[イベントレポート]

2016年8月23日(火)鈴木 恭子（ITジャーナリスト）

リスト

サイバー攻撃の脅威の現状を著名専門家が報告

　米シノプシスは、半導体設計のEDA（Electronic Design Automation）ツールやIP（Intellectual Property）製品を提供するベンダーとして知られており、近年はセキュリティ製品の拡充にも注力している。今回で7回目となるCodenomiCONコンファレンス（写真1）は、シノプシスが2015年4月に買収したフィンランドのセキュリティベンダー、コードノミコン（Codenomicon）が実施していたものだ。

写真1：CodenomiCON USA 2016の会場となったのは、米ラスベガスのマンダレイベイホテルにあるライブハウス「The House of Blues」。一般的な企業ITイベントに比べると少し妖しげな雰囲気だ

写真2：コンピュータサイエンティストのフレッド・コーエン氏

　「Fireside chat（井戸端会議）」と銘打った冒頭のセッションには、コンピュータウイルスの対策方法の発明者として知られるコンピュータサイエンティストのフレッド・コーエン（Fred Cohen）氏（写真2）と、元米国司法省国家安全保障担当検事でデビボイス＆プリンプトン ワシントンDCオフィス パートナーを務めるルーク・デンボスキー（Luke Dembosky）氏（写真3）が登壇した。コーエン氏は、「Black Hat 2015」コンファレンスで公開された、米FCA（旧フィアットクライスラー）の乗用車ジープ・チェロキー（Jeep Cherokee）の脆弱性を例に挙げ、「サイバー攻撃が、人の生死を左右するようになった」と警鐘を鳴らした。

写真3：デビボイス＆プリンプトン ワシントンDCオフィスパートナーのルーク・デンボスキー氏

　ジープ・チェロキーの脆弱性は、セキュリティリサーチャーのチャーリー・ミラー（Charlie Miller）氏とクリス・ヴァラセク（Chris Valasek）氏（後のセッションで登壇）が明らかにしたもの。コネクテッドカーシステムの脆弱性を突き、ファームウェアを遠隔操作で改竄した。この脆弱性を悪用すれば、エンジン、ブレーキなどが外部から自在に操作できることを証明したのだ。これを受けFCAは、遠隔操作の恐れがある140万台のリコールを発表して話題になった。

　コーエン氏は、「従来型の（物理的な）テロとサイバー攻撃を組み合わせれば、市民がセキュリティリスクにさらされるレベルは格段に上がる」と警告した。デンボスキー氏も「例えば、金融業界では虹彩認証など、多要素認証を取り入れている。しかし、攻撃者優位の現状は変わらず、その対策は十分ではない」と現状への危惧を表明。特に米国のエネルギー関連施設の対策は「攻撃レベルに対してその対策が十分ではない。（施設側が）注力しているのは、従来どおりのセキュリティ対策だ」（デンボスキー氏）だという。

　こうした問題に対しデボンスキー氏は、「企業や組織内のディシジョンツリーを確立し、現場で発生していることを経営層が把握・判断できる体制を構築する必要がある」との見解を示した。何が起こっているのかを迅速に可視化し、「誰が」「どのインシデントに対して」「どのように対処するか」を明確にすることで、迅速な対応が可能になるというわけだ。攻撃者優位が指摘される状況においては、「鳥瞰的な視点とスピード感のある判断が重要」（コーエン氏）だと強調した。

●Next：脆弱性に対する攻撃が文字どおり“命取り”になる