今日も暑くなりそうなラスベガス。ちょっと寝坊して、大急ぎで支度をしてバス停へ。
あわよくば、昨日買った24時間乗車券でもう一度乗ろうともくろんでいたのだが、バスのタイミングが悪くて、残念ながら間に合わず、片道$2払って乗る。10時にはちょっと間に合わず、最初のセッションは満席につき、11時からのセッションを並んで待つことにした。
11時のセッションは、IoT関連の話。なんとなく、これまで言われてきたことをまとめたようなセッションでちょっと退屈したのだが、やはり家電系は思った以上にひどいようだ。便利さを、というか奇をてらったような製品が続々出てきて、収拾がつかなくなりそう。下の例はWiFiにつながるLED電球なのだとか。
さすがに政府系もこうした状況の改善に力を入れ始めたようだが、さて、日本はまだまだこれから。
で、このセッションは途中で抜けて、次のセッションに並ぶことにする。これも、BHで既に話題になっている飛行機ねた。
最近、この種の話で自動車と飛行機はメディアをにぎわすのだけど、結論から言えば、飛行機を攻撃して直接制御を奪うことは、少なくとも今の時点では難しいという話。メディアはちょっと騒ぎすぎだと最初に一言。
B777についての誤解もある。FAAが操縦系ネットワークと機内情報系ネットワークの接続を条件付きで認めたという話だが、これは実際は一方通行の接続で情報系から操縦系にアクセスすることはできない。操縦系の機器は情報系機器からの通信を受け付けない上に、間にはファイアウォール(NED)が入っている。まぁ、ファイアウォールをクラックできれば、そこから操縦系の機器をどれかクラックして、そこからコマンドを流すと言う可能性はゼロでは無いが、現実的には難しいだろうという話。あとは、旧式の通信方式を使用しているトランスポンダなどについては、妨害やなりすましは可能だが、それによって直接、操縦系に影響を与えることはなく、必ず間にパイロットが介在する。
特に民間エアラインの場合、十分に訓練されたパイロットは簡単に混乱させることはできないし、彼らの判断は常に安全側に倒れるから、多少の混乱はあっても危険が及ぶ可能性は低いだろうとの話だ。また、衝突回避装置(TCAS)への不正操作も難しいだろうとのこと。
マレーシア機不明事件で有名になったACARSも、セキュリティは弱いが、直接の制御には影響しない。たとえば、行き先をキューバに変更しろ、などというメッセージを流すことはできても、パイロットは必ず無線で地上に確認するだろうから、その時点でおかしいことがバレてしまう。
ということで、現時点では航空機に対して、機内からもしくは、無線通信で深刻な影響を与えるような攻撃は難しいという話。ただ、旧式の通信方式などと新しい機能やシステムが混在している状況はあまり好ましくない。旧式のものをどんどん更新していかないと、そのうち新しく追加されたシステムが影響を受けて致命的な問題を引き起こす可能性もある、というのがひとつの警告だろうか。
さて、ちょっと合間にベンダゾーンをのぞいてみる。毎年のように結構賑わっている。今日もまた本棚の重しになりそうな本を一冊購入した。
さて、その次のセッションは車の話。去年の続編にたいな形。これは、車に搭載された攻撃大量になりそうな機器、機能を列挙したもの。
ここ数年、車の制御系に介入して不正操作するような実験成功がいくつか話題になっているが、車の方もどんどん進化はしているようだ。以下は、最新の車種の車内ネットワーク(CAN)の構成図。メーカーや車種によって様々だが、徐々にセグメントが細分化されてきて、攻撃を受けそうな部分と、エンジンやブレーキなどの制御系の分離が進みつつある。飛行機同様に、情報の受け渡しは一方通行が基本だ。まだ不十分なところも少なくないが、徐々に改善は進んでいるようだ。
ただ、当然ながら、古い車にはこうした配慮が行われていないものもある。後から更新するのが難しいわけで、車の耐用年数を考えると、初期のスマートカーは危ないかもしれない。そういう意味では、ここ10年くらいの間は、要注意だろう。古い車が不正操作で事故をおこせば、周囲を巻き込んで大事故になる可能性もあるのだから。
最後の話は、やはり家電系に関連する話題。中国の某超高級ホテルで、他の部屋の電気製品をコントロールできてしまった・・・・・という話。このホテルでは、iPad(ばったもんではないらしい(^_^))を端末にしてゲスト用WiFi経由で部屋の電気製品や照明をコントロールできるのだが、その制御のためのプロトコルが、単純にIPアドレスで部屋を識別しているという問題に起因する。
この人は、WiFiをモニタして、プロトコルを解析し、結果として他の部屋の電灯をコントロールできたのだという。その様子をビデオに撮影していた。こうしたことは、いわゆるホームコントローラーでも起きうる話だ。要するに、作る側にセキュリティに関する意識が希薄であることが最も大きな問題なのである。昨日も書いたが、こうした機器のネットワーク接続を考える場合は、セキュリティの専門家を企画段階から検討に加えるべきだと思う。特定の領域に閉じた知見だけでは十分な検討が難しいからだ。
さて、今日は会場の冷房が昨日よりきつくて、体が冷え切ってしまった。そろそろいい時間になったのと、体が冷え切ってしまったので、今日はこのへんで帰ることにした。帰りがけにベンダゾーンを覗いたら、こんな懐かしいモノが・・・。
なんと、初期のNetScreen 1000と、Digiのコンソールサーバ。どっちも売っていたしろものなので懐かしい。これが日本だったら衝動買いしそうだ。(さすがに、ラスベガスから持って帰るには重すぎる)
さて、体が冷えたので、暖めようと歩いて帰ることにしたのだが、これはちょっと無謀だった。気温は昨日よりさらに高い感じできつい日差しに焼かれた路面を熱風がわたってくる。最初は体があたたまってよかったのだが、橋を渡りきる頃には、結構バテてしまっていた。
で、ホテルに帰って、ちょっと横になり、日が沈んでから晩飯がてらちょっと散歩に出た。薄暮の空がいい感じである。
ちょっと油モノに飽きたので、今日はミラージュの中の日本食屋に行って見る。
見かけ、ちょっと怪しげな日本食屋だが、刺身なんかは結構まとも。ただ、これで$32は日本ならぼったくり・・・・。
コロナ2本、刺身と天ぷらうどんで結構いい金額になった。まぁ、観光地だししかたがない・・。
そんな感じで、また歩いてホテルに戻り、ちょっとお布施をしてから部屋に帰ってこれを書いている。さて、明日はDEFCON最終日だが、あまり、面白そうなセッションも無い・・・。明日の朝、もういちど考えて、聞きたいのがなさそうだったら、どこかへ遊びにいこうかとも思っている。さて、今夜はとりあえず、このへんで・・・・
コメントする