【レポート】

Black Hat USA 2004 - 脆弱性の法則、RF-ID万引きなど

 

第一日目にQualysのGerhard Eschelbeck氏が、「脆弱性の法則」と題して、企業システムにおける脆弱性の調査結果を発表した。同氏は昨年も同様の講演を行っており、参加者から好評だったため、今年も調査結果のアップデートが行われることになった。

調査は2002年1月から続けられており、データソースは70%がグローバル規模のエンタープライズ・ネットワーク、残る30%はランダムに選んでいる。実際のユーザーを対象にした調査では、最大規模のデータを収集しているそうだ。

Qualysで確認している3,374種類の脆弱性のうち、ユーザーの間から見つかったのは2,275種類。また、重要な脆弱性1,504種類のうち、現実の世界では1,031種類が確認された。

同氏が調査で重視しているのは半減期である。脆弱性の発見から調査対象の半数がパッチを適用するまでの期間だ。昨年の発表では半減期が30日で、次の目標として15日~21日を挙げていた。今年は21日まで短縮されており、問題意識の浸透、パッチ管理や導入技術の向上を高く評価していた。

WebDAVの脆弱性の推移。上下動を繰り返しているのは、脆弱性に対応する前のイメージを企業が使ってしまうことが原因だと考えられている

外部との境界にあるシステムに比べて、内部向けシステムは改善が見られない

ただし、「攻撃者には『鉄は熱いうちに打て』という考えがしっかりと浸透している」と同氏。脆弱性を利用した攻撃の80%は、42日以内に発生している。現実的には修繕サイクルよりも、「脆弱性の発見→悪用」のサイクルの方が早いペースで短くなっている。目標を達成しても、厳しい状況に変化はない。

消えたかと思うと、ぶり返すワームの被害

「脆弱性と、その悪用は消え去らない」という結論に

一方、外部向けに比べると、データセンターやメール・サーバ、デスクトップなど、内部向けシステムに改善が見られず、半減期は62日とほぼ昨年並み。「外部向けに50台のシステムを持っていれば、グローバル企業の場合、内部に5万台があると言っても大げさではない」と同氏。企業のパソコンを信頼した社員がフィッシングなどの被害に遭う可能性もある。来年に向けて、内部システムで40日前後の半減期を目標としていた。

また、2004年に入っても、MS BlastやNachiの感染が見られるという。これまで脆弱性やそれを悪用した被害は時間が経てば無くなると予想していたが、長期間にわたってデータの収集を続けた結果、「根絶することはない」という見方に変わろうとしている。

セキュリティ意識の低さがRF-IDの問題

RF-IDの講演は興味深い結果となった。講演者はドイツのDN-Systems Enterprise SolutionsのコンサルタントであるLukas Grunwald氏。RF-IDというとプライバシー論争になり、中々結論がでないのが通常だ。実際、会場でもRF-IDのメリットと問題を説明していた前半部分で「プライバシー侵害と言っても、ゴミ箱に捨てたレシートを見られる程度ではないのか?」というような議論になってしまった。ところが、同氏は、後半部分で犯罪に利用される可能性を指摘。ツールを使って証明し、これまでとは違った切り口で聴衆全体を納得させたのだ。

プライバシーではなく、セキュリティからRF-IDの問題点を指摘したLukas Grunwald氏

スマートタグの情報の読み込み/書き込みが可能なツール

同氏がデモに使用したのはISOタブやスマートラベルの内容を読み込み/書き込みできるツールである。

CeBIT 2004で、RSA Securityがいかなる読み込み要求もブロックする「Blocker-Tag」のデモを行い、消費者のプライバシー保護の決め手になるとアピールしていた。ところが、今回使われたツールを使うと、読めないはずのBlocker-Tagも問題なく読み込めてしまうのだ。

同氏の調査によると、スマートラベルを利用している業者は、製品に関する情報をデータセンターとタグの両方に分割して記録しているケースが多い。つまり、スマートラベルには、製品のシリアル番号以外にも様々な情報が収められている。

タグを読み込むゲートは、どこにでも設置できる大きさだ。例えばライバル店の出口近くに車を停めて、ゲートを設置して、店から出てきた買い物客が何を買ったかをリサーチすることができる。「国によっては、危険思想と思う本を読んでいる人物を捜し出すのに使うかもしれない」と同氏。このようなツールを誰でも使えるのだから、人物を確実に認識できるカスタマーカードやパスポートなどにRF-IDチップが使われると、さらに危険が増すと言う。

買い物客が店を出る際に、タグに記録されていた情報を消去して対処する店が出てきている。それでもその人物がRF-IDチップを持っていることに変わりはない。チップにその人を特定できる情報を書き込めば、行動の追跡に利用できる。一部で書き込みを防ぐスマートラベルが存在するが、大部分は書き込み可能なままだという。書き込み対策を徹底しなければ新たな攻撃の格好の的になると指摘する。

今回のデモはノートPCで行われたが、小さなプログラムなのでPDAでも動作する。つまり、怪しまれずに店内に持ち込めるのだ。

同氏が紹介したRF-ID技術を積極的に導入してようとしているあるスーパーでは、製品の配置、分類、カスタマーカードなどに利用している。カートに製品を入れて、ゲートが設置されたレジを通過するだけで精算が完了する。混雑知らずの便利な店になりそうだが、「(このツールの)初の実地テストに最適な場所になりえる」とGrunwald氏。

値段は製品側ではなく、データセンター側に記録されているので、このツールで直接値段を書き換えることはできない。だが、最新作のDVDを3枚で10ドルの安売りDVDに変えることは可能。未成年が成人指定のDVDをディズニー作品と交換して購入することだってできる。それよりも怖いのは、処方箋薬を販売するような薬局が入っている店で、薬のデータを入れ換えると、命にかかわる問題になってしまう。

会場からは、「国防省は物資の管理にRF-IDを利用しようとしているが、どこかにチップが付いたままになっていたら戦場で困ったことになるのでは?」という質問が出てきた。Grunwald氏は、国防省の導入方法と、それに伴う危険性についてはコメントを避けたが、「兵士が身につけていたら、追跡される可能性はある」としていた。ただし、「RF-IDは非常に広い範囲で読み込めると信じられているが、実際には強力なゲートでも10メートル程度だ」とつけ加えていた。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

ハワイアン航空、羽田緊急着陸の経緯発表--機体はブレーキ交換を経て復帰
[19:16 7/26] 趣味
『テイルズ オブ ゼスティリア ザ クロス』、先行上映会のLV会場追加
[19:15 7/26] ホビー
昼休みにセキュリティ講座、カスペルスキーが働く女性向けに
[19:02 7/26] 企業IT
野菜ソムリエ100人が考えたトルティアチップスのレシピを公開 - 湖池屋
[19:02 7/26] ヘルスケア
メタビル「ガンダムアストレイ ブルーフレーム」特設サイト公開、深い青で高い質感
[19:00 7/26] ホビー

求人情報