Security Blue Note 第2回「Black Hat USA 2014 開催直前オススメ」

Hello! Kanaです。

つい先日、夏の6つのセキュリティ国際会議をご紹介しましたが、その中でも最も数が多く、最もインパクトの高い講演で誇るBlack Hat USAがいよいよ始まります。多数の講演の中で、注目されているトピックをいくつかご紹介しますね。

まずは基調講演から。基本的なことなのですが、あらためて、基調講演の意味はご存じですか？英語では「Keynote」つまり楽曲の基本のトーンという意味で、その会議全体の方向性を暗示する重要なイントロとなる講演です。

Black Hat USAではココ最近、政府関係の方が多く登壇していますが、今年の基調講演を担うDan Geer氏は投資企業の方。ただし投資先はCIAや米国の諜報関連だそう。講演タイトルは「リアルな政治問題としてのサイバーセキュリティ（原題：CYBERSECURITY AS REALPOLITIK）」。講演概要から見るとかなり悲観的な内容かも知れません。

CYBERSECURITY AS REALPOLITIK
https://www.blackhat.com/us-14/briefings.html#cybersecurity-as-realpolitik

国家レベルのトピックで言えば、F-Secure社の Mikko Hipponen氏が「マルウェア作成者としての国家：次世代（原題：GOVERNMENTS AS MALWARE AUTHORS: THE NEXT GENERATION）」というタイトルで講演します。SCADA問題といい、マルウェア作成に国家が関与しているという噂は何年もささやかれています。「どの政府？高度なスキルはどこから？予算はどれくらい？私達にはそれと戦える希望はあるのか？」といった質問に回答してくれるでしょう。
彼はRSAとNSAの密約疑惑でRSAで予定していた講演をキャンセルしましたが、その代わりにTrustyConで同様の内容を講演しました。今回はそのアップデート版です。事前学習はそちらでどうぞ。

GOVERNMENTS AS MALWARE AUTHORS: THE NEXT GENERATION
https://www.blackhat.com/us-14/briefings.html#governments-as-malware-authors-the-next-generation

ちょっとヘビーな内容が続きますが、Torへのエクスプロイトに関するAlexander Volynkin氏らによる講演「You Don't Have to be the NSA to Break Tor: Deanonymizing Users on a Budget」がキャンセルされて憶測を呼んでいましたが、７月３０日発表のロイター通信によると、米国国防総省が主要なスポンサーであるカーネギーメロン大学のソフトウェア工学研究所の二人の研究者がTorを攻撃し、プライバシーが漏洩している可能性があるとの報道が有りました。

ロイター通信 2014/7/30
http://www.reuters.com/article/2014/07/30/us-privacy-software-attack-idUSKBN0FZ1RZ20140730

技術的なトピックに行きましょう。

Google Glass や iPhoneなどのカメラは大変優秀になってきていますが、MITの Xinwen Fu氏らによる「私のGoogle Glassはあなたのパスワードを見てるよ（原題：MY GOOGLE GLASS SEES YOUR PASSWORDS!）」という講演では、例えばGoogle Glassから３ｍ離れたところのiPhoneにタイプされた認証パスコードを約90%の確立で読解する可能性について発表します。Google GlassのみならずiPhoneその他スマホも遠距離からパスコードを認知することが可能だそう。最近のカメラは解像度も高く、タッチスクリーンの指の位置でパスコードを読めちゃうアルゴリズムつくちゃった、というお話のようです。パスワード認証はそろそろ限界なのかもしれません。。。

MY GOOGLE GLASS SEES YOUR PASSWORDS!
https://www.blackhat.com/us-14/briefings.html#my-google-glass-sees-your-passwords

ハードウェアに強い Karsten Nohl 氏が「残念なUSB：悪用されるアクセサリー（原題：BADUSB - ON ACCESSORIES THAT TURN EVIL）」と題してまたまた根底を覆すようなUSBデバイスの制御チップから操作する新しいタイプのマルウェアについて発表します。このマルウェアはユーザをスパイしたり、コンピュータ制御を奪ったりする可能性もあるとか。従来のアンチウイルスソフトでは検知不能だとも。影響の範囲も大きく報道もたくさん出ていますが、実際の詳細は講演をきいてみないとわかりません。

BADUSB - ON ACCESSORIES THAT TURN EVIL
https://www.blackhat.com/us-14/briefings.html#badusb-on-accessories-that-turn-evil

「Android Hacker’s Handbook」の著者であり、Pwn2Ownの常連でもある AccuvantのJoshua Drake氏にはよる「ドロイド軍の助けを借りてのAndroidデバイスのセキュリティの研究（原題：RESEARCHING ANDROID DEVICE SECURITY WITH THE HELP OF A DROID ARMY）は、無数にあるAndroidデバイスの種類は多く、Android OSのエクスプロイトや監査とひとことでいってもそれぞれが異なる設計であること、その理由、異なるデバイス間の問題をどう対応すべきかといった彼の手法を紹介します。

RESEARCHING ANDROID DEVICE SECURITY WITH THE HELP OF A DROID ARMY
https://www.blackhat.com/us-14/briefings.html#researching-android-device-security-with-the-help-of-a-droid-army

ハードウェア関連では、自動車、家（IoT）などがあります。Jean-Michel Picod氏らによる無線に関する発表「原題：BRINGING SOFTWARE DEFINED RADIO TO THE PENETRATION TESTING COMMUNITY）の中では、ウェアラブルデバイスや、IoTなどの比較的新しいデバイスは深いセキュリティ背景が不足したまま開発されており、セキュリティやプライバシーに関する問題の詳細を紹介する予定です。

BRINGING SOFTWARE DEFINED RADIO TO THE PENETRATION TESTING COMMUNITY
https://www.blackhat.com/us-14/briefings.html#bringing-software-defined-radio-to-the-penetration-testing-community

CODE BLUEでも発表したChrisValasek氏らは自動車セキュリティ「自動車へのリモート攻撃に関する調査（原題：A SURVEY OF REMOTE AUTOMOTIVE ATTACK SURFACES）」と題してリモートからの悪意ある攻撃に酔ってブレーキ操作不能になる可能性などの詳細を紹介する予定です。

A SURVEY OF REMOTE AUTOMOTIVE ATTACK SURFACES
https://www.blackhat.com/us-14/briefings.html#a-survey-of-remote-automotive-attack-surfaces

その他、脆弱性ばかりでなくどのように防衛するのか、という講演もあります。Tony Sager氏による「攻撃から行動へ：防衛的選択をドライブするための脅威モデルの樹立（原題：FROM ATTACKS TO ACTION - BUILDING A USABLE THREAT MODEL TO DRIVE DEFENSIVE CHOICES）」と題して、脆弱性等の素早い共有だけでなく、そうしたデータを行動可能な情報にどのようにドライブしていくか、といった講演のようです。こうした講演も重要です。

FROM ATTACKS TO ACTION - BUILDING A USABLE THREAT MODEL TO DRIVE DEFENSIVE CHOICES
https://www.blackhat.com/us-14/briefings.html#from-attacks-to-action-building-a-usable-threat-model-to-drive-defensive-choices

Black Hat USAは本当に講演数が多くて、全部聞ききれないのが残念ですが、精一杯勉強してきたいと思います！

（篠田佳奈／「CODE BLUE」事務局 http://www.codeblue.jp/ ）