2008年10月9日に開催されたBlack Hat Japan 2008 の基調講演を行ったダン・カミンスキー氏にインタビューを行った。 今回の来日講演の目的、DNS脆弱性発見からパッチリリースまでの顛末、そして今後のセキュリティの将来像について、株式会社サイバーディフェンス研究所のラウリ コルツパルン氏が話を聞いた。─ラウリ(文中敬称略) : 今回の来日講演で出席者に伝えたいテーマは何ですか?ダン : 2008年に確認されたバグ全般がテーマです。 状況は良くありません。というのも、インターネット上の通信相手が正しい人なのかどうかが分からない、認証の問題が広がっているからです。 発見された設計上のバグの多くは認証に関するものです。承認情報を漏えいする、もしくは承認情報を正しく生成しないため、結果的に受け取った承認情報を信じる根拠がなくなってしまいました。これは最近のバグに全体的に共通するテーマの一つです。この問題には、次の2つのポイントがあると思います。 1つ目は、我々が目にしているDNSの欠陥の上に、ほとんどのインターネットサービスが依存しており、これからシステムの構築を行う際には、それらの欠陥を意識すべきであるということです。自分の会社、自分のシステム、自分のパソコンという狭い制約にとらわれず、その枠を広げて考えるということが重要です。今回の基調講演はDNS関連の話で、その半分はSSL関連になりましたが、Webアプリケーションや、デスクトップ・アプリケーションとの密接な関係についても話しました。私が、このDNSの攻撃を初めて目にしたとき多くの人々は、「SSLが助けてくれるさ」とか「そんなことはずっと前から知っているけど、サーバは外部に公開されていないからね」と言っていました。 2つ目は、安全を保つために考えなければならないことが山ほどあるにもかかわらず、立ち止まってそれを真剣に考えた人が誰もいないということです。私は人々に対して、彼らが関わっているシステムと現在発生している攻撃との関連性に関する啓蒙活動を行い、認証の問題が存在し続けていること、自分の通信相手が誰なのかわかるのか、そしてどうしてそう思うのかなどを問いかけてきました。なぜならば、我々が利用しているのは非常に古いシステムで、なんと25年間も変わらず動き続け、そしてずっと同じ問題を持ち続けているからです。ラウリ : 今、2つの話題が出ました。1つ目は古いシステムについて、2つ目は認証の仕組についてでしたが、これらがあなたが基調講演で扱った、現在の混乱の原因となっているということですね。ダン : 名前からIPアドレスを提供するという古いシステムが現在でも稼働しており、過去25年間に開発された、そのシステムに依存しているネットワーク・ソフトウェアは膨大な数に上ります。DNSに何かがあった時に何が壊れるのかいう問題は、かなり厄介です。たったひとつの設計上のバグによって、これだけ大きな悪影響があるなんて、技術に携わる人間として、恥ずかしいことだと思います。 「インターネットが敵意に満ち溢れているなんてことは百も承知だ」と語る人々はたくさんいます。私も、セキュリティに関わる他の人々もそうです。しかし、実際に書かれたプログラムコードを見てみると、「インターネットが敵意に満ちている」とわかっている人たちが書いたはずなのに、ほとんどのプログラムは、いまだにセキュリティを意識せずに書かれています。実際のところ、WebサーバやWebブラウザのように、過去に何度も攻撃を受けたソフトウェアしかセキュリティの強化は行われていません。セキュリティ対策が行われているのは、膨大なネットワーク・ソフトウェアのごく一部でしかないのです。それ以外のソフトウェアは、DNS同様に、セキュリティの優先順位が低かった25年前と変わりないと言えるでしょう。ラウリ : あなたが発表したDNSの脆弱性は世界的な注目を浴びました。反対に、非常に小規模で人に気づかれないような攻撃が行われているソフトウェアは、他にもあると思いますか?ダン : 2008年の現在、昔と状況が変わりました。攻撃者は、自分の家族を養うために攻撃をしています。攻撃者が子供なのではなく、攻撃者に子供がいるのです。目的がお金儲けになった訳です。攻撃は対象を絞った小規模なものとなり、人に気づかれないものになっています。 我々が今日、目にしているDNS関連の攻撃は、ターゲットを限定した、巧妙に計画された攻撃になってきました。たとえば、テキサス州のオースティンで確認された攻撃がそうで、AT&TのインターネットサービスのDNSを書き換え、Googleへのトラフィックを悪用して攻撃者に広告収入が入るように改変されました。これもお金儲けが目的です。Chinanet.comへの攻撃も、DNSを悪用した攻撃と特定されてはいませんが、何かがDNSに起こっています。 サーバに侵入してマルウェアを仕掛けることも、お金を生み出します。すべてを破壊し尽くすような大規模な攻撃は、何の利益も生みません。利益を生まないがために、行われないのです。 更に言うならば、我々が考えうるもっとも破壊力がある攻撃は、Fortune 500クラスの企業のメールの盗聴と改変ですが、これらを検知するのは不可能だと言っていいでしょう。また、誰かが奨励したり、報奨金を用意が用意されでもしない限り、誰もそのような攻撃を受けたことを明らかにはしないでしょう。そもそも、そのような攻撃を受けているということに気がつくことすらできないと思います。それでもメールは届くからです。ラウリ : それを知るには、どのような手段があるのでしょうか?ダン : DoxPara Research というWebサイトがあり、そのサイトには「check my dns」というDNSサーバの安全性をチェックするボタンがあります。DoxPara Research http://www.doxpara.com また、実験段階ですが… 【翻訳/記事構成: 日吉 龍/SCAN編集部】 インタビュー:ラウリ コルツパルン エストニア出身。タリン技術大学で8年間ネットワーク管理者を務める。2003年、ヨーロッパで開催されたセキュリティ専門コミュニティ「zone-h」のハッキングミッションを史上最速でクリア後、zone-h のメンバーとして、世界各国でセミナー講師を務め、2004年からサイバーディフェンス研究所技術開発部 特別分析官。研修講師及びペネトレーションテストに従事。 今回の取材を終え「インターネットを通じて提供されるサービスが増え、その利用者が増えることで、認証という攻撃ポイントは爆発的に増加している。データを守る側のセキュリティ対策は一定の効果が上がっているから、今後は認証を狙ったソーシャルエンジニアリング的な攻撃が増えるだろう」と感想を語った。 サイバーディフェンス研究所 メンバー(後列右ラウリ氏) http://www.cyberdefense.jp/company_profile/about.html ── ※ この記事は Scan購読会員向け記事をダイジェスト掲載しました 購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
