[Black Hat USA 2014 レポート] Alice in Hackerland 第2回「Black Hat USA 2014 ～何かを変えて来年またここに戻ってこい」

本連載は、セキュリティコンサルタント土屋アリス氏による、セキュリティカンファレンスや、サイバーセキュリティ専門家のインタビューをお届けします。

2014年8月6日～7日、米ラスベガスマンダレイベイホテルにて開催された、Black Hat 2014 に参加してきました。Black Hat は 1997 年から続く国際的な情報セキュリティの最先端とされるカンファレンスです。私は IT セキュリティ業界に入って4年目なのだけれど、実は今回が初めての参加です。

●人生初めてのラスベガス、人生初のBlack Hat

初めて会場についた時、正直胸が高鳴りました。9,000人以上が収容される高級ホテルの大会場では、スポットライトに照らされる演台の両側に、巨大な Black Hat のロゴがスクリーン映し出され、テクノな音楽に合わせて、表情を変えています。そして午前8時50分。カンファレンス創設者 Jeff Moss 氏が現れました。開会挨拶行われ、Black Hat 2014 が始まりました。

セッションは10エリアに分かれ、2日間で計178件（スポンサーセッション含）が開催され、そのトピックは、国際サイバー犯罪、組織におけるリスクセキュリティマネジメント、自動車・モバイル・医療機器・家電・カードに対するセキュリティなど多岐に渡りました。気になったセッションをいくつか紹介します。

●中国の高級ホテルをハッキング

Learn How to Control Every Room at a Luxury Hotel Remotely: The Dangers of Insecure Home Automation Deployment
筆者が参加したセッションの中で一番の笑いを誘っていたのが Jesus Molina 氏です。Molina 氏は、講演開早々、会場併設のカジノにあるスロットマシンをハッキングして会場から喝采を浴びました。

彼が中国を訪れた時、高級ホテルに長期滞在したそうです。部屋は全ての家電が備え付けのiPadで操作ができるようになっており、すぐに彼は、そのiPadの通信をハッキングして、彼のPCから全ての家電製品を操作することができることに気付いてしまいました。

Molina氏は「皆さんは、こういったホテルに泊まった場合（危険を感じて）ホテルを変えますか？　この質問に、ほとんどの人は『No』と答えるでしょう。操作される可能性があるからって何？　そんな大したことはできないでしょうと。危機を感じない『意識』が『危険』なんだ」と聴衆に語りかけました。

筆者は物理的な危険を感じることは徹底的に避けるように意識をしていますが、電子的分野の危険になると、とたんにその意識レベルが低くなります。今や資産と言われる情報ですが、情報を取られても、操作されても、直接命は奪われないだろうという意識が楽観的に考えてしまう原因かもしれません。

●経営陣に対し、どう情報セキュリティの重要性を伝えるか

GOVERNMENT POLICY ROUNDTABLE: UNDERSTANDING THE NIST RISK MANAGEMENT FRAMEWORK
このセッションは、スピーカー唯一女性である NIST 所属の Tiffany Jones 氏が MC を勤める受講者参加型のディスカッションです。彼女のセッションは、定期的に意見交換会として開催されていて、今回のテーマは「組織に如何にサイバー対策セキュリティのフレームワークを浸透させるか」です。

ディスカッションでは、組織内で情報セキュリティの価値を経営陣に認めてもらうことが一番の難題だという意見が出されました。70人以上が参加するこのセッションで「自社の CEO からトップダウンでセキュリティ対策を推進している組織は？」という質問に対して手をあげたのは半数弱に過ぎませんでした。

この世界最高峰と呼ばれている Black Hat USA に参加してるセキュリティ担当者の多くも、日本のセキュリティ担当者と同じように、経営陣に対し、情報セキュリティの必要性を説くのに一苦労しているというのです。世界中のどの組織もセキュリティは経営陣と対立していることが多いんだという事実を痛感しました。

●制御システム：パッチすら当てられない組織

WHY CONTROL SYSTEM CYBER-SECURITY SUCKS...
Dr. Stefan Lders 氏は、制御システムのセキュリティ対策に対する組織の意識の甘さを訴えました。米国では未だ Windows XP を使用し続けている組織があり、新しいシステムを導入する際に、テスト環境を事前に用意できている組織も少ないということです。

可用性を何よりも優先される化学工場は、システムを一度止めてしまうと再起動までに時間がかかることから、パッチも定期的に当てられず、既知の攻撃でも被害を防げないでいる現状があるそうです。また、多くの工場のシステムは、本社の情報セキュリティ部門と連携できていないため、通常なされるべきセキュリティ対策すらできていないことも課題として挙げられました。

●動作で分かる？　ショルダーハッキングの強化系

MY GOOGLE GLASS SEES YOUR PASSWORDS!
「My Google Glass Sees Your Password!」こんなキャッチーなテーマで講演したのは、それぞれ、米マサチューセッツローウェル大学とタウソン大学、中国サウセスト大学、マカオ大学の 4 名の大学生でした。

彼らが発表したのは「スニッフィング（盗撮）」で、Web、スマートフォン、Googleグラス、果てはスマートウォッチのカメラを使用して、他人が打ち込んでいるパスワードを盗撮・分析し、どのくらいの距離・確率でターゲットのパスワード情報を分析・入手できるかの検証結果です。

パスワードを打ち込んでいるターゲットを動画で撮影、その動き（モーション）に合わせて、恐らく表示されているであろうキーボートのイメージと結合させ、ターゲットの動きとその動作の間隔から指の動いた距離を算出し、パスワードが推測されました。

検証の結果、ターゲットから3メートル離れた場所で撮影した場合、1度目で90.00％の成功率で、2度目では100％成功したそうです。

ターゲットから4メートル離れた場合は、1度目が20％、2度目が40％と、著しく成功率が落ちたものの、アングルをベストな位置で撮影できた場合の検証では43.94メートルもターゲットから離れていても、100％成功することができたと発表しました。カメラが存在する場所ではおちおちパスワードも打てなくなってしまいます。

●また来年も

創設者の Jeff Moss 氏が Black Hat を開催したのは、彼が若干22歳の時。今彼は39歳で、アメリカだけではなくヨーロッパ、アジアと開催地を広げています。筆者は、次はできたらアブダビに行きたいと思います。

人生初めてのラスベガス。人生初の Black Hat。みんな明るくてフレンドリーで、会場では笑いが絶えませんでした。セキュリティの理解を深めるために、もっと多くの専門家に出会い、話を聞き、それらを国内の皆様に届けていけたらと思う。

Black Hat USA 2014 Briefings のレポートは、開会挨拶の Moss 氏の言葉を最後に記して終えることにします。

「君たちこそが、何かを変えることができる。『時間がない』なんて忘れてしまえ。(何かを変えて)そして来年またここに戻ってこい」