Black Hat USA 2007:閉幕レポート

 Black Hat USA 2007は、かなり速いテンポで進行していたものの、内容的には楽しくかつ有益なものであった。今回特に目に付いたのは、セキュリティがビッグビジネスになるというデモンストレーションである。ホールには、ビジネスチャンスをうかがう新顔と古顔のベンダが入り交じっていた。そうしたこともあって、今年のコンファレンス会場には今までとは何か異なる雰囲気が漂っていたという印象を、私は未だ感じ続けている。

blackhat_thumb.jpg
The man from Hackistan

 その元凶は木曜日夜に開催されたPwnie Awardsのせいなのかもしれない。あるいはセッションとセッションの間にホールを行き来していた面子のせいなのかもしれない。あるいは、本イベントにて疑問の余地無く最大の人気を博していたブースであるHackistanのコサックのせいなのかもしれない。このハッカーは、群衆をFortify Softwareのスタンドから遠ざけ、映画『Borat』を彷彿とさせる言葉巧みな口調でHackistanのフリーマップなるものを提供していたのであるが、その実態は何も入っていない白いフォルダなのであり、それを手に入れるには社会保障番号を提示する必要があって、それ以外ならカメラかラップトップと交換というシステムであった。

 Arbor Securityの主催で優勝賞金500ドルが提供されるThe Third Annual Black Hat No Limit Hold ‘Em Poker Tournamentについては、開催1週間前から参加申し込み者の行列ができていた。私もスタート当時に顔を出してみたが、ここはどのテーブルも空席ゼロという盛況ぶりであった。

 私が見た限り、ほとんどすべてのセッションは満員状態で人が溢れていた。H. D. Moore氏およびValsmith氏のプレゼンテーションによるTactical Exploitationもそうしたセッションの1つである。同じくSager氏によるNSA関連の講演も満員であったが、Moore氏とValsmith氏のところほどの鮨詰め状態ではなかった。2日目の閉会間際に多くの聴衆が口にしていたのがIron Chef Black Hatに関する話題であり、これは2人のハッカーが特定アプリケーションをターゲットにしてどちらが多くの脆弱点を見つけ出せるかを競い合う“ハッカーの鉄人”競技なのだが、私は会場に足を踏み入れる前に参加を断念していた。私が実際に傍聴して印象を受けたのはLuis Miras氏によるハードウェアハッキングに関する講演で、同氏はプレゼンテーションの実行後にKensington Wireless Presenterを素材にした見事なデモンストレーションを行っていた。

 読者諸兄は、プレゼン用のワイヤレスデバイスにハッキングを仕掛けて何が面白いのかと感じられるかもしれない。実際問題として、ワイヤレスプレゼンタにハッキングしてくる物好きを想像するのは、かなり困難であろう。だが、こういう事態を想像したらどうだろうか。ワイヤレスキーボードも同様の手口で乗っ取ることが可能であり、それはあらゆるタイプのホームセキュリティ用システムにも当てはまる話であると。確かに装置が異なれば必要な操作も異なるだろうが、基本的なコンセプト自体に大差はなく、そうしたデバイスの持つ重要度については論を待たないはずだ。

 今回のBlack Hatsで目に付いたのはマスコミ関係者の数の多さであり、実際プレスルームも終日混雑していた。例えば木曜日の朝のプレスルームで私の隣のテーブルに陣取っていたのは、この業界ではFuzzy Gopherという名前でも知られ、「The CyberSpeak Podcast」の共同司会者を務めるOvie Carroll氏であった。その際に断片的に私の耳に入ってきたのが、Z-Phoneのプレゼンテーションを担当したPhil Zimmermann氏との会話である。Ovie氏は以前にOSIのエージェントとして働いており、ペンタゴン関連のサイバー攻撃や殺人事件など、あらゆる問題を扱ってきた経験があるそうだ。

 コンファレンス2日目の朝食時に私と同席していたのは、NovellのDistinguished EngineerとしてNetwareとSUSE Linuxのセキュリティ設計者を務めるTammy、Microsoftのシニアプログラムマネージャとしてネットワーキングを扱っているRyan、EMCのセキュリティ設計者の某氏、CA(Computer Associates)でネットワークセキュリティを扱っている某氏という顔ぶれであった。

 その際の話のネタとして取り上げられたのは、最初がセキュリティ関連の話題で、その次がソフトウェア開発全般にまつわる話題であった。例えばBuddha氏なるスーパープログラマの記述するコードが崇め奉られているとして、その理由をつらつら考えてみると、そうした人物が高名を博しているという以外の理由が見あたらないという話である。その他に話し込んだのはクオリティコードの構築法であったが、これはセキュリティやクオリティという観点からではなく、製品化までの時間をどう短縮するかという話の流れからであった。Ryanが指摘していたのは、スーパーコーダーと呼ばれるコード開発者が短時間で記述するファンクショナルコードは、多くのケースにおいて実際の製品環境で長命を保つクオリティではないということである。また、メンテナンス専門のコード開発者と新規開発だけを手がけるコード開発者との間に横たわる目に見えない境界線や、両者のキャリア形成の問題についても話が及んだ。この雑談に参加したメンバはいずれ劣らぬ興味深い話題の持ち主であり、私たちがテーブルを離れたのは、よほど忍耐強い給仕スタッフであってもとうの昔にしびれを切らせたであろう後になっていたが、私個人としては、企業世界で行われるプログラミングの裏表を余すことなく語った1時間のセッションに引き込まれていたかのような充実感を満喫することができた。

 今回のBlack Hatに参加するにあたって、私は1つの明確な疑問を抱いていた。それは、アメリカ政府御用達の悪玉ハッカーの役割は誰が受け持っているのだろうか、というものである。結局この疑問は解消されないままになっているのだが、今回のコンファレンス参加以前よりもこの問題に対する理解は深まっているような気がしている。Black HatにせよDefconにせよ政府の安全保障関係者が毎年多数参加してはいるが、そうした人々が具体的にどのような活動をしているかを一般人にわかる言葉で語ってくれる場合は、いつも決まって犯罪者がコンピュータを不正に利用することを防止しているという説明に始終するだけで、例えばHackistanの防衛システムに侵入しているといったことに言及することはないのである。

 私に言わせれば、NSAが日常的によそのコンピュータシステムに侵入して情報収集をしていることは周知の事実であるのだが、国防総省がBlackwaterなどの民間軍事会社にイラクの軍事活動や治安維持業務を委託しているように、その他多くの政府機関も同様の情報収集活動を世界各国のコンサルタント業者に委託しているのではないかと私は疑っているのである。この件に関して何かの意見をお持ちの方がおられたら、私宛に是非とも御一報頂きたい。

 いずれにせよBlack Hat 2007は閉幕を迎えた。次に開催されるイベントとしてはDefconが待ちかまえている。

Linux.com 原文