サイボウズ・ラボの光成です。
私は10月28, 29日に東京の新宿ベルサール新宿グランドで開催された情報セキュリティ国際会議CODE BLUEに参加、発表してきました。 参加者が600人を超える大規模な会議でした。
ここでは参加した中からいくつかの講演について軽くご紹介いたします。なお、詳細な資料は後日公開されるとのことです。
初日の講演から
フローリアン・グルーノさんは「医療機器のセキュリティ」というタイトルで、病院で使われる医療機器の問題について講演されました。
医療機器は医師も患者も信頼しているにもかかわらず、セキュリティの観点を考慮していない製品が多く、今後は対策が必要だろうとのことです。 実際に、ファイアウォールが設定されていない、認証プロトコルが無い、古いOSを使っていて攻撃するとあっさりクラッシュするなどの例が紹介されました。
西村宗晃さんは「Firefox の倒し方」という講演をされました。
1年ほど前からブラウザの脆弱性報奨金制度に興味を持ち、探し始めて去年は700万円ほどの報奨金を得たそうです。
講演では探し方のこつをいくつか紹介されました。 たとえば
- 仕様書の実装要件を確認し、実装漏れやテストが不足しているものを探してチェックする。
- 新機能は、既に知られているバグが入りやすいので重点的に確認する。
- Firefoxのコミットログや、セキュリティチームのメンバーの行動を確認する。
などです。コミットログを直接追いかけるより、重要な人の行動を追いかけるとよいというのはなかなか面白い示唆でした。
西尾素己さんは「iOSマルウェアの動向と専用ガジェットによるマルウェア検知」という講演をされました。
iPhoneやiPadに対してパソコンとの同期機構を介在して攻撃する手法の紹介です。
アプリのビルド時にframeworkを埋め込むembedded frameworkと実行バイナリの関数の入れ替えを実現するMethod Swizzling機構とを組み合わせています。
銀行に入金するテストアプリを作りiPhoneにインストールしておきます。 攻撃されたパソコンにそのiPhoneをつなぐと、数秒でそのアプリが書き換えられます。そしてそのアプリを使うと攻撃者の銀行口座にお金が振り込れてしまうデモをされました。
危険なため情報の詳細は非公開とのことです。
クラレンス・チオさんは「現実世界での機械学習によるアノマリ検知システムの構築と回避」という講演をされました。
ネットワークの侵入検知技術に機械学習が使われるようになっています。 その利点と問題点を紹介されました。
機械学習は事前に細かいルールを設定する必要がないため便利です。 たとえばある現象が1000回あるとみなすというルールでは、攻撃者は999回だけ攻撃すれば、そのルールを回避できます。 それにたいして機械学習を使うとそういった境界付近の現象も正しく検知できます。
しかし最近ではポイズニングと呼ばれる攻撃が使われていることが分かりました。 それは本当の攻撃を隠すためにそれとは無関係の大量のデータを送りつけることで誤った学習をさせ、攻撃を検知させないという手法です。
一気にたくさんのデータを送ると検知されやすいのでゆっくりとデータを送る必要があり、時間がかかるのが救いではあります。 ただ無関係なデータで目先をくらまそうとしているのか、それとも単に状況が変わっただけなのかは結局は事前にパラメータを設定してずれていないかを判断しなければならず、それへの対策は難しいと感じました。
二日目の講演から
私は「MS Officeファイル暗号化のマスター鍵を利用したバックドアととその対策」という講演をしました。
MicrosoftのExcelにはパスワードを変更して保存し直したときに、内部に持つ秘密鍵が更新されないというバグがありました。 そのバグを使うと易しいパスワードを利用して、複雑なパスワードがつけられたファイルを解読できることがあります(講演資料)。
先月のWindows Update(MS15-110)でそのバグは修正されています。
ただバグフィクス前に、そういったファイルを作っていたかもしれないという懸念点に触れたり、そういう問題が起こりにくいファイルフォーマットの提案をしたりしました。
千田雅明さんは「サイボウズバグバウンティに参加してみた」という講演をされました。
サイボウズは、自社サービスの脆弱性に懸賞金を支払うバグバウンティを開催しています(脆弱性検証環境提供プログラムについて)。 千田さんはそれに参加され、主にバイナリ解析を行って様々なバグを指摘くださいました。
その手法について紹介されました。お伺いしていてなかなか耳が痛いものがあります。
キヌガワマサトさんは「X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~」についての講演をされました。
XSSフィルタは、MicrosoftのWebブラウザ IE8から搭載されている機能です。 リクエストにXSSと思われる文字列を含み、その文字列に関係したものが出力されたと解釈すると出力した場合に出力ページの一部を書き換えてXSS攻撃を防御します。
しかし、その仕様は不十分で、もともとXSSの無いページにXSS脆弱性を持ってしまう問題点を指摘されました。 詳細はMicrosoftと調整中で、今回の発表内容は当初予定していたものをかなりマイルドにしたものとなったそうです。
今のところの対策としてはXSSフィルタのデフォルト動作ではなく、XSSフィルタを無視する、あるいは検出すると一部を表示するのではなく一切表示しないというモードにしたほうがよいだろうと提案されました。
まとめ
以上、ごく一部ではありますが講演を簡単に紹介しました。
ネットワーキングパーティでは活発に活動されている10代の方(だけではありませんが)たちにお会いして、私も感化されました。
2トラックだったため、どちらに参加するか悩ましいところもありましたが、スタッフの対応もよく、すばらしい会議だったと思います。