世界のカンファレンスの景色から - RECON その4

[前回]の続きから。厳しいトレーニングを終えた筆者らは、くたびれた脳を癒そうと和食レストランへと駆け込んだ。もはや洋食の濃い味付けに飽きていたのである。そして駆け込んだお店の名前は「居酒屋」(笑)。お店の名前そのまんまの食事のできるお店であったが、焼き鳥などをつまみながらここでしばし休息を得て翌日からのカンファレンスに備えたのであった。

続・ファシリティ問題

カンファレンスはホテルの大会議室が使われた。といっても、最大で160人ほどが収容できる程度であり、1トラックだけで構成されているので同じ情報セキュリティカンファレンスでもBlackHatの比ではない。そしてエアコンはまだ壊れており、電源も壊れていた箇所があって、うだるような暑さとファシリティに対する不満でTwitterのタイムラインが溢れかえっていた場面もあった。カンファレンス2日目の午後にはエアコンも復旧し、その後は一応の落ち着きを見せていた。

脆弱性の発見には報酬を!

今年のRECONには全部で24の講演があり、1講演あたりおよそ1時間程度であった。カンファレンス開始の冒頭に、主催者側からの挨拶があったあと、壇上に現れたのはTippingPointの社員であった。そこで紹介があったのが「RECON Reversing Challenge」であった。TippingPointはZero Day Initiative(ZDI)というプログラムを展開しており、世界中の情報セキュリティ研究者が自らの発見した脆弱性を同社に提出し、それが認められると報奨金が支払われるという仕組みを提供している。このような報奨金プログラムは、ほかにiDefenceが2002年に開始したiDefense Vulnerability Contributor Program (VCP)がある。

RECON Reversing Challengeもこれらプログラムと同じく、会場で配布されたソフトウェアクラッシュを生じさせるファイルを検証し、それが脆弱性に転用できるかどうかを競うものであった。脆弱性に転用できるバグを特定できた場合には、バグ1個につき2,000ドルを支払うという説明があった。説明の後、会場が静まりかえっていたので、「おや、皆興味がないのかな?」と思ったが杞憂であった。基調講演の後、クラッシュを引き起こすファイルの配布場所には人だかりができていた。

というわけで、参加者の中には明らかにカンファレンス講演の聴講そっちのけでReversing Challengeに励む姿が多々見られた(笑)。最終的にShockwaveで8個、RealPlayer で2個のバグが脆弱性として認定されたとZDIのメンバーから報告があった。折しも、このカンファレンスの後、Mozilla Security Bug Bounty Programが更新され、Mozilla製品の脆弱性には3,000ドルが支払われるという発表があった。未知の脆弱性の発見には報酬を - そうした風潮が情報セキュリティ業界では強まっていることを、このカンファレンスの会場でも強く感じることができた。