PacSec Conference 2009 の注目トラック

　情報セキュリティカンファレンス PacSec Conference 2009 が、11月4日、5日に東京で開催される。今年で6回目を迎える。7月に来日した主宰のドラゴス・ルーユー氏に今年のPacSecの見所を聞いた。

特集特集

2009年9月2日（水） 17時15分

　情報セキュリティカンファレンス PacSec Conference 2009 が、11月4日、5日に東京で開催される。今年で6回目を迎える。7月に来日した主宰のドラゴス・ルーユー氏に今年のPacSecの見所を聞いた。

　今年のPacSecでの注目されるスピーカーは、じつはこのインタビュー後に入って来たCharlie Miller氏とAlex Rice氏であろう。Safariブラウザの脆弱性の発見などで知られるMiller氏は、5月のEUSecでのiPhoneに関する研究、また7月のBlack Hat USAでのiPhoneのSMSリモートコード実行脆弱性について発表したことが記憶に新しい。PacSec Conference 2009では、これらの話題を合わせた総合的な報告をしてくれるそうだ。また、FacebookのRice氏は、ソーシャルネットワークを運営する中で遭遇したユニークな脅威の例と、Facebook内部でのセキュリティ対応の成功例と課題について話す予定という。乞うご期待。

─

Scan：
今年のPacSecの注目トラックは何ですか？

ドラゴス：
まず最初は、マイクロチップを分析する方法に関するKarsten Nohl氏の講演「Silicon Chips : No More Secrets」です。マイクロチップは従来はチップ開発製造企業のマニュアルなどをもとに研究が進められていましたが、この発表ではチップを光学的に分析して暗号解読を行うという、新しい技術を解説します。日本でよく使われているSuicaにもマイクロチップが入っていますし、暗号化ハードディスクの暗号鍵もチップ上に置く場合が多いので、システムに対する潜在的な大きい脅威を指摘する内容です。

また、ベルギーのルーベン大学の Yves Younan氏の「Filter-resistant code injection on ARM」も注目される講演です。ARMプロセッサはiPhoneなどに入っているCPUですが、この発表ではアセンブリ言語レベルのインストラクションコードを6つ動かすだけで、任意のコードが実行できることを発表します。

「Binary diffing for dummies」を講演する、eEye Digital Security の Jeongwook Oh氏は、セキュリティパッチを解析するツールを作っています。この解析ツールにパッチを流し込むと、プログラムコードの中からパッチを当てるところを探して表示するのですが、逆にどこに脆弱性があるかを見つけることができるともいえます。

GoogleのTavis Ormandy氏とJulien Tinnes氏による「Virtualisation security and the Intel privilege model」では、クラウドコンピューティングで使う仮想化の問題を洗い出します。

「Exploitable and Effective Fuzzing Strategies as a Regular Part of Test」は、発表者のJason Shirk氏が所属するマイクロソフトだからこそ得ることのできた知見でしょう。Jason氏はWindows7の1,200万行のコードをFuzzingをした人物で、その過程で得た知見だけでなく、いろいろなFuzzingツールの特長の比較などを話してくれると思います。

Scan：
今年になってPacSecは何か変わりましたか？

ドラゴス：
いままでPacSecは、技術的にレベルの高い内容を中心に講演内容を編成していました。それは、同じく日本で開催されるBlack Hat Japanを意識したものでもありました。しかし、今年はBlack Hat Japanが開催されないため、いままで扱っていなかったITマネージメント的な内容を増やしました。

具体的には、クラウドコンピューティングのセキュリティに関する法的問題に関する高橋郁夫氏の「Security Wars - episode3 "Cloud Defense at"」や、企業内でのSNSアプリケーションの問題点を指摘するマカフィー社のAnthony Bettini氏の「A tsunami may be headed for social networking
applications」などです。

Scan：
BHJの開催はなくなりましたしRSAコンファレンスも他のイベントの一部になったりと、セキュリティイベントの縮小傾向が見られますが?

ドラゴス：
今年もPacSec続けることは難しい判断でした。しかし、日本のエンジニアが世界のセキュリティコミュニティとつながるコミュニケーションルートを作ることが、日本でPacSecを開催する目的です。日本はあきらめたくないと思って開催を決定しました。

Scan：
今回来日した日本の印象はどうですか？

ドラゴス：
街を歩いたり電車に乗っているときに、iPhone利用者がとても多いのにびっくりしました。また、お台場のガンダムを見に行く予定は週末に入れてあります。

【聞き手：Gohsuke Takama／構成：Scan編集部】

【関連リンク】
PacSec　情報セキュリティに関するカンファレンスとトレーニング
http://pacsec.jp/
PacSec jp (PacSecjp) on Twitter
http://twitter.com/PacSecjp
PacSec 2009 Conference〜オンライン事前登録〜
http://www.e-ticket.net/pacsec/2009/

《ScanNetSecurity》