年次セキュリティカンファレンスBlack Hat開催中--今年から規模も拡大

　ラスベガス発--2007年の第11回Black Hat年次セキュリティカンファレンスは、より多くの参加者を受け入れ、より多くの話題を扱い、そしてもちろん、より多くの議論を行うために、シーザーパレス内に例年より広いスペースを取って開催される。

　カンファレンスの開幕は先週末で、まずトピックごとに分かれたトレーニングが4日間あり、その後米国時間8月1日と2日に公開セッションが行われる。

　過去の例を参考にすると、全体での合計参加者数は2006年よりも多くなりそうである。そう考えるとBlack Hatは、当地シーザーパレスにおいて、より大きな面積を占有することになりそうだ。

　しかし、参加できなくなってしまった参加予定者が、少なくとも1人いる。ドイツ企業Sabre Securityの最高経営責任者（CEO）Thomas Dullien氏だ。同氏は7月29日、同氏個人のブログに、H-1Bビザの規制に関連する理由で米国への入国を拒否されたと書いた。米国税関が、Black Hatでの講演用に持ち込んだ物品をめぐって同氏を留置したという。同氏は「バイナリ分析、リバースエンジニアリング、バグ探しに関する真剣なレッスン」を行うとしていた。

　カンファレンスの規模拡大にともない、基調演説者が1人から2人に増えた。1人は、Bush大統領のサイバーセキュリティ担当元特別顧問Richard Clarke氏である。現在Good Harbor Securityに所属している同氏は2002年の基調演説で、悪意あるソフトウェアについて、ソフトウェアベンダーとインターネットプロバイダーにも責任があると述べている。2007年は「たとえ権力者が押さえつけようとしても、科学によって真実を求める」人たちの話題を取り上げる。もう1人は米国国家安全保障局（NSA）の脆弱性担当チーフTony Sager氏で、民間各社と協調しながら政府のセキュリティ標準を作成することについて話す。

　当時リリース前だった「Windows Vista」に焦点を当て、Microsoftが単独でたくさんのセッションを主催した2006年とは違い、今回そのようなトラックは予定されていない。音声サービスのセキュリティ、フォレンジックス、ハードウェア、ゼロデイ攻撃、ゼロデイ攻撃の防御などに関するトラックが復活する。また、OSのカーネル、アプリケーションのセキュリティ、リバースエンジニアリング、ファジング、アプリケーションのセキュリティテストなどに関するトラックが新設される。

　しかし、白熱するのは個人セッションである。

　プレゼンテーション担当者にはBlack Hat参加者の間で有名で、物議が耐えない人もいる。Neal Krawetz氏は、イメージファイルに関するフォレンジックスをテーマとして、レイヤをピールバックして一見気付かないような操作の発見法を紹介する。Dan Kaminsky氏はBlack Ops調査の年次報告を行う。Phil Zimmerman氏は「Z Phone」と呼ばれるセキュアなインターネット電話に関する構想を改めて説明する。

　一方Jeremiah Grossman氏は「外部からインターネットのウェブサイトをハックする（第2回）--JavaScript製マルウェアがある場合とない場合を楽しむ」というテーマで議論を深める。Billy Hoffman氏はBrian Sullivan氏とチームを組んで「Ajax化」について議論し、Ajaxを多数利用した旅行会社のウェブサイトをセキュアに構築する方法を紹介する。

　「フォレンジックスソフトウェアをクラックする」というトークも、すでに話題になっている。iSecの研究者Chris Palmer氏、Tim Newsham氏、Alex Stamos氏らが、政府や法廷でおもに使用されるデジタルフォレンジックスソフトウェア「Guidance Software EnCase」に、合計6件の脆弱性を発見したと発表し、メーカーは即座にこれを否定している。

　2006年のプレゼンテーションで聴衆からのスタンディングオベーションを受けたJoanna Rutkowska氏も話題を集めている。2007年は、Alexander Tereshkin氏とともにVistaのx64版のカーネルを攻撃する方法について語る予定だ。Luis Miras氏は、2007年春にCanSecWestで行った、マウスやポインタなどの周辺機器のハックに関する議論を改めて取り上げる。