「トム・クルーズがわざわざ友情出演してくれるようなもの」と形容しても、サイバーセキュリティカンファレンスの常識的には決して大げさではないと思う。
来週 11 月 8 日 (水)と 9 日 (水) に東京で開催される国際サイバーセキュリティカンファレンス CODE BLUE 2023 に基調講演者として登壇する、フィンランドの国際的に著名なセキュリティ研究者 ミッコ・ヒッポネンの話である。CODE BLUE 2018 につづいて今回は 2 回目のキーノートとなる。
ミッコ・ヒッポネンは、インターネット黎明期にセキュリティがガタガタだった頃の「PDF」を、「Problematic Document Format(問題だらけのドキュメントフォーマット)」と公然と揶揄したり、SONY BMG 社が発売した映画作品の DVD にコピー防止のために仕込まれていたプログラムを「ルートキット(システムに潜伏しサイバー犯罪者の侵入や攻撃を助けるツールの呼び名)」と表だって糾弾するなど、セキュリティの倫理と正論を攻撃的にぶちかます論客として知られてきた、セキュリティ業界の「信頼できる男」である。本年 6 月には初の日本語翻訳著書「『インターネットの敵』とは誰か?」が刊行されてもいる。
彼の真摯な姿勢は国際的に高く評価信頼され、米 CNN などの大手メディアに発言をたびたび引用されたり、英 BBC などにくり返し出演もしている。まさに 21 世紀を代表するサイバーセキュリティ研究の第一人者と言っても過言ではない。
北欧の憂いのある容貌、長身、そしてブロンドの長髪をポニーテールで結んだ堂々たる美丈夫のミッコ・ヒッポネンには、テクノロジーイベントの壇上でハサミで断髪したポニーテールをオークションにかけたところ、日本円で数十万円の値が付いたというアイドル的逸話すらある。
ミッコ・ヒッポネンが複数回登壇したカンファレンスは、サイバーセキュリティカンファレンス世界最高峰の Black Hat や TED コンファレンス、そしてこの CODE BLUE を除くと、そう多くは見つからない。これは、彼が CODE BLUE にそれだけの価値を認めていることの証左でもある。
開催を目前に控えた CODE BLUE 2023 の見どころについて、CODE BLUE 創立者の篠田 佳奈と、事務局の斉藤 健一に取材した。
●駐日ウクライナ特命全権大使が登壇
篠田は、ミッコ・ヒッポネンの登壇とあわせて今年の CODE BLUE のもう一つの最重要講演として、駐日ウクライナ特命全権大使 セルギー・コルスンスキーのクロージング・キーノートを挙げた。
「事後ではなく現在進行している侵攻被害の当事者国家を代表する人物が、こうしたサイバーセキュリティカンファレンスで発言をするということは世界的にも過去ない。セキュリティ管理の現場で働く日本のビジネスパーソンにとっても示唆に富んだ話になると思う(篠田)」
篠田によれば、CODE BLUE 2023 の CFP(Call for Paper:論文公募)には、世界各国から計 302 本の論文応募があり 28 件が採択されたという。10 倍を超える応募倍率となった。冒頭で挙げた世界最高峰の国際サイバーセキュリティカンファレンスとされる Black Hat USA の近年の論文応募倍率もまた 10 倍前後である。
CODE BLUE がなぜこれほど世界のセキュリティ研究者から人気を集めているのかと問うと篠田は、「私もそれを聞きたいくらいです」と前置きしたうえで、東京で開催され、英語で情報発信がなされるサイバーセキュリティカンファレンスがほぼ唯一無二であること(会場では同時通訳レシーバーが利用可)、および北米や EU 圏では見かけないような個性のある研究が出てきやすい地理的条件があること、最後に PR 会社やイベント運営会社ではなく、日本のセキュリティコミュニティによって CODE BLUE が運営されていることを理由として挙げた。
●ランサムウェアの被害を「受けなかった」病院を研究
ミッコ・ヒッポネンと駐日ウクライナ特命全権大使 セルギー・コルスンスキーの 2 人のキーノート講演以外に篠田が特におすすめしたいセッションとして「サイバーフィジカル攻撃能力のルネッサンス」が挙げられた。Google Mandiant の研究者による同講演は、過去数年間の産業用制御システムへの攻撃の傾向をふり返り、ウクライナ紛争以降新たに観測された OT(Operational Technology)等の重要インフラへのサイバー攻撃の新機能が解説されるという。
また、双方医師でもある二人のセキュリティ研究者の講演「ランサムウェアの反響:大規模サイバー攻撃の影響範囲の解明」は、被害を「受けた」病院ではなく被害を「受けなかった」病院に注目することで病院におけるランサムウェア被害の予防と対応策を考える興味深いものだという。
●「脆弱性」を軸にした注目セッション
CODE BLUE 事務局の斉藤は、特に本誌 ScanNetSecurity 読者に向けたおすすめとして、脆弱性をテーマにした複数のセッションを挙げた。
まず、台湾の研究者オレンジ・ツァイによる「Pwn2Ownのターゲットをハッキングした3年間の物語:攻撃、ベンダーの進化、そして教訓」は、スマートスピーカーのハッキングをテーマに語られるものではあるものの、スマートスピーカーに業務上関係がない日本の技術者にとっても、その攻撃試行の方法や検証プロセスなどが「ハードウェアハッキング手順の一般的方法とノウハウが丁寧に解説される」講演として役に立つのではという。
また、FFRIセキュリティの研究者 中川 恒による「macOSのセキュリティとプライバシーの機構をバイパスする手法について: Gatekeeper から System Integrity Protection まで」は、Apple が採用する CPU「Appleシリコン」端末に関する研究で、今夏行われた Black Hat USA 2023 の講演「Apple PAC, Four Years Later: Reverse Engineering the Customaized Pointer Authentication Harware Implementation on Apple M1」にも通じる、非常に新規性の高い研究だという。
「エンドポイント・セキュリティか、エンド・オブ・セキュリティか? Trend Micro Apex Oneの攻略」は、医者の不養生あるいは紺屋の白袴的「かもしれない」、世界的なセキュリティ企業の EDR 製品の脆弱性について解説が行われる。
「モデム(そして通信事業者)もまたそれほど安全ではない ー 6つのゼロデイ脆弱性が1週間で400万台のモデムに」は、日本ではドコモや KDDI の製品にも影響があると懸念されている脆弱性について解説される。国家主導のサイバー攻撃組織に悪用されている可能性もあるという。
最後に「シンボリック実行とテイント解析によるWDMドライバーの脆弱性ハンティングの強化」は、これまで散々研究されつくしている WDM ドライバーに関する研究で、乾いた雑巾をさらに絞るような難易度の高い研究であるものの、26 の WDM ドライバーで 117 の脆弱性が発見され計 41 の CVE が発行されたという。
● CODE BLUE ならではの充実したコンテストとワークショップ
通常コンテストやワークショップと言えば、大きなイベントで開催される、ノベルティプレゼントのような完成度の低い余興を想像するかもしれないが CODE BLUE はまったくそうではない。
自動車を標的とした世界最高峰のハッキングコンテスト Car Hacking Village の日本版「Car Hacking Village :自動車のサイバーセキュリティ、興味ありますか?」が今年も開催される他、初心者にもとっつきやすい「Flatt Security Speedrun CTF」は全問新作で行われる。
また、GMOサイバーセキュリティ byイエラエ株式会社が開催する「Webハッキングチャレンジ forビギナーズ」は、脆弱性が存在する病院の Web サイトのペネトレーションテストを行う設定で、医師や管理者アカウントの乗っ取りに挑戦するという。
株式会社日立システムズが提供する「やってみよう!TTX(机上訓練)!」は、同社内で CSIRT 向けに実施しているサイバーセキュリティインシデントの机上疑似体験(Table Tep Exercise)を、来場者が体験することができる。
「Cyber TAMAGO:サイバーセキュリティツールとアイデアを共有しよう」は、技術者が個人の研究の一環として開発したさまざまツールやソフトウェアなどを持ち寄り、発表やディスカッションを行う場で、将来 BlackHat ARSENAL や CODEBLUE Bluebox などに発表できるツールを送り出そうという趣旨のワークショップである。「アイデアはあるがツール化できていない」「ツールを作っているけど公開したことがない」「Githubでソースコードは公開しているが発表したことがない」技術者が集まる。ツール作成者だけでなく、いろいろなヒントが得られそうなワークショップだ。
CODE BLUE 2023 スポンサーの一覧を眺めていたら、この手の団体行動にはめったに参加しない「孤高のセキュリティ企業」MBSD のロゴがあって驚いた。どんな心境の変化があったのかはしらないが、調べてみたら AI のセキュリティの研究で知られる高江洲氏の講演が行われるようだ。
ここで最後に付記しておくと CODE BLUE は各社スポンサー企業のセッションも面白い。イエラエが GMO の資本になって最初にやったことのひとつが CODE BLUE の最上位スポンサー入りだったように、各社が CODE BLUE のスポンサーになることに意気を感じている企業がほとんどであり、セールスリード収集が主目的であるイベントとは性質が少し異なるからである。内容のオリジナリティ等はもちろんだが、技術者が来場者を楽しませよう、喜ばせようというサービス精神をそれぞれの講演やコンテストに感じる。
CODE BLUE 2023
https://codeblue.jp/2023/
追伸
事務局の情報によれば、講演後にミッコ・ヒッポネンの日本語訳著書「『インターネットの敵』とは誰か?」のサイン会が行われる予定とのこと
二伸
だいぶ以前に、来日したミッコ・ヒッポネンを本誌が取材した際、日本のビールであるアサヒスーパードライを大いに気に入ったという余談を話していたことを記事を書いているたったいま思い出した。現在はどうかわからないが、本稿を読んだアサヒビール株式会社の方は是非 CM のキャラクターにミッコ・ヒッポネンをアサインしてほしい
