[ 基調講演 ] 脅威と技術の意味の変化....日本では今何が起きてるの？
岡谷　貢[Mitsugu Okatani]、防衛庁統合幕僚監部（元内閣官房情報セキュリティセンター参事官補佐）

インターネットが社会基盤になり、多様な意図を持った攻撃や事件等が顕在化してきました。これに伴い従前関係の無かった部門組織等が脅威・技術の議論に積極的に関わるようになりました。また、多様化した情報セキュリティの意味を各種各層がそれぞれの立場役割に応じて考え、動き始めています。本講演では、脅威や影響の意味の変遷及び顕在化している攻撃モデルの整理を踏まえた上で、日本で起きている現象や構図を概括します。

岡谷　貢 氏
1980年4月航空自衛隊入隊後、戦闘機操縦士を経て兵器システム開発技術者としてシステム設計開発業務及びシステム管理業務等に従事。1993年10月より、航空自衛隊におけるIT型システム開発及び情報セキュリティ関連業務のプロジェクト責任者に従事。2002年4月より、航空幕僚監部防衛部通信電子課、防衛庁長官官房情報通信課、内閣官房情報セキュリティ対策推進室を兼任。2005年8月より、内閣官房情報セキュリティセンターに常勤。2006年4月統合幕僚監部

カーネル内でのWindowsフォレンジック分析を排除する
ダレン・ビルビー[Darren Bilby]、 Senior Security Consultant, Security-Assessment.com

金曜午後7時。あなたは今日の一杯目のビールを見つめながら、明日はどこに対して攻撃がやって来るかに思いを巡らしていた。唐突に電話が鳴り、何か「おかしな」ことがクライアントのウェブサーバで起きていると伝えて来た。巨額の金が経由している、あのサーバだ。シリアスな問題に違いない。ネットワークのIDS(侵入検知システム)は、サーバからインターネットに向けて送出されたパケットの中に、暗号化されたコマンドシェルが存在するのを検知した。あなたは「セキュリティインシデント・対応マニュアル」を引っ張り出して現場に向かう。

プロセス志向で頼もしい監督者であるあなたは、フォレンジック用のツールキットを立ち上げ、そのサーバのRAMの状態とディスクのフォレンジック・コピーをとる。ところが、ツールを使いコピーの中の問題を分析するが、何も見つからない。すべてのプロセスは良好だし、明らかなフックを持ったコードも存在せず、検証できるソースのハッシュはすべて整合する。なにか見落としたのか？なぜメモリーやディスクからは何も問題が見つからないのだ？

誰かがあなたを弄んでいる。たぶん誰かがカーネルの世界に潜んでいるのだ。あなたの取った作業手順はこの国のどの法廷でも確実だと認められるにもかかわらず、あなたが得たフォレンジック・イメージは偽装されていたのだ。

このトークは、フォレンジック・アナリスト、捜査官、検察官、および管理者を対象にした、基礎レベルの講義である。このトークでは、新しいテクニックと、DDefyと呼ばれる今までにまだリリースされていない実用インプリメントを見せる。フォレンジック分析にかかわった者ならば、だれでもDDefyについて意識しているべきである。デモンストレーションでは、Windowsのシステムにおけるディスクとメモリーのライブ・フォレンジック分析の無効化と、一般的なフォレンジック・ツールの原理的な欠点を暴露することをお見せする。

このトークの聴講者には、実際のライブ・フォレンジックについての理解と、最近のrootkit技術についての知識が求められる。また、NTFSの内部構造の知識があれば理解に役立つであろう。

Darren Bilby（ダレン・ビルビー）氏は、ニュージーランド、オークランドをベースとするSecurity-Assessment.com社のシニアセキュリティ・コンサルタントである。Bilby氏は、クライアントのため侵入テストをしていないときには、通常のUNIXとWindowsのインシデント対応に関わり、また、同社のCSIRTチームのテクニカルリードの一人である。また、ソースコード監査のソフトウェアであるCodescanにも携わっている。Bilby氏は活発な研究者であり、アンチ・フォレンジックのテクニックやVoIPセキュリティ研究のプロジェクトに現在従事している。

世界のIPv6アップデート: 戦略と戦術
ケネス・ギアズ[Kenneth Geers]
アレクサンダー・アイゼン[Alexander Eisen]

アメリカ合衆国政府は、その政府組織が2008年6月30日までにIPv6に対応することを義務化した。日本政府は、IPv6の対応締め切りをすでに一回以上逸している。しかし、我々が配備と対応のための期日について議論している間にも、あなたの組織は次世代インターネットの準備を始めなければならないことに質問の余地はなく、その作業は今すぐ開始されるべきである。今回のこのプレゼンテーションは、眠れる巨人として知られるIPv6を取り囲んでいる最も重要な事象についての、第一線の思索家達によるインタヴューを含む、広範囲でかつ深いリサーチに基づいている。ここでは、今後やってくる困難な時期に対してのプランを立てる上で必要になる、さまざまな事実が提示されるであろう。

戦術的な側面についての、IPv6の詳細な見解は細かいディテールまで検討されるだろう。このプレゼンテーションでは、Black Hat Japanの受講者の所属する団体にとって、政府からの義務だけでなく世界的な経済的競合相手とも同じペースに保つことという、この先待ち受ける試練についての情報となる、おびただしい数の技術的な詳細を提供する予定である。またBlack Hatの参加者は、ハッカーがどのようにこの新しい技術を食いものにするか、そして異質なものが混成する環境という、長くなることが避けられないIPv6への移行期において、どのように悪人たちの活動を阻止するかについて学習するだろう。

まさかと思われるかもしれないが、多くの国家が将来のための国家安全保障計画にとってIPv6は重大なものであるとの見解を示している。このプレゼンテーションは、ホワイトハウス、東京、北京、赤の広場に立寄り、最新のIPv6の研究について、また東アジアでの配備での出来事の詳細を網羅する予定である。ここでは、もしも数カ国の政府がこのままの方針を固持し続けるとしたら、どのように今回のBlack Hatの参加者のほとんどがインターネット上での匿名性の最後の一片を失うかについても、議論をすることになるだろう。また、企業活動においてのインターネットのアドレッシングについても指摘されることになるだろう。例えば、Xbox、IPTV、そして私の冷蔵庫に残っているビールの数の間の共通性は何かということである。答えはIPv6にある。

Kenneth Geers（ケネス・ギアズ）（CISSP、ワシントン州大学修士号）氏は、アメリカ海軍の司法、対諜報活動を担う、米海軍犯罪捜査課（Naval Criminal Investigation Service）勤務。国防省勤務として他にも、国家安全保障局（NSA）、国防情報局、SAIC核兵器削減支援チーム、ケネディ元大統領暗殺調査委員会、在ブリュッセル米国大使館において任務を受け持った。フランス語とロシア語に堪能で、カリフォルニア州のモントレーにある国防言語研究所（Defense Language Institute）を首席で卒業。米国陸軍司令部がロシアの戦略兵器検査準備を行うためのトレーニングおよびテスト用ソフトウェアを開発すると同時に、米国陸軍宇宙・ミサイル防衛司令部のウェブサイトで特に兵器削減に特化したもののいくつかをデザイン、管理した。サイバー戦争の現状に詳しく、Black Hat USAでもサイバー戦争に関する講演を行ったことがある。また、SANS研究所に対してコンピュータ･セキュリティのアドバイスを常時行っている。ワシントン大学修士課程修了。これまでの職歴は、翻訳者、プログラマー、ウェブサイト開発者およびアナリストなど様々だが、最も変わったところでは、ジョン・F・ケネディ暗殺事件検討委員会で働いたことである。他には、ルクセンブルグでレストランのウェイター、中近東の国で生花栽培、キリマンジャロ登頂をやったほか、ザンジバルで虫にかまれてあやうく命を落としそうになり、ロシュフォールの修道院で夜中の3時にトラピスト・ビールを作ったという経験もある。趣味はコンピュータのログファイルを読むこと。時間がある時はチェスをプレーし、SANSのメンターもしている。

Alexander Eisen（アレクサンダー・アイゼン）（CISSP, バッファロー大学理学修士）氏は、暗号学とサイバー法とマネジメントの橋渡しとなる、複数領域のコンピュータサイエンス教育プログラムを完了するため、2度にわたり国防総省情報保証に関する奨学金（DoD Information Assurance Scholarship）を取得した。ペネトレーション・テスト、インシデント・レスポンス、フォレンジック、セキュリティソフトの評価などのフィールドで活躍している。セキュリティの世界での革新的なトピックを探索し、学界と共にリサーチし、グレイハットのアントレプレナーでい続けることに情熱を傾けている。Eisen氏の望みは、Geers氏のマイレージを使って世界をまたにかけ、スノーボードの冒険をしながら氏を助けることにある。また、UAT（University of Advancing Technology）の非常勤講師であり、IEEEコンピュータ・ソサエティのメンバーである。彼の飼うロシアンブルー種猫の名前はJazz.aという。

クロスサイト・スクリプティング・エクスプロイットの６軸
ダン・モニッツ[Dan Moniz], Member, The Shmoo Group

　MySpaceのようなSNSが、昨今クロス・サイト・スクリプティング（XSS）攻撃のターゲットになっている。中でも、2005年の終わり頃に起きた「samy is my hero」事件が有名なものである。XSSは様々なサイトとバックエンドのウェブ・テクノロジーに影響を及ぼしているが、「samy」の一件に見られたように、多分攻撃ターゲットにしたいほどのサイトとは、ユーザ増加率が極端に右上がりな感染的人気のある曲線をもつ、幾何級数的に増殖するXSSワームの発生を許してしまう一部のサイトだけである。しかし、広範囲な上に果てしなく広がり続けるオーディエンスへの到達力と、ブラウザ・エクスプロイット（ここでいうブラウザとは、"一般の人々"が使うレベルのごく一般的なブラウザを指す）が合体すると、驚異的な速さの感染ベクトルを持つ自己回復型分散ワーム繁殖プラットフォームになってしまう。このブラウザ・エクスプロイットとは、WMFの事態で見られたように単にブラウザに影響を及ぼすだけでなく、透明なXSSに基づいたコード挿入や感染の手法や、ペイロードそれ自身が元の同じサイトや他の攻撃を受けやすいサイトに周回しエクスプロイット・コードを注入できてしまうようなもののことである。

このプレゼンテーションでは、MySpaceや他の人気のあるサイトをケーススタディとして用いながら、WMFとメタスプロイト・プロジェクトから最近リリースされたファジングツール「Hamachi」の両方が証明した潜在能力とともに、悪意のあるブラウザ・エクスプロイット・ペイロードを含む自己修復型XSSの持つ可能性を入念に見せる。このペイロードは、ブラウザを書き換えて他のサイトを「オート・エクスプロイット」するように仕立てるものだが、ユーザーからはまったく透明なものである。その上には、DDoSボットやキーロガーや他の感染性ペイロードなど、騒々しいものから発見しにくいものまで様々な機能をレイヤーとして追加することが可能である。

Dan Moniz（ダン・モニッツ）氏は、独立系セキュリティー・コンサルタントであり、かつ世界的に認知されている情報セキュリティーのプロフェッショナル集団「Shmoo Group」のメンバーでもある。Moniz氏は、DefconやShmooConやThe Intelligence Summitなど数々のコンファレンスのほか、Fortune誌の選ぶ全米トップ企業50社や大学などでも講演している。彼はまた、2003年にカリフォルニア州上院の公聴会において、RFID技術、プライバシー、および州の法律の問題について証言した。 過去においては、Alexa Internet (Amazon.com傘下の企業)、Electronic Frontier Foundation (EFF)、Cloudmark、OpenCola、およびViasecを含む様々なハイテク会社や組織に勤務していた。

AJAXウェブアプリケーションへの攻撃: Web2.0の脆弱性
アレックス・スタモス[Alex Stamos], Principal Partner, iSEC Partners
ゼーン・ラッキー[Zane Lackey], Security Consultant, iSEC Partners

インターネット業界の投資家も消費者も、より速くて便利なウェブアプリケーションを実現するWeb2.0の話題で盛況だが、Web2.0技術のひとつであるAJAX（Asynchronous JavaScript and XML）は、JavaScriptのプラットホームに依存せずにクライアントサイドソフトウェアの双方向性レベルをアプリケーションに与える（既存技術の）あわせ技である。

しかし、その新技術の裏には公開されない暗い側面もある。現実には、ブラウザーが解析するリッチなダウンストリームプロトコルの発明やクライアントおよびサーバコードの緊密な統合が、新しい攻撃を引き起こすと同時に、古典的なウェブアプリケーション攻撃の防御を困難にしている。

本セッションでは、XSS(Cross Site Scripting)、XSRF(Cross Site Request Forgeries)、AJAXアプリのパラメータ改ざんやオブジェクト直列化攻撃について検討する。また、まもなく発表するAJAXベースのXSRF攻撃フレームワーク、およびマイクロソフトのアトラスやJSON-RPC、SAJAX等の有名なAJAXフレームワークのセキュリティ分析についてもふれる。

尚、講演には脆弱なウェブアプリケーションへの実演デモがあり、聴講者にはHTMLとJavaScriptの基本知識があることが望ましい。

アレックス・スタモス氏
iSEC Partnersの設立パートナーの１人で、アプリケーションセキュリティや大規模インフラ分野でのセキュリティエンジニアおよびセキュリティコンサルタントの経験と、ネットワークやアプリケーション領域の多くのクラスで教えた経験を持つ。ウェブアプリケーションおよびウェブサービスセキュリティ分野では世界有数のリサーチャーであり、Black Hat、CanSecWest、DefCon、SyScan、Microsoft BlueHat や OWASP App Secなど、業界最先端のカンファレンスで数多くの講演経験を持つ。カリフォルニア大学バークリー校BSEE取得。

ゼーン・ラッキー氏
iSEC Partnersのセキュリティコンサルタント。iSECにてアプリケーション・ペネトレーションテストおよびコードレビューを担当。ウェブアプリケーションと新しいWin32脆弱性が主な研究分野である。iSEC以前には、カリフォルニア大学デイビスコンピュータセキュリティラボにて、有名なリサーチャー Matt Bishopの元でハニーネットの研究に注力する。

Vistaカーネルのコード署名迂回法と仮想マシンへ注入されるルートキットの可能性
ジョアンナ・ルトコフスカ[Joanna Rutkowska], Senior Security Researcher, COSEINC

このプレゼンテーションでは、まず最初に、最近のWindows Vistaベータ2（x64版）に対して任意のコードを一般的に挿入する方法を提示する。これは、どのようなインプリメンテーションのバグを利用するものではない。そして、この手順により、デジタル署名付きコードのみをカーネルにロードするという、Vistaの有名なポリシーを効率的にバイパスすることである。このプレゼンテーションの攻撃手法には、システムの再起動は必要ない。

　次に、「Blue Pill」というコードネームで呼ばれる、ステルス・マルウェアの作成に使える新技術を提示する。Blue Pillは、AMDの最新の仮想化技術である「Pacifica」を利用して、今までに前例を見ないステルス状態を獲得する。

　このプレゼンテーションの最終目標とは、現代暗号学のように、コンセプトではなく強力なアルゴリズムに基づいて検知不可能なマルウェアが作成できる（もしくはまもなく可能となる）ことを、デモを通して説明することにある。

Joanna Rutkowska（ジョアンナ・ルトコフスカ）氏は、コンピューター・セキュリティのリサーチに何年も関与してきている。小学校の頃からOSの内部構造に魅了され、MS-DOS上のx86アセンブラを学び始めた。ほどなくしてLinuxコミュニティに移行してからは、いくつかのシステムやカーネルのプログラミングに参加し、特にLinuxとWindows x86システム両方のエクスプロイットの開発に焦点を定めるようになった。

　彼女は、数年前から、マルウェアと攻撃者が悪意のある行為を隠すために使うステルス技術に非常に興味を持ち始めた。この技術は、多様な種類のrootkit、ネットワーク・バックドア、秘匿通信チャネルなどを含んでいる。彼女は現在、この種の行為を検出することと、新しい攻撃用の技術を開発・テストすることの両方に取り組んでいる。

　Rutkowska氏は現在、本社をシンガポールに置くITセキュリティ企業COSEINCにて、セキュリティ・リサーチャーの職務についている。

ボットネットの発見、追跡、影響緩和のための、マルウェア捕獲
ゲオルグ・ヴィヘルスキー[Georg Wicherski], Alliance Founder & Head, mwcollect.org
トールステン・ホルツ[Thorsten Holz]

今日のインターネット・コミュニティはボットネットの大きな脅威に曝されている。本セッションでは、我々も開発に参加したオープンソースツールによって、自動的にボットネットを発見、観察、シャットダウンを行う自動化ソリューションについて解説する。まず、nepenthesというツールを使って、自動的にボットを収集するテクニックについて解説し、実装の詳細や構造を紹介する。このアプローチの効果を解説後、収集したバイナリーの自動分析について話す。そうしたステップをふむことで、高い次元でボットネット情報を自主的に収集するシステムの構築が可能となり、そこで得た情報の凝縮・関連づけによりさらに深く我々は学習した。結果として、ボットネット情報の自動収集システムによって収集される情報は、CERTの情報リソース、ネットワーク内での警報システムを構成する、脅威の影響緩和の情報として現在利用されている。本セッションの結びに、研究結果の結論を述べた後、ボットネット追跡での今後のトピックについて触れる。尚、聴講者は、基本的なHoneypotとその動作の知識があることが望ましいが、ボット/ボットネットに関する必要な情報は実演デモや講演を通して紹介される。

トールステン・ホルツ氏
ドイツのマンハイム大学研究室にて高信頼性分散システムを研究する博士課程の学生である。ドイツのハニーポットプロジェクトの創立者の一人であり、現在は総じてマルウェアとボット/ボットネットに注力して研究している。「Know Your Enemy: Tracking Botnets」の共著者の一人であり、SecurityFocusおよび各種アカデミックカンファレンスや雑誌等に多数の論文を発表している。彼のブログは右記サイト http://honeyblog.org で参照可能である。

ゲオルグ・ヴィヘルスキー氏
ボットネット追跡とその影響緩和、マルウェア分析の分野で経験を持つドイツの高校卒業の18歳。「Know Your Enemy: Tracking Botnets」の共著者の１人であり、ESORICSとDFN-Cert Workshopにも論文を提出し、彼の論文「Medium Interaction Honeypots」はネット上で公表されている。

彼は、mwcollectd medium-interaction-honeypotの作者、nepenthesの開発者であり、またマルウェア収集を目的とするNPOのmwcollect Allianceの設立者でもある。NPOではすでに25000種以上のマルウェアのサンプルを収集している。

彼のプロジェクトへのリンクは彼個人のウェブサイトに掲載。

Winnyのプーさん
杉浦 隆幸[Takayuki Sugiura]、 ネットエージェント株式会社 代表取締役

P2Pファイル共有ソフトによる情報漏洩事件が相次いでおきている、事件にならないものも含めれば数万件の情報漏洩が発生した。P2Pファイル共有ソフトは、著作権にかかわる違法行為に使われることが多いため匿名性を重視して作られている。しかしながら、P2Pネットワークは、アップロードしているものも、ダウンロードしたものも公開されているに近いネットワークである。

WinnyやShareなどの暗号がなぜ解けるのか、暗号が解けることにより何が変わるのか、匿名性の無くなったP2Pネットワークでさらされている、P2P通信の内容とP2Pが故の情報公開性と何が情報公開の証拠になるのかを詳細に解説する。

杉浦隆幸（Takayuki Sugiura）氏
Winny、Shareの暗号を解読した。OnePointWallとPacketBlackHoleの開発者でもあり、ネットワークフォレンジック分野の開拓者。パケット解析と作成、暗号の解読を専門分野としている。

巧妙化するオンライン詐欺
星澤 裕二[Yuji Hoshizawa]、 セキュアブレイン社　プリンシパルセキュリティアナリスト

フィッシングやワンクリック詐欺など、オンライン詐欺の手口が巧妙化し、無防備なインターネット・ユーザはいとも簡単にその罠にはまってしまう可能性がある。さまざまな手口を知ることは対策を講じる上で重要である。本セッションでは、最近のオンライン詐欺の手口を紹介する。

星澤裕二氏
1998年に株式会社シマンテックに入社。Symantec Security Responseのアジア・パシフィック地区担当マネージャとして、セキュリティの研究や新種ウイルスへの対応、脆弱性情報の収集・分析等を担当する。日本におけるウイルス研究の第 一人者としての地位を確立し、コンピュータのセキュリティに関して多くのIT関連出版物に寄稿している。また、Virus BulletinやEICAR、AVARなどの国際会議でセキュリティ問題に関する研究発表も行っている。2004年9月に株式会社シマンテック退社し、2004年10月より現職。

国際化されたソフトウェアへの攻撃
スコット・ステンダー[Scott Stender]

PHPで書かれた小規模なブログから大企業クラスのデータベースまで、どのようなアプリケーションであっても、生のByteを受け取り、データとして解釈し、システムを動かす情報として利用される。そして、文字表示から測定単位にまでおよぶ国際化支援は、中間にある「解釈(Interpretation)」ステージに影響を及ぼす。

データの解釈が信じがたいほど難しいタスクであることを理解し、適切にシステムを実装できるソフトウェア開発者は存在するが、彼ら以外は(その難しさを理解せず)質の悪い国際化ソフトウェアを書くこととなり、最悪の場合はセキュアでないソフトウェアを生んでしまう。この事実の認知度にかかわらず、すべての開発者は、オペレーションシステムや通信メカニズム、およびデータフォーマットや国際化アプリケーションに依存しており、そしてそれが、攻撃対象領域の不明部分の大きさを示している。

前述した「3段階モデル」に戻って考えると、多くの攻撃は、単純に「不良データ」をシステムに送り込むこと、システムの振る舞いに悪影響をあたえるために受け取る側の誤動作を利用することに注力しているに過ぎない。ゆえに多くの防衛システムは悪意のあるデータの侵入を未然に防ぐよう進化してきた。本セッションでは、典型的なシステムにある無数のコンポーネントによって消費されるデータを操作する、解釈ステージを利用した高度なテクニックと、長年のソフトウェアシステムとコアテクノロジーの研究をベースとした攻撃と防衛の方法論について解説する。

スコット・ステンダー氏
iSEC Partnersの設立パートナーの１人で、数年間に及ぶ大規模ソフトウェアの開発とセキュリティコンサルティングの経験を有する。iSEC Partners以前には、@stake社にて多くの最重要顧客のアプリケーションアナリストとして活躍。その前にはMicrosoft社で分散型のエンタープライズ・アプリケーションのセキュリティと信頼性分析に携わった。主な研究分野は、ソフトウェア・エンジニアリングの方法論とコア・テクノロジーのセキュリティ分析である。Black Hat USAやOWASPやSoftware Security Summitなど多数の講演経験がある。ノートルダム大学にてコンピュータ工学理学士号を取得。

データ入力におけるアタック・ツリー
ヘイッキ・コルッティ[Heikki Kortti]

プロトコルやファイルフォーマットでの起きうるインプットを入力ツリーとしてモデリングするならば、弱点の可能性の高い実装を効率的に見つけ出すことができる。既存の攻撃は同様の構造やデータタイプで再利用されうるとすると、複雑で影響を受けやすいどのような部分は改良する必要がある。本セッションで解説する方法論は、新しい攻撃を作るためだけでなく、積極的な防衛やプロトコル設計にも使えるものである。ここでは、DNSに対する入力ツリーとして使える例と、問題の起きやすい部分への様々な攻撃を例示して解説する。聴講者は、ネットワーク・プロトコルとセキュリティテストと例外設計についての知識があることが望ましい。

ヘイッキ・コルッティ氏は、Codenomicon Ltdの頑健性の専門家であり、ネットワークとシステムアドミニストレーションのバックグラウンドをベースに1993年より情報セキュリティ分野に携わる。BGP4, DNS, SMTP, IMAP, POP3などのプロトコルのセキュリティ・テスト・スィートを開発し、携わったプロトコルやファイル・フォーマットは他に90以上に及ぶ。ネットワークサーバ、クライアントアプリケーション、ルータ、スイッチ、VoIP機器、ウェブブラウザ、オペレーティングシステム、携帯電話、ゲームシステム、メディアプレイヤー、ウイルススキャナー、ファイアーウォール等多くの機器が、自動化された入力検査にひっかかり、改善される必要があった事を長年の経験で知っている。

イントラネットへの外部からの攻撃：進化するJavaScriptマルウェアとブラウザー奪取の危険性
ジェレマイア・グロスマン[Jeremiah Grossman]

不可視のJavaScriptエクスプロイットが、Cookieを盗み、キーロギングし、あなたが見るすべてのウェブページを記録。その後あなたの知らない間にウェブブラウザをハイジャックし、銀行資金をよそに転送、他のウェブサイトを攻撃し、パブリックフォーラムで軽蔑的なコメントを書く･･･。跡形もなく、何の警告サインもなく･･･。こういうことは現実に起こりうる。2005年に我々が発表した「Phishing with Superbait」では、優秀なJavaScriptを使わずとも前述のような事が起こりうることを解説したが、さらに悪いことに、更なるウェブアプリケーションの研究によって、前述のようにハイジャックされたブラウザを、外部の人間が、イントラネットのウェブサイトのエクスプロイトに利用しうることがわかった。

私たちの多くは、ファイアウォールによってNATされたプライベートIPアドレスを通して(内部ネットワークは)保護されていると信じ、ウェブサーフィンをしている。また、イントラネット上のルータ、ファイアウォール、プリンター、IP電話、支払いシステム等のウェブベースのインターフェースやイントラネットウェブサイトのソフトウェアセキュリティは、最新パッチがあたってなくても、保護されたゾーンの中にあると想定し、外部からの接続は不可能だと信じている。しかし、現実には少し異なる。

すべてのウェブブラウザはどのウェブページからでも完全にコントロールが可能であり、内部ネットワークリソースへの攻撃ポイントとなり、大規模ネットワーク上にあるウェブブラウザは、侵入の踏み台となりえる。自分の会社のルータやファイアウォールを自動的に再設定するJavaScriptマルウェアに感染したウェブサイトをたまたま訪問すると、内部ネットワークは全世界に公開される。さらに悪いことに、よくあるXSS脆弱性は、私たちがよく訪れるどのウェブサイトからの攻撃をも可能にしてしまう。ウェブアプリケーションセキュリティマルウェアの時代は始まったばかりだが、それは何なのか、どのように防御するかはすでに重要課題になっている。

本セッションでは、多数の最先端のウェブアプリケーション・セキュリティに対する攻撃テクニックについてデモンストレーションし、ウェブサイトをセキュアにする最善策について解説する。

本セッションで見えてくること；

• JavaScriptを使ったイントラネットデバイスの攻撃とポートスキャン
• 独特のURLによるウェブサーバのフィンガープリントのブラインド化
• JavaアプレットによるNATされたIPアドレスの発見
• CSS(Cascading Style Sheets)によるウェブブラウザ履歴の盗み見
• ウェブサイトセキュア化のための最適な防御手段
• 安全なウェブサーフィンのための基本的な習慣

ジェレマイア・グロスマン氏
WhiteHat Security社(http://www.whitehatsec.com)の設立者CTOで、ウェブアプリケーション・セキュリティの研究開発を担当。国際的に認知されたセキュリティエキスパートとして、Black Hat BriefingsやISSA, ISACA, NASAなどでの多数の講演経験があり、研究論文やインタビューが、USA Today, VAR Business, NBC, ABC News (AU), ZDNet, eWeek, Computerworld and BetaNews等へ掲載されている。また、Web Application Security Consortium (WASC)設立陣の１人でもあり、Center of Internet Security Apache Benchmark Groupのメンバーとして貢献している。WhiteHat Security社の以前には、Yahoo!の情報セキュリティ責任者の職務にあり、Yahoo!の数百のウェブサイトを担当していた。

セキュアなコードを書くための科学と芸術性
ポール・ボーム[Paul Böhm]

もしも1000人のプログラマーに同じタスクと同じツールを与えれば、出来上がったプログラムは同じインプットによって簡単に破壊されるだろう。バグを避けるだけではセキュアなコードを書くことにはならず、プログラミングとはコードとテクニックと同様に人間系の問題が重要である。本セッションでは、プログラマーがいつも同じ間違いを犯す理由について深く検討し、よくあるバグソースの領域を押さえ込む戦略について、XSSやSQLなどのインジェクションやパス・ノーマライズとパス・トラバースを含め解説する。

ポール・ボーム氏
1998年よりTESO Securityの設立メンバーに加わりコード解読に多くの時間を費やし、2003年よりウィーン大学にて効率の良い量子暗号プロトコルの開発とインプリメントについて携わる。現在はSEC Consultのセキュリティコンサルタントとして、脆弱性防衛とセキュアなソフトウェアについて興味を持ち活動している。