Black Hat Japan 2008 特別インタビュー ダン・カミンスキーに聞く、DNS脆弱性が示唆するもの これから来るもの(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

Black Hat Japan 2008 特別インタビュー ダン・カミンスキーに聞く、DNS脆弱性が示唆するもの これから来るもの(1)

特集 特集

 2008年10月9日に開催されたBlack Hat Japan 2008 の基調講演を行ったダン・カミンスキー氏にインタビューを行った。

 今回の来日講演の目的、DNS脆弱性発見からパッチリリースまでの顛末、そして今後のセキュリティの将来像について、株式会社サイバーディフェンス研究所のラウリ コルツパルン氏が話を聞いた。



ラウリ(文中敬称略) :
 今回の来日講演で出席者に伝えたいテーマは何ですか?

ダン :
 2008年に確認されたバグ全般がテーマです。

 状況は良くありません。というのも、インターネット上の通信相手が正しい人なのかどうかが分からない、認証の問題が広がっているからです。

 発見された設計上のバグの多くは認証に関するものです。承認情報を漏えいする、もしくは承認情報を正しく生成しないため、結果的に受け取った承認情報を信じる根拠がなくなってしまいました。これは最近のバグに全体的に共通するテーマの一つです。この問題には、次の2つのポイントがあると思います。

 1つ目は、我々が目にしているDNSの欠陥の上に、ほとんどのインターネットサービスが依存しており、これからシステムの構築を行う際には、それらの欠陥を意識すべきであるということです。自分の会社、自分のシステム、自分のパソコンという狭い制約にとらわれず、その枠を広げて考えるということが重要です。今回の基調講演はDNS関連の話で、その半分はSSL関連になりましたが、Webアプリケーションや、デスクトップ・アプリケーションとの密接な関係についても話しました。私が、このDNSの攻撃を初めて目にしたとき多くの人々は、「SSLが助けてくれるさ」とか「そんなことはずっと前から知っているけど、サーバは外部に公開されていないからね」と言っていました。

 2つ目は、安全を保つために考えなければならないことが山ほどあるにもかかわらず、立ち止まってそれを真剣に考えた人が誰もいないということです。私は人々に対して、彼らが関わっているシステムと現在発生している攻撃との関連性に関する啓蒙活動を行い、認証の問題が存在し続けていること、自分の通信相手が誰なのかわかるのか、そしてどうしてそう思うのかなどを問いかけてきました。なぜならば、我々が利用しているのは非常に古いシステムで、なんと25年間も変わらず動き続け、そしてずっと同じ問題を持ち続けているからです。

ラウリ :
 今、2つの話題が出ました。1つ目は古いシステムについて、2つ目は認証の仕組についてでしたが、これらがあなたが基調講演で扱った、現在の混乱の原因となっているということですね。

ダン :
 名前からIPアドレスを提供するという古いシステムが現在でも稼働しており、過去25年間に開発された、そのシステムに依存しているネットワーク・ソフトウェアは膨大な数に上ります。DNSに何かがあった時に何が壊れるのかいう問題は、かなり厄介です。たったひとつの設計上のバグによって、これだけ大きな悪影響があるなんて、技術に携わる人間として、恥ずかしいことだと思います。

 「インターネットが敵意に満ち溢れているなんてことは百も承知だ」と語る人々はたくさんいます。私も、セキュリティに関わる他の人々もそうです。しかし、実際に書かれたプログラムコードを見てみると、「インターネットが敵意に満ちている」とわかっている人たちが書いたはずなのに、ほとんどのプログラムは、いまだにセキュリティを意識せずに書かれています。実際のところ、WebサーバやWebブラウザのように、過去に何度も攻撃を受けたソフトウェアしかセキュリティの強化は行われていません。セキュリティ対策が行われているのは、膨大なネットワーク・ソフトウェアのごく一部でしかないのです。それ以外のソフトウェアは、DNS同様に、セキュリティの優先順位が低かった25年前と変わりないと言えるでしょう。

ラウリ :
 あなたが発表したDNSの脆弱性は世界的な注目を浴びました。反対に、非常に小規模で人に気づかれないような攻撃が行われているソフトウェアは、他にもあると思いますか?

ダン :
 2008年の現在、昔と状況が変わりました。攻撃者は、自分の家族を養うために攻撃をしています。攻撃者が子供なのではなく、攻撃者に子供がいるのです。目的がお金儲けになった訳です。攻撃は対象を絞った小規模なものとなり、人に気づかれないものになっています。

 我々が今日、目にしているDNS関連の攻撃は、ターゲットを限定した、巧妙に計画された攻撃になってきました。たとえば、テキサス州のオースティンで確認された攻撃がそうで、AT&TのインターネットサービスのDNSを書き換え、Googleへのトラフィックを悪用して攻撃者に広告収入が入るように改変されました。これもお金儲けが目的です。Chinanet.comへの攻撃も、DNSを悪用した攻撃と特定されてはいませんが、何かがDNSに起こっています。

 サーバに侵入してマルウェアを仕掛けることも、お金を生み出します。すべてを破壊し尽くすような大規模な攻撃は、何の利益も生みません。利益を生まないがために、行われないのです。

 更に言うならば、我々が考えうるもっとも破壊力がある攻撃は、Fortune 500クラスの企業のメールの盗聴と改変ですが、これらを検知するのは不可能だと言っていいでしょう。また、誰かが奨励したり、報奨金を用意が用意されでもしない限り、誰もそのような攻撃を受けたことを明らかにはしないでしょう。そもそも、そのような攻撃を受けているということに気がつくことすらできないと思います。それでもメールは届くからです。

ラウリ :
 それを知るには、どのような手段があるのでしょうか?

ダン :
 DoxPara Research というWebサイトがあり、そのサイトには「check my dns」というDNSサーバの安全性をチェックするボタンがあります。

DoxPara Research
http://www.doxpara.com

 また、実験段階ですが…

【翻訳/記事構成: 日吉 龍/SCAN編集部】

 インタビュー:ラウリ コルツパルン

 エストニア出身。タリン技術大学で8年間ネットワーク管理者を務める。2003年、ヨーロッパで開催されたセキュリティ専門コミュニティ「zone-h」のハッキングミッションを史上最速でクリア後、zone-h のメンバーとして、世界各国でセミナー講師を務め、2004年からサイバーディフェンス研究所技術開発部 特別分析官。研修講師及びペネトレーションテストに従事。

 今回の取材を終え「インターネットを通じて提供されるサービスが増え、その利用者が増えることで、認証という攻撃ポイントは爆発的に増加している。データを守る側のセキュリティ対策は一定の効果が上がっているから、今後は認証を狙ったソーシャルエンジニアリング的な攻撃が増えるだろう」と感想を語った。

 サイバーディフェンス研究所 メンバー(後列右ラウリ氏)
http://www.cyberdefense.jp/company_profile/about.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×