ひょんなことから参加することになったわけです。うちのラップトップじゃ全然仮想環境が動きませんで、躊躇してたわけですね。そこに母から「マシンは心配しなくて良いから応募してみなさい!」と背中を押されて応募用紙を送信することに。そしたら偶然(?)受かってしまったので覚悟を決めて事前課題に取り組んだりしてました。
今だから正直に吐露しますが、行く前はものすごく不安でした。「ついて行けるかな、何の知識も無いのに場違いなんじゃないかな」と。終わる直前には「もう終わっちゃうの!?」という感じ。この心境の変化が自分でも一番びっくりしたところです。ではざっくり振り返ってみたいと思います。
まぁ普通に電車乗って、札駅着いたらヨドバシ物色して、いつも通り杵屋でうどん食べて、あと地下鉄で会場に向かいましたよね。このときはまだ天気よかったので難なく到着しました。
到着したら受付して、学生部とか大人部とか同級生とかキャンプ生とかと挨拶とか雑談とか。名刺はこのとき撒いた人と二日目に撒いた人といろいろ。あの名刺とてもシンプルです。決して手抜きではありません。手抜きでは。
タイトルが長かったです。題して「情報セキュリティ人材は本当に不足しているのか?~取り組みの実体と発掘・育成のアプローチ&ご家庭でできること」。宮本 久仁男先生による講義でした。
10年ほど前に開発されたウイルスが未だに発見され続ける現状の説明から入り、これがどうしてなのかという考察から始まりました。すでに確立されてツール化された手法であるため、攻撃にかかるコストが少ないことが大きな要因になっているのではと言うことでした。逆に、確実に攻撃を成功させたい場面では高いお金を払ってでも新たな脆弱性を見つけて攻撃することもあるそうです。
感覚的な人数比として、脆弱性を見つける人数に対してただ発見された脆弱性を突くツールを使うだけの人間が圧倒的に多いとのこと。古い脆弱性を突く古典的手口がまだまだ通用する現状で、例えば官公庁や大手企業などを狙う案件も数多くあり、いつ誰が狙われてもおかしくない現状だと警鐘を鳴らされていました。
昨年から流行しているWebページの改ざんも、それ以前より凄腕の攻撃者が増えたわけでは無く、昔ガンブラーとして流行ったものを手口を洗練化させて再流行させているだけ、ここでも古い手口が流行っている。攻撃者は昔の手法に新たな手口を上乗せして技術を高めてきているというお話でした。
これに加えて大きな問題なのが、攻撃側に比べて防御側の人数が少ないこともあるとと言うことをおっしゃっておりました。組織化されている攻撃側に対していくら個々で立ち向かおうとしても焼け石に水なので、防御側のしっかり組織化することが大事だと学びました。また組織の中で過去の経験を引き継いでいける制度を作ることがとても重要とのことでした。そうしないと過去にあった同様の手口に対して再度引っかかり、全く無意味であると。
お話は防御側人材の育成について移っていきます。今できることができる環境に無く、これまでのことをわかっている人がおらず、防御側人材を適切に雇う環境が整っていない現状を説明され、逆に「自由な発想と思考を行える環境と人材」「これまでの事とこれからの事を考えられる人」「防御側人材を適切に雇う環境」が求められると言うことでした。
最後に自分でできることとして、「悪いこと」で無ければ何でもやってみなさい、と背中を押していただきました。
タイトルは「明るくて、グレーで、ダークな未来」。講師は園田 道夫先生です。
情報が大いに活用される時代になり、SFが描いたものも実用化されつつありますね、というところから話が展開していって、便利な未来と、ディストピア的未来と両方が考えられるとのことでした。特に、情報の使い方を誤ったり、暴走したりするのは機械では無くむしろ人間の方ではないか、という着眼点からお話をされていました。
実際にイギリスの公共ゴミ箱で広告を表示できるようにしたところ、そこに業者がMACアドレスを収集する装置を取り付けてWi-Fiが有効になっているスマホなどから個人の足取りをつかんでいたことが発覚した事例を紹介していただきました。このようにして集めたデータをデータマイニングで解析したりすることで、今までには不可能だった個人の嗜好の領域に立ち入ってより的確な広告を流そうと言うことも可能ではないか、むしろ本人がほしくなる前にこれからほしくなりそうなものを予想することも可能ではないかとお話しされていました。このことは、一種の業者の暴走に当たるのではと。
この暴走を止めるには、技術的観点からどのようなものが個人情報で、どう取り扱われるべきかきちんと議論していくことが重要だとおっしゃっていました。一方業者はとりあえず何かに使えるかもしれないから全部集めてしまえ、集める手法は他社にまねされたりしたくないから非公開にしてしまえ、と思いがちで、なかなか規制に繋がらないのではと懸念もあります。
漏れたりしなければ個人情報を集められても比較的安全かもしれませんが、その企業がどう情報の保全に取り組んでいるのかただ予算を見る程度では社外からなかなか見えにくい点が問題であると指摘されていました。また一時情報漏れなどの案件があって一時的に予算額を増やしたとしても、また情報漏れ案件が何年もないうちに予算を減らしてしまい、また情報漏洩案件を発生させてしまう悪循環を生み出しかねないと警告されていました。
1コマ目とも繋がるけれど、かなり売れるために攻撃ツールのマーケットも大きくなりつつあり、攻撃者側同士の情報共有もかなり進んでいるとのこと。特に小型マシンとか組み込み系は攻撃に対する対策をしていないことがほとんどで、攻撃を受けやすいカモであると警告されていました。
最後に未来の攻撃手法(化学物質で感情を変化させるとか)について触れたり、CTFについて触れたりして、腕利きによる教育実践の重要性や、セキュリティをわかっている人がソフトウェア制作に携われる環境が整備されるとよいと話されました。
最後は「フォレンジックスの現状と課題」と称して春山 敬宏先生と園田 道夫先生の対談形式で行われました。
マルウェア感染したディスクを調査するフォレンジック解析についてのお話でしたが、ウイルスの秘匿性が高まり、ディスクも大容量化している現在では丸ごとディスクのダンプをとって調査するよりも、例えばレジストリやMFTに限ってまず調査をし、段階的に範囲を広げていくのがよいと結論づけていらっしゃいました。また、ディスクに痕跡を残さないウイルスも、メモリ上になら何らかの痕跡を残している可能性があるので、これも併せて調査すると効率的だともおっしゃっていました。
ZEUSに代表されるようなマルウェアのオープンソース化に伴い、その仕組みをソースコードから知ることが可能になって一見防御側に有利に思えるが、長い目で見ると多数の亜種が出現するきっかけとなり、不利になるのではと指摘されていました。こうなるとオリジナルに対して行う解析方法で、その違いを知るなどちょっと手順が複雑になるとのこと。また攻撃手法を開発してくるのはいつも攻撃側のため、防御側は常に後追い状態でかなり負け戦な現状であると説明されていました。(その原因は攻撃側には確実な収入があるのに対して、防御側は不理解などから収入が少ないことにあるのではという指摘が…)
また現状のデータマイニングや機械学習のレベルでは、人間が分類を教えてあげれば可能かもしれないが、再学習のコストが高すぎるためまだその域に達していないというお話もありました。
次に遠隔操作事件からわかってきたことのお話に移っていきました。裁判官も初期の頃は用語がたどたどしかったりして少し怪しげに見えたけれども、回を重ねるごとにだんだん理解してもらえるようになった、と手応えを感じたそうです。一方で、フォレンジックだけで何もかもわかるわけではない、世の中には解析技術の限界も示してしまった、と残念がっておられました。本来ならばフォレンジック班とソフトウェア班が連携すべきなのに、現状それができていない傾向にあるのではと分析されていました。
最後の質疑応答で「どのぐらいの深刻さならフォレンジック解析を行ってもらうべきか」という質問に対し「社内だったら海外の事例なども見つつ、類似点が発見されたら行う。社外だったらお金がものを言う()」と妙に生々しいお返事が。また「フォレンジックを行う前にやってほしくないこと」については「色々と痕跡を消してしまうので、管理者権限を使って自分たちだけで何かを調べようとしたり、様々な会社のウイルス対策ソフトを使って幾重にもウイルスチェックをかけ、タイムスタンプをめちゃくちゃにしてしまったりするのは本当にやめてほしい。何も検知できなかったと報告するしか無くなってしまう場合もある。すると解析のための資金も無駄になってしまう」とお返事されていました。
最後は楽しい楽しいキャンプ本戦卒業生によるLTです。
最初はわたあめさんの「目で見るバイナリ」でした。要するに、目grepです。はい。資料がないと何とも申し上げにくいので気になる方は「目grep」でググってください。
次は能登だでぃ子さんによる「(in|out)put」です。技術系の話題をインプットしたりアウトプットしたりすることに重要性について聞いてきました。私もこうしてアウトプットしているわけですから、色々と参考になりました。あとブログ書くのしんどいです。でも情報は出した人のところに集まるらしいので頑張ります。
とりあえず一般の人と一緒に受けた部分はここまでです。なんか長くなったので分離します。色々やること多いので続きはちょっと日が開いちゃうかも。なるべくそうならないように頑張ります!