Black Hat Japan 2006 Briefings、スピーカー紹介〜Dan Moniz（ダン・モニッツ）〜

いよいよ来週開催されるBlack Hat Japan 2006では、Web2.0のセキュリティが重要なテーマの一つであり、10月5日初日の3つのセッションが特に当てられている。今回は、来日するWeb2.0セキュリティについて講演するスピーカーのうち、「クロスサイト・スクリプティング・エクスプロイットの6軸」というタイトルで話す予定のDan Moniz（ダン・モニッツ）氏を紹介しよう。来週のBlack Hat Japan 2006では、ソーシャル・ネットワーキングサイト（SNS）には、強力なセキュリティ脆弱性があって、かつマルウェアを散布するためのプラットフォームになりうる、という可能性について話す予定だ。
Moniz氏は、独立系のセキュリティ・コンサルタントであり、かつ世界的に認知されている情報セキュリティのプロフェッショナル集団「Shmoo Group」のメンバーでもある。Moniz氏は、DefconやShmooConやThe Intelligence Summitなど数々のコンファレンスのほか、Fortune誌の選ぶ全米トップ企業50社や大学などでも講演している。また、2003年にカリフォルニア州上院の公聴会において、RFID技術、プライバシー、および州の法律の問題について証言した経験もある。

日本ではmixiが株式公開してソーシャル・ネットワーキングサイト（SNS）が話題になる中、アメリカでのSNSで最も有名なのはMySpaceだ。ところが、これらのSNSが、クロス・サイト・スクリプティング攻撃のターゲットになっているという。中でも、2005年の終わり頃にMySpaceで起きた「samy is my hero」事件はアメリカでは有名だ。
クロス・サイト・スクリプティングは、様々なサイトとバックエンドのウェブ・テクノロジーに影響を及ぼしているが、この「samy」の一件に見られたように、攻撃者がターゲットにしたいと考えうるサイトというのは、ユーザ増加率が極端に急上昇しているものだろう。なぜなら、このようなサイトでは、一度クロス・サイト・スクリプティング・ワームを仕込めれば、その発生が果てしなく広がり続けるユーザー数により幾何級数的に増殖するからだ。そして、そこへブラウザ・エクスプロイットが合体すると、驚くべき速さで感染する自己回復型分散ワームの繁殖プラットフォームになってしまう。
このブラウザ・エクスプロイットとは、昨年末のWindowsMetaFileの事態で見られたように、単にブラウザに影響を及ぼすだけでなく、クロス・サイト・スクリプティングに基づいたコード挿入や感染の手法や、ペイロードそれ自身が元の同じサイトや他の攻撃を受けやすいサイトに周回しエクスプロイット・コードを注入できてしまうようなもののことである。

このセッションでは、MySpaceや他の人気のあるサイトをケーススタディとして用いながら、WMFのケースや、Metasploitプロジェクトから最近リリースされたFuzzingツール「Hamachi」により明らかになった、悪意のあるブラウザ・エクスプロイット・ペイロードを含む自己修復型クロス・サイト・スクリプティングの持つ可能性を入念に見せる。このペイロードは、ブラウザを書き換えて他のサイトを「オート・エクスプロイット」するように仕立てるものだが、ユーザーからはまったく透過的なものである。その上には、DDoSボットやキーロガーや他の感染性ペイロードなど、目立つものから発見しにくいものまで様々な機能をレイヤーとして追加することが可能だという。

Moniz氏は今回のBlack Hat Japan 2006のセッションでは、不正利用の可能性や脅威モデル、コンセプトの理解について、参加者とアイデアを共有したいという。同時に、SNSのようにとても人気のあるサイトが、どのようにその人気と機能性（ユーザーがそれぞれのコンテンツを投稿できるような）を維持し、かつ安全性を保つかについて意見を交わしたいそうだ。

【1】専門・研究領域は？
元々のバックグラウンドは暗号だが、最近ではプロフェッショナルなトレーニングを専門にしている。個別のクライアントには、リバース・エンジニアリング、プロトコル設計、セキュア・コーディング、ハードウェア設計等について、専門知識に基づいたサービスを提供している。

【2】 Black Hat Japan の参加者にとってのキーポイントは？
SNSはとても人気の高いものだが、コンテンツを多くの人に見てもらおうとする結果として、最高のターゲットを準備してくれていることを意味している。そういった人気の高いSNSが、悪意のあるアタッカーが恣意的なコンテンツを挿入できるというセキュリティ上の脆弱性を提供する場だとしたら、大変危険なものだ。もしそのコンテンツがネイティブコードで実行されることになれば、単にJavaScriptがブラウザ上で実行されるのとは対照的に、悪意のあるコードを含んだワームの影響を極めて早く受けてしまうことになる。
日本でのソーシャル・ネットワーキング技術の拠り所として、携帯電話技術の利用や携帯上でのウェブコンテンツの閲覧の広い普及を見てもわかるように、アメリカとは違うチャネルが使われていることだ。

【3】セキュリティ分野での最近のトレンドに関する意見は？
システムはますます複雑になりシンプルになることはあり得ない。そのため、セキュリティ分野での専門性がさらに高まってきている。重要なことは、常に"big picture"で見ることであり、加えて技術の細部にまで精通していることも重要だ。

【4】最近注目したインシデントは？
高度化する組織的な犯罪の増加と、彼らのセキュリティ脆弱性の悪用だ。システムがますます複雑化し、侵入するのに高いスキルが要求されるため、それは当然のことと言える。また、高度なスキルを持ったアタッカーにとっては、利潤動機も十分にあることが理由としてあげられる。

【5】日本で興味のあることは？
日本はとても興味深い国だと思っている。今年日本（本州）に行くのは2回目。もっと日本語を勉強したいと思っているよ。今回行けないとは思うんだけど、京都に行ってみたいと思っている。Black Hat Japan の日程と重なっていないかわからないけど、10月にはお祭りがたくさんあるので見に行きたい。

Moniz氏の話の続きは10月5、6日に東京・新宿の京王プラザホテルで開催される「Black Hat Japan 2006 Briefings」での詳細なプレゼンテーションに期待したい。オンラインでの参加登録締切は9月末で、参加費用は通常価格が84,000円。なおインターネット協会会員や3名以上のグループ参加の場合は1名あたり63,000円という割引価格が適用される。
また日本で初回開催となるトレーニングについては、開催初年度のスペシャル価格として2日間のコースを29万6000円に新設定。こちらもインターネット協会会員や2名以上のグループ参加の場合、1名あたり197,000円となる。

Black Hat Japan 2006 Briefings
http://shop.ns-research.jp/3/9/7481.html
Black Hat Japan Training 2006
http://shop.ns-research.jp/3/9/7503.html