★☆★JNSAメールマガジン 第325号 2025.11.14☆★☆
2025/11/14 (Fri) 15:30
★☆★JNSAメールマガジン 第325号 2025.11.14☆★☆
こんにちは
JNSAメールマガジン 第325号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはアルテア・セキュリティ・コンサルティング
二木 真明様にご寄稿いただきました。
【連載リレーコラム】
BlackHat Briefings 2025 参加記
二木真明 (アルテア・セキュリティ・コンサルティング)
8月6日、7日に米国ラスベガスで開催されたBlackHat(BH) Briefingsに参加
してきましたので、私が聴講したセッションなどを中心に概要や感想を書いて
みたいと思います。
ご存じのとおり、BHは長年にわたって毎年夏にラスベガスで開催されている
技術系のセキュリティコンファレンスです。セキュリティに関する技術的に
深掘りした研究発表などが行われ、時折、衝撃的な脆弱性や攻撃手法等の情報が
発表されることでも有名です。個人事業主的には参加費がバカにならないため
(苦笑)これまでは、主にBHのあとで行われるDEFCONに参加してきたのですが、
「お祭り」気分で参加するので、あまり真面目に講演を聴かないことも多く、
今回はちょっと奮発してBHに参加した次第です。
Briefingsの初日はMikko Hypponen氏のキーノートで幕を開けました。同氏は
1990年台からフィンランドのF-Secure社で活躍するなど、セキュリティ界の
草分け的存在の一人です。講演は同氏の30年間を振り返りつつ、マルウエアや
サイバー攻撃の変遷とその先にあるAIを含む新たな状況を念頭に置いた壮大な
ものでした。私のような年寄り(笑)にとって懐かしいキーワードがいっぱい
出てきて楽しかったのですが、こうした歴史を直接知る人が次第に少なくなって
いくのは残念にも思えます。彼が最後に述べた言葉は特に印象的でした。
「攻撃がますます巧妙になる中で、(素人である)ユーザに責任を負わせること
はますます難しくなる。セキュリティ教育も限界が来るだろう。セキュリティの
責任は基本的に、ここにいる専門家が負うことになる。」というのは、我々に
とってはなかなかタフな話です。ある意味理想論かもしれないのですが、実際、
非専門家に多くを期待しすぎれば、様々な問題が生じるのも事実で、それだけの
覚悟を持って仕事にあたるべし、という彼なりの激励ではなかったかと思う次第です。
以降、印象に残った講演をいくつか紹介しましょう。近年、いわゆるゼロトラスト
ブーム(あえてブームと書きます)を受けて利用が拡大しているEDR(Endpoint
Detection and Response)ですが、EDRが利用しているWindowsのイベントログ
アクセスのためのインターフェイスの脆弱性を使って、EDRを回避するという話
がありました。従来、こうしたセキュリティソフトウエアは独自の仕組みをOSの
高い権限レベル(カーネルレベル)で動作させ、様々な情報を収集したり、
マルウエア等の動作を検出、制限してきました。しかし、こうした独自に開発
されたコードが不具合を起こした場合、その権限の高さ故に深刻な障害をもたら
す可能性があります。最近、そうした事例が現実にありました。全世界の多数の
コンピュータシステムが深刻な影響を受ける事態です。そうしたリスクを避ける
ために、OSベンダも、外部のセキュリティソフトが必要とする機能を専用のAPI
を介して提供する方向に動いています。Windowsに実装されているETW(Event
Tracing for Windows)もそうした機能の一つで、Windowsのイベントログを
リアルタイムに監視するための仕組みを提供します。今回の発表は、このETWに
ある脆弱性を悪用して、それを利用してイベントログを監視しているセキュリ
ティソフトの監視を回避することが可能というものでした。この脆弱性は発表
時点では修正されているものの、まだ、一部仕組み的に脆弱な部分が残っている
という指摘もあって、ちょっと気になる内容でした。セキュリティソフトの
不具合によってのシステムクラッシュを回避するためには、OSベンダがこうした
インターフェイスを拡充していく必要があるのですが、そうした部分に多くの
脆弱性が発見される事態になれば、セキュリティソフトベンダはまた独自コード
に回帰せざるを得ません。そういう意味で、OSベンダには一層の品質向上を期待
したいところです。
Apple社のAirPlayの脆弱性に関する講演もありました。この講演で気になったの
が、AirPlayそのものでなく、AirPlayに対応するスマートスピーカーやテレビ
などの家電機器が利用するためアップル社が提供するSDK(開発キット)の
脆弱性です。もちろん、Apple社は迅速に修正版を提供するのですが、一方、
これを使っている機器のメーカーが、組み込まれているSDKを含むファーム
ウエアを迅速に更新出来なければ、脆弱性が残り続けることになります。
オンラインによる自動アップデートの仕組みが無いデバイスでは、ユーザが更新
を行うしかないのですが、家電製品のユーザにそれを求めるのは困難でしょう。
こうした(家電機器メーカーから見た)サードパーティー製のコンポーネントの
利用はIoTの拡大とともに増加しています。SBOMを例に出すまでもなく、
こうしたサードパーティー製コンポーネントの脆弱性の管理と、自社が提供する
ファームウエア更新手段の確保は喫緊の課題と言えるでしょう。
近年流行している、いわゆる「標的型メール」訓練の効果に疑問を呈する研究の
発表もありました。発表者は医療機関の人で、実際に統計手法を駆使して訓練と
それに付随する教育の効果を測定し、効果に疑問を呈する結果を得たとのことです。
その結論は衝撃的で、「メール訓練に費用をかけるのだったら、もっと技術的な
対策に費用をかけるべき」というものです。この研究は以下の論文として公開さ
れています。
https://arianamirian.com/docs/ieee-25.pdf
ちょっと極論ではありますが、実際、標的型メール訓練の効果に関して、
ここまで細かな分析は見たことがありません。効果をきちんと検証せずに続けて
いるという批判はあながち嘘ではないでしょう。実際、私が関わったメール訓練
の現場では、「訓練慣れ」「疑心暗鬼」といった問題や、メールの難度を上げて
いくと効果が頭打ちになるといった現象も経験しています。彼らがこの研究を
始めたモティベーションの一つは、薬の臨床試験なのだそうです。臨床試験では
厳密なルールに基づいて、その有効性が科学的に評価されます。それに比べて、
セキュリティ対策の有効性に関する検証はずっと甘いと感じたのがきっかけ
だったそうです。長年我々の世界でも、定量的なリスク評価と対策効果の評価が
議論されてはいますが、いまだ明確な結論には至っていません。脅威が高度化し、
それに対する様々なソリューションが登場する中で、これらがどれだけリスクを
下げてくれるのか、費用に見合った効果があるのかといったことをユーザはより
シビアに捉えるようになっています。ソリューションを提供する側の我々も、
そうしたことをもっと意識する必要があるのかもしれません。
変わり種としては、EV充電コントローラから意図的に発火させる可能性を検証
した研究もありました。EVやPHEVといった電動車を家庭などで充電する際は、
200V電源から専用のコントローラを介して車の充電端子に接続します。
コントローラは車のコンピュータとも通信をしながら充電状況を監視し、適切な
電流を流すように制御します。近年、こうした充電コントローラがスマホと連携
したりするケースが増加していて、外部からの侵害も懸念されます。この研究は、
外部から侵害を受けて、コントローラのマイコンの制御が乗っ取られた前提で、
過電流による発火を引き起こせるかという点に注目したものです。多くのコント
ローラでは、電流制御はパルスの幅によって行っており、基準となるパルスは
CPUがソフトウエア的に発生させています。もし、コントローラが乗っ取られて
制御が奪われた際には、たとえば電流を流しっぱなしにすることも出来てしまい
ます。この実験ではそうした事が発生した前提で、電流を強制的に流しっぱなし
にした場合の挙動を調べています。結果は複数のメーカーの製品で、充電ケーブル
やコントローラの過熱により火が出るという事態になったようです。もちろん、
CPUが乗っ取られることが前提なので、直ちにサイバー攻撃の危険が生じるわけ
ではないのですが、CPUが異常動作した場合の物理的な安全措置が講じられて
いない製品が多いという事実はちょっと衝撃でした。
2日間、盛りだくさんの内容ですべて紹介するのは紙面の関係で困難なのが残念
です。最近、どちらかと言えば、セキュリティマネジメント系の仕事が多く、
なかなかこうした技術的に深掘りの話を聞く機会がなかったのですが、なかなか
いい刺激になったように思います。最後にBHに参加してから15年以上たっていて、
展示会がずいぶん大きくなっていたのにも驚かされました。新しい商材の発掘に
もいいかもしれませんね。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/bdfxnd5z
※googleアンケートフォームを利用しています。
【イベントのお知らせ】
★2025年12月5日(金) 13:00 - 17:30 ハイブリッド開催!
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2025」
参加受付中です。会場にもぜひお越しください!
https://www.jnsa.org/seminar/std/isms/20251205/index.html
【部会・WGからのお知らせ】
★標準化部会電子署名ワーキンググループ標準原案作成タスクフォース
「長期署名プロファイルのJISシリーズ」が発行されました。
https://www.jnsa.org/result/
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に実際に足を運んで御相談下さい!!
★セキュリティにまつわる課題解決を支援!「JNSAソリューションガイド」
JNSAの会員企業が取り扱うネットワークセキュリティに関する製品やサービス、
イベント情報などをご紹介しています。是非お役立てください!
https://sg.jnsa.org/
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第325号
発信日:2025年11月14日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第325号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはアルテア・セキュリティ・コンサルティング
二木 真明様にご寄稿いただきました。
【連載リレーコラム】
BlackHat Briefings 2025 参加記
二木真明 (アルテア・セキュリティ・コンサルティング)
8月6日、7日に米国ラスベガスで開催されたBlackHat(BH) Briefingsに参加
してきましたので、私が聴講したセッションなどを中心に概要や感想を書いて
みたいと思います。
ご存じのとおり、BHは長年にわたって毎年夏にラスベガスで開催されている
技術系のセキュリティコンファレンスです。セキュリティに関する技術的に
深掘りした研究発表などが行われ、時折、衝撃的な脆弱性や攻撃手法等の情報が
発表されることでも有名です。個人事業主的には参加費がバカにならないため
(苦笑)これまでは、主にBHのあとで行われるDEFCONに参加してきたのですが、
「お祭り」気分で参加するので、あまり真面目に講演を聴かないことも多く、
今回はちょっと奮発してBHに参加した次第です。
Briefingsの初日はMikko Hypponen氏のキーノートで幕を開けました。同氏は
1990年台からフィンランドのF-Secure社で活躍するなど、セキュリティ界の
草分け的存在の一人です。講演は同氏の30年間を振り返りつつ、マルウエアや
サイバー攻撃の変遷とその先にあるAIを含む新たな状況を念頭に置いた壮大な
ものでした。私のような年寄り(笑)にとって懐かしいキーワードがいっぱい
出てきて楽しかったのですが、こうした歴史を直接知る人が次第に少なくなって
いくのは残念にも思えます。彼が最後に述べた言葉は特に印象的でした。
「攻撃がますます巧妙になる中で、(素人である)ユーザに責任を負わせること
はますます難しくなる。セキュリティ教育も限界が来るだろう。セキュリティの
責任は基本的に、ここにいる専門家が負うことになる。」というのは、我々に
とってはなかなかタフな話です。ある意味理想論かもしれないのですが、実際、
非専門家に多くを期待しすぎれば、様々な問題が生じるのも事実で、それだけの
覚悟を持って仕事にあたるべし、という彼なりの激励ではなかったかと思う次第です。
以降、印象に残った講演をいくつか紹介しましょう。近年、いわゆるゼロトラスト
ブーム(あえてブームと書きます)を受けて利用が拡大しているEDR(Endpoint
Detection and Response)ですが、EDRが利用しているWindowsのイベントログ
アクセスのためのインターフェイスの脆弱性を使って、EDRを回避するという話
がありました。従来、こうしたセキュリティソフトウエアは独自の仕組みをOSの
高い権限レベル(カーネルレベル)で動作させ、様々な情報を収集したり、
マルウエア等の動作を検出、制限してきました。しかし、こうした独自に開発
されたコードが不具合を起こした場合、その権限の高さ故に深刻な障害をもたら
す可能性があります。最近、そうした事例が現実にありました。全世界の多数の
コンピュータシステムが深刻な影響を受ける事態です。そうしたリスクを避ける
ために、OSベンダも、外部のセキュリティソフトが必要とする機能を専用のAPI
を介して提供する方向に動いています。Windowsに実装されているETW(Event
Tracing for Windows)もそうした機能の一つで、Windowsのイベントログを
リアルタイムに監視するための仕組みを提供します。今回の発表は、このETWに
ある脆弱性を悪用して、それを利用してイベントログを監視しているセキュリ
ティソフトの監視を回避することが可能というものでした。この脆弱性は発表
時点では修正されているものの、まだ、一部仕組み的に脆弱な部分が残っている
という指摘もあって、ちょっと気になる内容でした。セキュリティソフトの
不具合によってのシステムクラッシュを回避するためには、OSベンダがこうした
インターフェイスを拡充していく必要があるのですが、そうした部分に多くの
脆弱性が発見される事態になれば、セキュリティソフトベンダはまた独自コード
に回帰せざるを得ません。そういう意味で、OSベンダには一層の品質向上を期待
したいところです。
Apple社のAirPlayの脆弱性に関する講演もありました。この講演で気になったの
が、AirPlayそのものでなく、AirPlayに対応するスマートスピーカーやテレビ
などの家電機器が利用するためアップル社が提供するSDK(開発キット)の
脆弱性です。もちろん、Apple社は迅速に修正版を提供するのですが、一方、
これを使っている機器のメーカーが、組み込まれているSDKを含むファーム
ウエアを迅速に更新出来なければ、脆弱性が残り続けることになります。
オンラインによる自動アップデートの仕組みが無いデバイスでは、ユーザが更新
を行うしかないのですが、家電製品のユーザにそれを求めるのは困難でしょう。
こうした(家電機器メーカーから見た)サードパーティー製のコンポーネントの
利用はIoTの拡大とともに増加しています。SBOMを例に出すまでもなく、
こうしたサードパーティー製コンポーネントの脆弱性の管理と、自社が提供する
ファームウエア更新手段の確保は喫緊の課題と言えるでしょう。
近年流行している、いわゆる「標的型メール」訓練の効果に疑問を呈する研究の
発表もありました。発表者は医療機関の人で、実際に統計手法を駆使して訓練と
それに付随する教育の効果を測定し、効果に疑問を呈する結果を得たとのことです。
その結論は衝撃的で、「メール訓練に費用をかけるのだったら、もっと技術的な
対策に費用をかけるべき」というものです。この研究は以下の論文として公開さ
れています。
https://arianamirian.com/docs/ieee-25.pdf
ちょっと極論ではありますが、実際、標的型メール訓練の効果に関して、
ここまで細かな分析は見たことがありません。効果をきちんと検証せずに続けて
いるという批判はあながち嘘ではないでしょう。実際、私が関わったメール訓練
の現場では、「訓練慣れ」「疑心暗鬼」といった問題や、メールの難度を上げて
いくと効果が頭打ちになるといった現象も経験しています。彼らがこの研究を
始めたモティベーションの一つは、薬の臨床試験なのだそうです。臨床試験では
厳密なルールに基づいて、その有効性が科学的に評価されます。それに比べて、
セキュリティ対策の有効性に関する検証はずっと甘いと感じたのがきっかけ
だったそうです。長年我々の世界でも、定量的なリスク評価と対策効果の評価が
議論されてはいますが、いまだ明確な結論には至っていません。脅威が高度化し、
それに対する様々なソリューションが登場する中で、これらがどれだけリスクを
下げてくれるのか、費用に見合った効果があるのかといったことをユーザはより
シビアに捉えるようになっています。ソリューションを提供する側の我々も、
そうしたことをもっと意識する必要があるのかもしれません。
変わり種としては、EV充電コントローラから意図的に発火させる可能性を検証
した研究もありました。EVやPHEVといった電動車を家庭などで充電する際は、
200V電源から専用のコントローラを介して車の充電端子に接続します。
コントローラは車のコンピュータとも通信をしながら充電状況を監視し、適切な
電流を流すように制御します。近年、こうした充電コントローラがスマホと連携
したりするケースが増加していて、外部からの侵害も懸念されます。この研究は、
外部から侵害を受けて、コントローラのマイコンの制御が乗っ取られた前提で、
過電流による発火を引き起こせるかという点に注目したものです。多くのコント
ローラでは、電流制御はパルスの幅によって行っており、基準となるパルスは
CPUがソフトウエア的に発生させています。もし、コントローラが乗っ取られて
制御が奪われた際には、たとえば電流を流しっぱなしにすることも出来てしまい
ます。この実験ではそうした事が発生した前提で、電流を強制的に流しっぱなし
にした場合の挙動を調べています。結果は複数のメーカーの製品で、充電ケーブル
やコントローラの過熱により火が出るという事態になったようです。もちろん、
CPUが乗っ取られることが前提なので、直ちにサイバー攻撃の危険が生じるわけ
ではないのですが、CPUが異常動作した場合の物理的な安全措置が講じられて
いない製品が多いという事実はちょっと衝撃でした。
2日間、盛りだくさんの内容ですべて紹介するのは紙面の関係で困難なのが残念
です。最近、どちらかと言えば、セキュリティマネジメント系の仕事が多く、
なかなかこうした技術的に深掘りの話を聞く機会がなかったのですが、なかなか
いい刺激になったように思います。最後にBHに参加してから15年以上たっていて、
展示会がずいぶん大きくなっていたのにも驚かされました。新しい商材の発掘に
もいいかもしれませんね。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/bdfxnd5z
※googleアンケートフォームを利用しています。
【イベントのお知らせ】
★2025年12月5日(金) 13:00 - 17:30 ハイブリッド開催!
日本ISMSユーザグループ「情報セキュリティマネジメント・セミナー2025」
参加受付中です。会場にもぜひお越しください!
https://www.jnsa.org/seminar/std/isms/20251205/index.html
【部会・WGからのお知らせ】
★標準化部会電子署名ワーキンググループ標準原案作成タスクフォース
「長期署名プロファイルのJISシリーズ」が発行されました。
https://www.jnsa.org/result/
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に実際に足を運んで御相談下さい!!
★セキュリティにまつわる課題解決を支援!「JNSAソリューションガイド」
JNSAの会員企業が取り扱うネットワークセキュリティに関する製品やサービス、
イベント情報などをご紹介しています。是非お役立てください!
https://sg.jnsa.org/
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第325号
発信日:2025年11月14日
発 行:JNSA事務局 sec@jnsa.org
*************************************