「攻撃対象はOSからアプリケーションへと変化」、Black Hat創設者

Black Hat Briefingsの日本版、「ブラックハット・ジャパン 2006 ブリーフィングス」が10月5、6日に開催される。

[高橋睦美，ITmedia]

　Black Hatとインターネット協会は10月5日、6日の両日、コンピュータセキュリティをテーマとしたカンファレンス「ブラックハット・ジャパン 2006 ブリーフィングス」を開催する。

　Black Hat Briefingsは、セキュリティ関係者から世界的に注目を集めるカンファレンスの1つだ。ラスベガスで8月2日、3日に開催されたBlack Hat USA 2006 Briefingsでは、Windows Vistaのセキュリティ機能やそれをかいくぐるrootkit、「Blue Pill」について議論が交わされたほか、RSSやVoIP、ワイヤレス技術など、さまざまな側面からセキュリティ上の脆弱性とその対策に関する情報が話し合われた。

　ブラックハット・ジャパン 2006 ブリーフィングスはその日本版で、国内ではこれが3回目の開催となる。今年からは新たに、2日間にわたって実機を用いてセキュリティ技術のトレーニングを行う「ブラックハット・ジャパン 2006 トレーニング」も開催することとした。

　Black Hat創設者のジェフ・モス氏は、「Black Hat Brifingsの内容は非常に実践的。家や会社に戻ってすぐに活用できる」と述べた。同時に、これから半年の間に浮上してくるであろう「未来」の問題や脅威を先取りして理解できる場であるとし、多くの参加を呼びかけた。

Black Hat創設者のジェフ・モス氏

　今回は基調講演に加え、12本のセッションが用意される。Web 2.0の脆弱性やボットネット、クロスサイトスクリプティングやIPv6といったテーマが含まれているほか、米国同様、Windows Vista関連のセッションも予定されているという。また日本からのスピーカーとして、ネットエージェントの杉浦隆幸氏が参加し、Winnyをテーマに講演を行う予定だ。

　「スピーカーを見てもらえれば分かるとおり、プロトコルやファイアウォールといった事柄よりも、アプリケーションが話題となっている」とモス氏は述べた。

　その1つの例が、Ajaxをはじめとする「Web 2.0」に関連する技術だ。Ajaxは、ダイナミックなWebサイトを構築できる技術として注目を集めているが、一方で、「Web開発者らがセキュリティの視点を持たないため、90年代と同じ過ちが繰り返されている」（同氏）という（関連記事）。

　「入力値未チェックの問題に代表されるとおり、かつてC言語のプログラミングで起こったのと同じ問題が、ダイナミックなWebサイト構築の現場で起こっている」（モス氏）

　また、VoIPを取り巻く脅威もトピックの1つだとした。「多くの企業がVoIP技術を導入してからはじめて、セキュリティ上の問題に気付き始めている」

　Black Hat Briefings 2006 USAでは、Microsoftが開発を進める次期OS、Windows Vistaセキュリティ機能にまるまる1つのセッショントラックが割り当てられた。

　モス氏は、「セキュリティコミュニティとしては、Windows Vistaによる大きな進歩に期待したい。しかし、Windows NT 4.0から2000へと変わったとき同様、実装には多くの時間がかかると予測している。Vistaではさまざまな機能が提供されるが、その改善が浸透するには、3〜5年の時間がかかるだろう」と述べた。

　こうしてOS側の改善が進み、プロトコル仕様も成熟しつつあることによって「優れた攻撃者らは、OSのセキュリティ機能をバイパスし、アプリケーションやWebを攻撃の対象にするようになっている」（同氏）という。