのリバースエンジニアリングコース開講時にはチケットをソールドアウトにした。

OpenRCE.org
http://www.openrce.org/

─

＞＞最新のパッチをあてたIEでも一年の大半はゼロデイに脆弱

Q：
アミーニさんは、最近のセキュリティの傾向をどう見ていますか？

アミーニ氏：
2006年には、私たちはクライアント・サイドの脆弱性の急増を目の当たりにしました。私はこれについて、多くのサーバーサイドのソフトウェアでは、リモートでエクスプロイト可能な簡単に見つけられる脆弱性によって苦しめられている事実がある一方で、マイクロソフト社により提供されるコアサービスなどは充分に強化されていることに起因していると思います。stack canary、heap cookie、Safe-SEHなど、アンチエクスプロイト・プロテクションメカニズムが包括的に取り入れられた結果です。

しかし、クライアントサイドのソフトウェアでは、攻撃するための柔軟性がもっと存在するために、InternetExplorerやWordやExcelのバグを利用した攻撃の急増を目の当たりにしました。私はこのトレンドは今年も継続すると思います。

私たちが見ているもう一つのトレンドは、開発者やセキュリティ業界の外の世界でのゼロデイ脆弱性発見の増加です。現在あるゼロデイ問題の多くは、マイクロソフト社の広く普及したクライアント側製品に影響を与えています。あるリサーチ結果で明らかになりましたが、最も最新のパッチが当てられたマイクロソフト社のInternetExplorerであっても、2006年中の80%の期間（訳註:約290日間くらいという意味）においてゼロデイに対して脆弱であったという報告があります。これは大変重要な統計データですね。

私が勤めるTippingPoint社では、世界中の独立系セキュリティ研究者をつなぎ、彼らに報酬が与えられるプログラムである、Zero Day Initiative（ZDI: ゼロ・デイ・イニシアティブ)を設立しました。現時点で、ZDIネットワークには世界的に500名以上の研究者が参加しています。TippingPoint内部およびZDIの中で行われたリサーチ結果は、公開されたものと今後出るアドバイザリーも含めて、次のURLで提供されます。

http://www.tippingpoint.com/security/published_advisories.html
http://www.tippingpoint.com/security/upcoming_advisories.html
http://www.zerodayinitiative.com/advisories.html
http://www.zerodayinitiative.com/upcoming_advisories.html

これらの、開発者やセキュリティ業界の外の世界でのゼロデイ脆弱性発見の増加は、オンライン犯罪活動の増加というもうひとつのトレンドに起因ですると考えられるでしょう。クライアント側のゼロデイ脆弱性は、極悪非道な犯罪組織によって、スパム目的などの大規模なボットネットを作るための手段に利用されています。

これらの犯罪グループがどれほど強い動機があり強力であるかについて例を挙げるなら、イスラエルのアンチスパム・スタートアップ企業だったBlueSecurityが、スパマーによって存在を消されたことを考えればわかるでしょうか。

Q：
このようなセキュリティのトレンドについて、アミーニさんのミッションは何ですか？

アミーニ氏：
私の特定のミッションとしては、ゼロデイの発見とエクスプロイト・テクニックの変化曲線の先に足場を確保し続けるのにトライすることです。

例としては、怪しい世界で見られたInternetExplorerのエクスプロイトのほとんどが、金銭搾取のための類似のテクニックの手段となっていることを考えてください。現在と将来にやって来るテクニックを研究し続けることによって、私たちはもっと包括的な脆弱性診断的なプロテクションメカニズムを適用することができるでしょう。

＞＞攻撃者への攻撃が合法的に保護された裁定が新しい製品を生むか

Q：
アミーニさんが最近もっとも印象に残っている出来事はなんですか？

アミーニ氏：
2007年4月のアメリカ合衆国内での裁定で、攻撃者への攻撃が合法的に保護されたことは、大変に興味深いものでしたね。

この裁定が出たことで今後、「自分の攻撃は妥当な防衛だった」と立証するための訴訟合戦という、まったく新しい世界の幕があけられることになるでしょう。私は、この裁定によって何らかの商用製品が市場にやって来るかについて、興味を持っています。

＞＞研究者が内側をのぞく必要性は日々高まっている

Q：
最後にアミーニさんが５月末に東京で行うトレーニングセミナーの内容について教えて下さい。

アミーニ氏：
「Black Hat Japan Training 2007」において、SABRE Security社のイーロ・カレラ（Ero Carrera）氏と一緒に「Windowsのマルウェア検出と分析、リバースエンジニアリング」コースを講義します。私のトレーニングは、32ビットWindows環境での悪意のあるコードに焦点を当てた、リバースエンジニアリングに特化したものです。

一般的に言って、エンジニアには、大学や数多くの本や技術認定など、知識を磨くための多くの専門的情報リソースがあると思われています。ところがリバースエンジニアリング分野だけは、コンピュータセキュリティ領域では文句なく通常のエンジニアリングより重要なのにもかかわらず、状況は違っているのです。トレーニングの大半の時間は、私とイーロ・カレラが受講生とともに、1対1でインタラクティブに進めるように準備されています。

受講生はこのトレーニングを通して、リバースエンジニアとしてどのように考えるのか、リバースエンジニアリングのためにはどのツールとプロセスを用いるのか、リバースエンジニアリングに際し適時に系統的に作業を実施するにはどのようにするのかを学びます。受講生はこのトレーニング終了時には、未知の.exeを解剖し、そのプログラムが何をするものでどのように拡散するかを、数時間で詳細にレポートできるようになるでしょう。

Windowsのマルウェア検出と分析、リバースエンジニアリング
http://shop.ns-research.jp/3/9/8989.html

＞＞日本文化への傾倒

Q：
日本を訪れるセキュリティ専門家は、攻殻機動隊が大好きだったり合気道をやっていたり日本文化に造詣の深い方が多いですね。アミーニさんは日本にどんな興味を持っていますか？

アミーニ氏：
私は日本の文化に魅了され、昔から松濤館流空手を断続的に勉強しています。今回の訪日では、当然、自分の空手着を持って行き、道場に絶対詣でるつもりです。テクノロジーとエンジニアリングをこよなく愛する者としても、日本は魅力的です。この惑星で最も進んだ携帯電話技術を持つことから、海の上に空港を建て、四角くて積み上げられる遺伝子組み換えスイカが設計されたことなどまで。

また私は地下鉄システムを見ることに興味があり、乗客を列車に押し込むスタッフが雇われているというのは本当なのかどうか、自分の目で確かめたいと思います。

【取材執筆：Gohsuke Takama】