Black Hat開催2日目
蔓延するスパイウェア
昨日の午後は、Center for Democracy and TechnologyとAnti-Spyware Coalition(ASC)に所属するAri Schwartz氏が司会を務めたスパイウェアの脅威についてのパネルディスカッションに出席した。パネリストとしては、WebrootのCTO(最高技術責任者)であるGerhard Eschelbeck氏、Dox Para ResearchのDan Kaminsky氏、Continental AirlinesのCISO(情報セキュリティ最高責任者)であるAndre Gold氏、そして米連邦取引委員会(Federal Trade Commission:FTC)のEileen Harrington氏が参加していた。
セッションの口火を切ったSchwartz氏は、スパイウェアそのものと、それらによる個人情報の盗用、産業スパイ活動、家庭内暴力、ゆすり、不正や見せかけの履行による詐欺といった実害を警戒している理由について語った。
Eschelbeck氏は、スパイウェアに関する現状がいかにひどいものか、これまで未公表だった数値を交えて説明した。2004年以降、Webrootが発見した、閲覧者がスパイウェアに感染する恐れのある、有害性を秘めたWebサイトは50万件を超えているという。また直近の四半期だけでも同社によって新たに10万以上のサイトが見つかっている。
Kaminsky氏は法と規制について論じ、スパイウェアは民事事件として扱うのではなく「大規模な組織的犯罪」の問題として捉える必要があると述べている。「スパイウェア問題が法律とテクノロジの境界上に位置する」ことこそが本当の問題であり、この問題はテクノロジだけでは解決されないだろうとも同氏は語っていた。
Gold氏は、まずスパイウェアに対する社員の意識を高めることなど、Continental Airlinesが社内ネットワーク上でスパイウェアに対抗するために講じている手段について概説した。
最後に、Harrington氏がFTCの役割とFTCに課せられている法的要求について詳しい説明を行った。ますます必要性が高まりつつある法的規制に関して、彼女は「DC地区の警察にはスパイウェアに対処する組織がない」と指摘している。この点で彼女は法律とテクノロジの両方に関わる問題だというKaminsky氏の意見に全面的に同意しており、「議会に問うべきは法の境界を変える気があるのかどうか」だと述べている。
ためになるセッションではあったが、Windowsユーザにとっては悲観的といえる内容だった。
グローバル化への注力
昨日の午後2つ目のパネルディスカッションでは、Executive Woman’s ForumのJoyce Brocaglia氏の司会のもと、セキュリティ産業のグローバル化について意見が交わされた。はじめにBrocaglia氏は「この業界で特に聡明な女性たち」から選ばれたパネリストとして、Trident CapitalのBecky Bace氏、Double Shot SecurityのMarike Kaeo氏、カーネギーメロン大学の著名な研究員Dena Tsamitis氏を紹介した。彼女たちの1人は80年代に国家安全保障局(National Security Agency:NSA)で最初の侵入検知ソフトウェアに携わったセキュリティの専門家で、もう1人はITセキュリティに関するテキストの決定版を著した世界的に有名な人物である。
このセッションは、主として聴衆からの質問を受け付ける対話形式で行われた。会場にいた男性は少なかったばかりか、私はITセキュリティの分野で仕事をしていない数少ない聴衆の1人でもあった。
「職場での性別に基づく偏見の問題にどのように対処したらいいか」といった質問もいくつか寄せられた。そうした状況への対応方法についてパネリスト全員の意見が一致することはなかったが、彼女たち自身もそれぞれにキャリアを築くなかで同じ問題に直面してきたようだ。1つ、彼女たちの意見が一致したのは、女性だからというだけで考えや意見に反対を受けても真摯な態度を失わないことが最善の答えだという点だった。
目を覚まさせられる内容のセッションだった。しかし、このパネルが終盤を迎える段になって最も驚いたのは、もはや自分がセキュリティについて語る女性グループの話としてではなく、セキュリティについて語る専門家のグループの討論として耳を傾けていたことだった。
午前中のrootkitの話題
昨晩、確かな筋からKomokuのWilliam Arbaugh氏がrootkit検出の先駆者であるという情報を仕入れた私は、今朝一番のセッションとして彼の発表 ― FUおよびFU2というrootkitで有名なJamie Butler氏も参加 ― に出席した。
昨日、私がグローバル化のセッションに出ている間にメディアを狂乱させたという、未確認の無線デバイスを1分足らずでハッキングするようなビデオのデモは用意されていなかったが、その代わり、彼ら発表者によってrootkitとその検出の歴史や現在の傾向について内容の濃い発表が行われた。
Arbaugh氏は、80年代後半の『The Cuckoo’s Egg(カッコーはコンピュータに卵を産む)』に始まり、隠れ端末に関するPhrackの記事や1999年のGreg HoglundによるWindows NT rootkitに至るまでの大まかな歴史を振り返った。
またArbaugh氏は、McAfeeから提供されたデータを引用して、2004年から2005年の間にrootkitの数は400%増加しており、この先3、4年でrootkitはWindowsプラットフォームで650%の増加が見込まれていると述べた。
続いてButler氏によってrootkitが用いているさまざまな手口が説明された。まずは単純にバイナリの実行ファイルを書き換えることから始め、そのうちにメモリに入り込んでその内容を変更し、さらにカーネルのデータを書き換え始めるのだという。最近では、イベントによってトリガされるコールバックをただ要求したり、傍受するようなフックが使われており、どちらの動きも検出がより難しくなっているそうだ。
再びArbaugh氏の出番になり、検出の方法やrootkit検出を試みる際に遭遇する問題について説明が行われた。彼は「rootkitの検出は、常識の通用しない人間に正常かどうかを尋ねるようなもので、その答えは信用できない」と述べている。
また彼は今日使われている方法の一部として、システム整合性、セマンティック完全性、署名、振る舞いのチェック、クロスビューを挙げていた。
最後に、Arbaugh氏は駆除の問題について述べて発表を終えた。その結論は、感染したシステムに対する駆除作業はきわめて難しく、ときには不可能なことさえあるというものだった。rootkitをはじめ、ワームからスパイウェアに至るまで、悪意あるソフトウェアの問題はその数、複雑さともに増し続けている。
NewsForge.com 原文
