Black Hat Japan 2006 Briefings、スピーカー紹介〜Jeremiah Grossman（ジェレマイア・グロスマン）〜

来月5日、6日に開催されるコンピュータ・セキュリティ・カンファレンス「Black Hat Japan 2006」では、Web2.0のセキュリティが重要なテーマの一つで、このテーマには特に、初日10月5日の3つのセッションが当てられている。今回は、来日するWeb2.0セキュリティについて講演するスピーカーのうち、「イントラネットへの外部からの攻撃：進化するJavaScriptマルウェアとブラウザー奪取の危険性」というタイトルで話す予定のJeremiah Grossman（ジェレマイア・グロスマン）氏を紹介しよう。

Grossman氏は、WhiteHat Securityを創設し、同社のCTOとしてウェブアプリケーションセキュリティの研究開発と業界への啓蒙活動（エバンジェリスト）を担当している。世界的に認められたセキュリティ・エキスパートとして、Black Hatをはじめ、ISSA、ISACA、NASA等幅広い業界のイベントで講演を行っている。また、Grossman氏のリサーチ結果や著書やインタビューは、USA Today, VAR Business, NBC, ABC News (AU), ZDNet, eWeek, Computerworld BetaNewsなどといった数多くの出版物に取り上げられてきた。同氏はウェブ・アプリケーション・セキュリティ・コンソーシアム（WASC）の創設者であると同時に、Internet Security Apache Benchmark グループのメンバーでもある。WhiteHat設立前はYahoo!の情報セキュリティ責任者として働き、Yahoo!が持つ数百をこえるウェブサイトのセキュリティチェックを担当した経歴を持つ。

Grossman氏は、「想像してみてほしい。あなたがよく見るウェブサイトで、JavaScriptの脆弱性をつくコードが埋め込まれていて、クッキーやキーストロークを盗んだり、すべてのウェブサイト閲覧履歴をモニターされることがあるとしたらどうなるだろうか？そして、あなたの承諾を得ることもなく、気付かないうちにブラウザは静かにハイジャックされて、銀行口座から預金を引き出したり他のサイトに攻撃をしかけたり、誰にもオープンなフォーラムで中傷的なコメント入力に利用されてしまうとしたらどうなるだろうか？」と問いかける。さらに、最近のウェブアプリケーション・セキュリティに関するリサーチ結果では、イントラネット上のウェブサイトを乗っ取るために、このような”ハイジャックされた”ブラウザが使われるという。

「イントラネットのセキュリティに関して、従来これで十分だと思われていたセキュリティに関する認識は、改められなければならない。もしもあなたの会社の社員が、イントラネット上でJavaScriptマルウェアに感染したとしたら、それは会社のイントラネット全体がファイアウォールのない状態と同じになり、外部に対してオープンになってしまうことを意味するからだ。」とGrossman氏は語る。私たちの多くは、ファイアウォールとNATの内側であるイントラネットでは、誰もが外部からの攻撃からしっかり守られているという固定観念を持っている。また、イントラネットの内側にあるルーターやプリンター、IP電話といった機器はセキュリティパッチをあてていなかったとしても、守られている安全なネットワークの中にあるので大丈夫とも思っているだろう。しかし、この観念は現実と沿っているだろうか？Grossman氏は「それは間違っている」と指摘する。外部から内側のデバイスにアクセスされないと安心してしまうのは誤りであり、それどころか企業ネットワーク内の全てのWebブラウザが、外部からの侵入の足がかりになるという。

今回のプレゼンテーションでは、「JavaScriptを利用したポートスキャニングとイントラネットへの攻撃」「Javaアプレットを使った、NATで管理されているIPアドレスの見つけ方」「CSSを利用したブラウザの閲覧履歴の盗み方」といった、最新のウェブアプリケーション・セキュリティの攻撃手法が紹介される。続けて、こうした攻撃からウェブサイトやユーザーを守るための最善の方法や、安全なウェブサーフィンの基本的な方法について解説される予定。

Scan編集部では、昨年も好評だったBlack Hat Japanのスピーカーへの共通質問をメールで訊ねてみた。以下はGrossman氏の回答だ。

【1】専門・研究領域は？
ウェブアプリケーション・セキュリティ。私は、eコマースや健康保険関連や金融サービスのプロバイダーなど、セキュリティを第一義の課題とする組織と仕事をしたことがあるが、この経験は、どのようなソリューションやプロセスが適切かを理解するのに役立ったし、またクライアントの努力を最大限に生かすための、セキュリティ対応策の適切な優先順位づけについても学んだ。

【2】セキュリティの大きなトレンドは？
攻撃についてなら、ウェブアプリケーション・レイヤーでのソフトウェア・スタックの方へ対象を移して来ていることだ。

【3】ここ最近の脅威の傾向と、最近特に印象に残っているセキュリティに関わる、技術やインシデント、法律は何か？
一つは、ラスベガスで開催された今年のBlack Hat USAでの私のプレゼンテーションで扱ったが、ファイアウォール越しに直接イントラネットを攻撃できるJavaScriptマルウェアだ。もう一つは、SNSのMySpaceをターゲットにしたSamy Wormで、これはクロスサイト・スクリプティング、ワームの持つ驚くべき能力を示したことになる。
我々には、ウェブアプリケーション・セキュリティは注目すべき重要な問題なことは解っていた。しかし、今となっては、ウェブアプリケーションは組織が守らなければならない極重要なデータへの直結パイプになっている。我々が気がつかなかったのは、新しい攻撃がとれほど破壊的能力を持つかということだったのだ。

【4】BHJ2006での講義内容は？
クロスサイト・スクリプティングの助けを借りた、ユーザーのブラウザーをハイジャックする能力を持つJavaScriptマルウェアが、ポートスキャンやフィンガープリント採取や、イントラネット内に設置されたhttpdを持つデバイスを悪用することなどだ。
イントラネットの内のユーザーがJavaScriptマルウェアに感染し、ネットワークにファイアウォールが存在しないのと同様の解放状態になってしまう事態では、イントラネット・セキュリティに対する考え方には見直しが必要だ。ウェブアプリケーション・セキュリティの重要性と理解を広めて、参加者とともに彼らの組織をセキュアにするヒントを共有したい。

【5】日本で興味のあるものは？またもし日本アニメ関係で好きなものはある？
日本で過ごす良いアイデアがあれば知りたいが、あまり滞在期間が取れそうになくて。アニメ関係ではバンパイア・ハンターDがおもしろい。

「Black Hat Japan 2006 Briefings」は10月5、6日に東京・新宿の京王プラザホテルで開催される。9月15日までは早期割引73,500円で受け付けている。なおインターネット協会会員割引や、3名以上のグループ参加での割引も用意されている。また、ブリーフィングの前日2日間実施する「Black Hat Japan Training 2006」についても、早期割引29万8000円で受け付けている。

Black Hat Japan 2006 Briefings
http://shop.ns-research.jp/3/9/7481.html
Black Hat Japan Training 2006
http://shop.ns-research.jp/3/9/7503.html