BlackHat Japan Briefings 2004・2日目は、初日に続き非常に高度な技術ネタが目白押し。その中からいくつか興味深いセッションを取り上げてご紹介していきたい。

秘密の通信の存在を隠すために大量のノイズをばらまく

最初にご紹介するのは、Security HorizonのCEOを務めるRuss Rogers氏による「ステガノグラフィーなどの傍受解読が困難な秘密通信チャンネルについて」。画像や音楽ファイルなどに秘密データを埋め込み通信を行うような手法は古くからWarezの世界などで使われてきたほか、最近では電子透かしなどの形で著作権保護などにも応用されるようになってきているが、同氏はこれら秘密裏に通信を行う手法(同氏はこれを「Covert Channel」と呼んだ)の最近の動向について解説した。

そもそもこれらの秘密通信は、見た目は通常の画像などのデータの送受信などと全く区別がつかないため、ネットワークの管理者などに気づかれることなく秘密データを持ち出したりすることが可能という点で、それだけでも防御が難しい代物。さらに最近は、アンチウイルスソフトで使われるようなシグネチャファイルによる検査を突破するため、実際には意味のないデータしか含まれていない偽装された画像ファイル等を大量にばらまき、その中に本来相手に送りたいデータを紛れ込ませることにより、そのデータが送られたことを発見しづらくする「Stego Noise」というコンセプトが出てきているという。

これに対し検査ソフト側はおとりファイルと本当の通信が行われているファイルが区別できないために大量の誤検出通知を出さざるを得なくなり、管理者は大量のリソースを割いて個々のファイルを検査するか、もしくは検査そのものをあきらめるかのどちらかを選ばざるを得ず、どちらにしても大きな負担を強いられる。今ではこのコンセプトをさらに推し進め、脆弱性を持ったサーバにこの「Stego Noise」を大量に生成・送信するようなウイルスを感染させることで本来の通信を覆い隠す「StegoBot」というコンセプトも現れてきているとのことで、同氏は「Covert Channelを隠せる入道雲のようなものを作るのが目的だ」とその意味を語った。

NTFSやスパムメール、IPヘッダなどデータを隠す場所は数多い

続いて同氏はNTFSの代替データストリーム(ADS)を利用したファイルの隠し方についての解説に移った。このADSについては、以前から「メインのファイルの見た目(ファイルサイズや機能など)に全く影響を与えずにデータを隠すことができる」ということで、一部のウイルスにより悪用されるなどの問題が起きていたが、同氏は現在、このADSのTCP/IP上における転送や、ADS上に保存されているデータストリームをリストアップするといったことを可能にするツールを開発する『Project Prometheus』というプロジェクトを立ち上げているという。

このプロジェクトでは、最終的には保存したいファイルをパスワードにより暗号化した上でいくつかのデータストリームに分割し、分割された暗号化データをそれぞれ別々のファイルにADSとして書き込むことで、ADSをセキュリティの高いストレージとして利用できるような仕組みを作ることを目指していると同氏は語った。同氏は「ADSをリストアップすること自体はサードパーティのツールを使えば可能だが、ADSのうちどれとどれがセットになっているかを確認するには専用ソフトとパスワードが必要になる」と述べ、第三者がADSからデータを盗み出そうとしてもそれが極めて難しくなる理由を示した。

Russ Rogers氏	Project Prometheusで目指す最終形態 ©BlackHat Inc.

これ以外にも同氏は、自分の送りたいメッセージをスパムメールの形に加工し実際にスパムメールとして伝送する方法(本来のメッセージ相手以外はそのメールをスパムだとして捨ててしまうため、それが実は暗号メッセージの伝送だとは気づかれない)、IPヘッダのフィールドの一部を利用してメッセージを送る方法(同氏はIPv4ヘッダのIdentificationフィールドを利用する方法を紹介した)などの手法も紹介。特にIPv6については「新たなCovert Channelとして応用できる可能性が高い」として、現在『IPv6 Hacker Network』というResearch Projectを作るべく準備を進めていることも明らかにした。

spammimic.comを利用してメッセージ(Welcome to Black Hat Europe!)を暗号化した例。実際のメッセージはもっと長いそうだ ©BlackHat Inc.

防御にはとにかく権限の最小化を行うことが有効

このように通常の通信やファイルアクセスに見せかけた秘密の通信を行う手法が数多く開発されているのに対し、ネットワーク管理者側ではどのような防御方法が考えられるのだろうか。同氏は「情報を隠す技術が長年時間をかけて成熟されてきたものなのに対し、隠された情報を見つける技術はまだ開発途上で未成熟だ」と述べ、Covert Channelの検出やブロックを行うようなソフトの絶対数がそもそも少ない上、信頼性も低く誤検出が多い一方で見逃しも多いとの見解を示した。

特に同氏は、画像や音楽ファイルに情報を隠すタイプのものについては「ステガノグラフィーとWatermark(電子透かし)の区別が難しい」と述べ、アンチウイルスソフトなどと異なりソフトを入れれば簡単に解決するものではない様子をうかがわせた。さらにこれらの隠蔽技術は日々進歩していることから、同氏は「これから検出ツールを開発するのであれば、現在ある技術に対応させるだけではなく、将来を見据えた開発を行わなければならない」と語った。

ただそれでも、システムに対しいわゆる「最小特権の原則」を貫くことで、Covert Channelによる被害は最小限に抑えられるはずだと同氏は言う。同氏は「アプリケーションのインストールを制限すれば、(Covert Channelの)作成ソフトのインストールを防ぐことができる」と述べたほか、そもそも重要なファイルへのアクセス権がない状態では、いくらCovert Channelがあっても重要なファイルを持ち出すことは不可能だとして、ユーザごとに適切なアクセス権の設定を行うことの重要性を改めて参加者に訴えていた。