MS、セキュリティカンファレンス「Blue Hat 3」の内容を明らかに

　Microsoftが、3日間にわたって開催された「Blue Hat 3」セキュリティカンファレンスの研究結果を公表する。同カンファレンスの主催者の1人がブログへの書き込みで明らかにした。

　第3回Blue Hatカンファレンスは、世界のセキュリティの現状について議論することを目的に先週開催された。セキュリティ研究者が招待され、集まったMicrosoft幹部らを前に、ウェブアプリケーションの悪用や検索エンジンのハッキングといった話題に関する講演やデモが行われた。

　MicrosoftのセキュリティプログラムマネジャーKymberlee Price氏は米国時間3月16日、「今後数日をかけて、Blue Hat 3に関する感想のほか、同イベントの写真やポッドキャストおよびビデオへのリンクも公開する」と書き込んでいる。

　「Blue Hat 3の講演者（そしてBlue Hat 1および2の講演者）にも、サイトにコメントを書き込んでもらい、Blue Hatでの経験を全員と共有してもらえることを切に願う」（Price氏）

　Microsoftの開発者サイトTechNetによると、Blue Hat 3の詳細は今春公開されるという。

　カンファレンスの主催者でMicrosoft SQL ServerのプログラマーBrad Sarsfield氏は、別のBlue Hatブログへの書き込みで、「Microsoftの技術固有の問題や、業界全体に影響する問題に関し、オープンで率直な議論ができた」と述べている。

　Sarsfield氏は、「『この機能の責任者を来週早々にも私のオフィスに呼んで、この件について徹底解明したい』などという言葉が上級幹部から聞けたことは、少なくともこのイベントの成果だと自分としては思う」と付け加えた。

　初日には、シニア製品リーダーや幹部向けに一連の講演が行われた。Sarsfield氏の書き込みによると、2日目はSQL、データ、およびウェブアプリケーション中心、3日目はWindowsプラットフォームが中心だったという。

　NGSの共同創業者でセキュリティを研究しているDavid Litchfield氏は、同イベントでOracleのデータベースセキュリティに関する講演を行った。Litchfield氏は、同カンファレンスでデータベースセキュリティのさまざまな側面に関する議論があったことをZDNet UKに明らかにした。

　「SQLインジェクションやデータベースrootkitの話題が出た。SQLインジェクションは、正当なSQLクエリに攻撃クエリを与えることでアプリケーションロジックを破壊する。これにより、ユーザーのパスワードやIDにアクセスするなど、攻撃者はかなりの破壊活動が行える」（Litchfield氏）

　Litchfield氏は、「SQLインジェクションは、おそらくセキュリティ関連で今日最も大きな問題だ。この問題は何年も前から知られていたが、ウェブアプリケーションの7割は今も無防備なままだ。極めて腹立たしいことだ」と付け加えた。

　Litchfield氏は、Blue Hatカンファレンスを主催したMicrosoftを高く評価した。

　Litchfield氏は「Microsoftのこの行動は素晴らしいと思う。同社は今もセキュリティに対して多大な努力をしている。Oracleにも同社を見習ってもらいたいものだ」と語っている。同氏はOracleのデータベースソフトウェアで一連の脆弱性を見つけて以来、同社を厳しく非難してきた。

　Litchfield氏はまた、攻撃コードはBlue Hat 3でデモが行われたが、同カンファレンスの講演で「Microsoft関連の問題は言及されなかった」ことも明らかにした。