[BHJ2007特約記事] 海外のセキュリティ専門家に聞く先端動向(5) 金床 氏 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

[BHJ2007特約記事] 海外のセキュリティ専門家に聞く先端動向(5) 金床 氏

特集 特集

10月23日から26日に開催される、国際セキュリティカンファレンス「BlackHat Japan 2007 Training & Briefings」には、世界中から選りすぐられた、セキュリティの先端研究者や専門家が日本に結集する。SCAN編集部では、同カンファレンスの協力を得て、来日予定の講師やスピーカー達に横断インタビューを行った。第5回目は、ただ一人の日本人スピーカーであり、世界のエキスパートにもその研究が引用されている金床氏について紹介したいと思う。

●DNS Rebindingのオンラインデモ
金床氏は、1975年生まれのプログラマー。1998年よりネットワークやセキュリティ関連の情報を提供するJUMPERZ.NETを運営。Guardian@JUMPERZ.NET(Web Application Firewall)、Doorman@JUMPERZ.NET(Client Side Proxy)、HTTPTunnel@JUMPERZ.NET(HTTPの上に仮想的なTCPコネクションを構築するツール)などのオープンソースのツールを開発している。

彼は、2006年の12月頃からDNS Rebindingを実際に体験できるオンラインデモンストレーションを上記サイトにて公開している。このデモは Martin Johns氏が見つけた手法と彼自身が発見したいくつかの新しいテクニックを組み合わせたもので、海外の多くのブログで何度も取り上げられており、世界のコミュニティに果たした彼の役割は大変大きいと言える。今年の Black Hat USA で同テーマに関する発表をした David Byrne氏や Jeremiah Grossman氏も、彼の研究に非常に興味を持っていると公言し、彼のサイトをリファレンスとして自身のUSAの講演資料で紹介したほどだ。

金床氏は、同じ原理をFLASHやJavaに応用することにも成功し、その後、これらのデモもインターネット上で公開した。これらのデモには今でも世界中から多くのアクセスがあり、現時点で既に4,000回以上も実行されている。「本テーマはいろいろなテクノロジーが混在する、技術的に非常に興味深いものであり、Black Hat Japanで発表するには最適なテーマのひとつであるのではないかと考え、CFPに応募した」と金床氏は語る。


■質問1:あなたの専門・研究領域はなんですか?
HTTPやWebアプリケーションに関する分野が専門領域です。本業がWebアプリケーションプログラマーであることもあり、この領域で使われている多くの技術を広く浅くカバーしているため、DNS Rebindingというやや特殊な攻撃原理を説明するには適任であると考えています。私のWebサイトで公開しているデモではJavaScript、Java、FLASH、シェルスクリプト、Perl、ActionScript、HTML、XMLなどのテクノロジーを組み合わせて使用しています。

■質問2:あなたが注目しているセキュリティの大きなトレンドは何ですか?
私自身は、AJAXやWeb2.0、JSONPなどのキーワードが関連するJavaScriptの分野に興味があります。JavaScriptの仕様は比較的早いサイクルでアップデートされており、Webアプリケーション開発者にとっては便利になっておく一方、セキュリティ面では不安な要素が増えていく傾向にあると考えています。

■質問3:その大きなトレンドの中でのあなたのミッションは何ですか?
セキュリティ面での不安な要素をしっかり把握し、JavaScriptの新たな機能を安心して利用していく仕組みを発見し、コミュニティに還元したいと考えています。

■質問4:最近注目しているセキュリティインシデントは何ですか?
かつて大流行していたワームが影を潜めたことです。本当の意味でのブラックハットハッカーたちはアンダーグラウンドシーンで金を稼ぐ方向にシフトしているという噂ですが、実際にはどのような状況なのか、そしてワームが減ったことの直接的な原因とハッカーたちの動向に関連があるか、などに興味を持っています。

■質問5:日本に関して何か特別な興味などありますか?
Black Hat Japan には過去2度参加しています。技術にフォーカスしている点がとても気に入っており、また例年、海外のスピーカーに負けず、日本人のスピーカーのレベルが高いことに驚かされます。いつか私も話をしてみたいなと思っていました。今回はちょうどDNS Rebindingという攻撃原理について研究成果が上がっていたため、CFPに応募してみました。参加された方に何かを持ち帰っていただければと思います。


●FLASHやJavaを使ったDNS Rebindingの対策方法
彼は「一般的にDNS RebindingではJavaScriptを対象とした説明を目にすることが多いように感じる。しかし実際にはFLASHやJavaを使った攻撃の方がはるかに危険であり、また現実に攻撃が行われる可能性が高いのではと考えている」と述べ、本講演ではこれらがどのように行われるのか、そしてどのように対策すべきかという点がポイントとなるそうだ。

彼の講演はわかりやすいと定評だが、本講演からは、DNS Rebindingという攻撃の原理に対する理解と、現在のWebブラウザやプラグインの環境が抱える問題についての理解が得られると考えられる。これは企業のネットワーク管理者はもちろん、個人ユーザにも役に立つだろうと彼は述べている。

【取材協力:Black Hat Japan Operation 担当 篠田佳奈】

【関連URL】
JUMPERZ.NET
http://www.jumperz.net/
Black Hat Japan 2007 Briefings
http://shop.ns-research.jp/3/9/9620.html
Black Hat Japan 2007 Training
http://shop.ns-research.jp/3/9/9641.html
Welcome to the Black Hat Japan 2007
http://japan.blackhat.com/
バナー広告をマルウエア配布手段として利用する攻撃
https://www.netsecurity.ne.jp/2_10148.html


□ Black Hat Japan 2007 Training & Briefings 開催概要
開催地:東京 新宿 京王プラザホテル
年月日:トレーニング 2007年10月23日(火)〜24日(水)
ブリーフィングス 2007年10月25日(木)〜26日(金)
受講料:ブリーフィングス 通常88,200円/当日92,400円(税込)トレーニング 各コースによって異なるためWebを参照
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×