人の命なり・・・。昨日書いた亡き後輩K君の通夜が昨夜(日本時間)営まれたようである。元気だった頃の姿が目に浮かぶだけに寂しい限りだ。一度倒れて回復し、職場復帰した後の出来事だけに、驚きと同時に悔やまれる思いが強い。真面目な奴だけに、また無理をしたんだろう。周囲がそれに気づかなかったのか、そんな余裕もなかったのか・・・、色んな思いが頭の中で渦巻いている。
沈んでばかりいても仕方が無いので、話をDEFCONに戻そう。昨日は、朝からサイバー戦争への対応のお話。いまや大規模サイバー攻撃は核攻撃にも匹敵する。超大国とて例外ではない。むしろ、社会のIT依存が大きいだけに、致命的になりがちだ。一方の攻撃側はといえば、少数の精鋭がいれば、十分に大国を相手に出来る。極端な非対称戦が可能なのもサイバー戦争の特徴だろう。一方で、反撃されれば、防御には多大なリソースが必要になる。そういう意味では、核戦争とよく似た特性があるのかもしれない。
シャトルバスがなかなか来なくて、最後のほうしか聞くことが出来なかったのだが、興味深かったのは、この絵である。
最近、日本のCTFブームを見て感じていたことが、ある意味で正しかったのだと思ったこのスライド。つまり、サイバー攻撃に対応するには、少なくともこの3階層の人材育成が必要だと言うことだ。底辺に近い部分は、個々の攻撃、防御技術に特化した高度な技術者である。だが、彼らだけでは複合的な攻撃に対して組織的対応が難しい。全体を俯瞰し、彼らを統率できるスーパバイザが必要である。それが二階層目だ。どちらかといえば、広い知識や経験を持ち、現場の高度なエンジニアともコミュニケーションができ、さらに高い状況判断能力、統率力を持つ人材、つまり現場の指揮官である。最上位の階層は、彼らにリソースを供給する権限を持ち、全体の戦略を考える人材、つまり総司令部のスタッフ、参謀である。こうした階層、とりわけ上の二階層がきちんと出来ていないとサイバー戦は戦えない。少なくとも米国の政府は、それを認識しているようだ。さて、日本はどうだろうか・・・・。最後のまとめもわかりやすい。
最近のDEFCONは、組み込み系の話が多い。特に今回は自動車、CANねたが多いのだが、昨日きいた午前中のセッションでは、最近の家庭向けエレクトロニクス製品の問題点を列挙するものである。これは、日本でも類似のものがあるのだが、子供の相手をするロボットウサギだ。
自律的に子供の後を追いかけたりするほか、マイクやスピーカー、カメラを搭載し、WiFiでネットに繋がる。それを親のスマホからアクセスして様子を見たり、制御することもできる。いわゆる「見守りロボ」である。しかし、この製品にはいくつか脆弱性がある。たとえば、通信が十分に暗号化されていないため、たとえば、親がスマホを公衆APで浸かったような場合に通信の盗聴が可能になる点や、使っているUPnPライブラリが脆弱なもので、認証のバイパスが可能な点などだ。同様の問題はこんなものにもある。
これは遠隔操作が可能なコンセントだが、これも認証のバイパスができる。より深刻なのはいわゆるホームコントローラに同じような問題がある点だ。様々な家電や照明、監視カメラ、ドアロックなどを集中管理し、スマホでコントロールできる製品が米国ではいくつかあるが、その複数にこうした問題が存在するようである。他人の家をのぞいたり、イタズラしたり、場合によってはより深刻なダメージを与えられる可能性がある。日本でも今後流行りそうなだけに、安全基準の確立は急務だろう。
午後からは、ミニクーパーのCANハッキングの話とかもあった。興味があって、ちょっとCAN関連の情報を検索してみたのだが、かなり詳しい情報が得られる。デバッグやECUの開発キットのようなものも入手できるようなので、メーカー固有のコマンド体系を解析することもできそうだ。実際、このセッションでは、そうした道具を使って、ミニクーパーのコマンド体系を洗い出している。このあたりは、少し深めてみたいところである。
そして今日の羊さんたち・・・・。
会場風景とか・・・・
CTF、Sutegoma2は私が見た時点で6位。上位4チームはかなり後と水をあけつつある。5位との間も徐々に開いているようだ。頑張れ、Sutegoma2!
そんな感じで今回の私のDEFCONは終了。晩飯がてら、少し街を歩いて名残を惜しむ。
そして、亡き友を思いつつ一杯・・・・。
それから、また少し街を歩いてホテルに戻った。
さて、今日はこれからホテルをチェックアウトしてLAに向かう。またちょっとしたドライブだ。帰国便は夕方。帰国は明日の(今日の?)夜である。翌日からすぐに仕事なので、帰国報告を書いている暇はないだろうな・・・。では、また日本で。
コメントする