今週、ラスベガスでブラックハットハッカーカンファレンスが閉幕したため、デジタル世界の住人たちは少々不安を感じている。
展示会でセキュリティ研究者が解読した技術の中には、ホテルの部屋の鍵、虹彩スキャナー、Google Bouncer、POS端末、近距離無線通信技術などがあった。
カンファレンスに出席し、ホテルに宿泊していた人たちは、Mozillaのソフトウェア開発者コーディ・ブロシャス氏のプレゼンテーションに不安を覚えたに違いありません。彼は、ホテルの部屋の鍵を開ける自作のデバイスを50ドルで実演しました。
この装置は、ホテルがマスターキーカードに対応させる鍵のプログラミングに使用しているものと似ています。ただし、この装置はOnity社製の鍵にしか対応しておらず、動作率は約33%です。一方、世界中で400万から500万室のホテル客室が実験用として使用されています。
生体認証セキュリティの弱体化
ブラックハットでは、高度にセキュリティの高い生体認証方式も破られました。スペインの研究者たちは、人間の目の虹彩をリアルに再現する画像を作成する方法を実証しました。マドリード自治大学の研究チームによると、市販されている主要な認証システムとのテストでは、虹彩スキャナーは80%の確率で誤検知されました。
これまでにも偽の虹彩の画像が作成されたことはあるが、虹彩に関するデータを集めて実際の人間の虹彩を複製したのは今回が初めてだ。
GoogleがオンラインアプリストアGooglePlayにBouncerを導入した際、この技術はGooglePlayを通じて配布されたマルウェアに感染したアプリの駆除に大いに役立つと期待されていました。しかし、Black HatでTrustwaveは、この見方に疑問を投げかけました。同社は、高度なマスキング技術を用いて悪質なアプリをBouncerの検知をすり抜け、研究者によって削除されるまで2週間GooglePlayに留まらせる方法を実証しました。
AppthorityがBlack Hatで発表した調査によると、スマートフォンに保存されているデータを盗み見るのは悪意のあるアプリだけではないことが分かりました。iOSアプリの96%、Androidアプリの84%が、連絡先、位置情報、カレンダー情報といったスマートフォン上の機密情報にアクセスする機能を備えていることが判明しました。
モバイルショッピングに注意
ブラックハットでは、電子商取引も研究者たちの標的となりました。2人の研究者が、決済端末にスワイプされると感染する決済カードを設計し、そのデモンストレーションを行いました。このカードは、端末に入力されたクレジットカード情報と暗証番号を収集するトロイの木馬を端末に埋め込みます。これらの情報は、後に別の悪意のあるカードを使って端末から抽出される可能性があります。
研究者らはまた、端末で発見された脆弱性を利用して、実際には銀行で購入が承認されていないにもかかわらず、店員を騙して承認されたと思い込ませる方法も示した。
携帯電話による金融取引に利用される注目の技術、近距離無線通信(NFC)も、Black Hatの研究者の注目を集めました。Accuvantの研究者チャーリー・ミラー氏は、NFCチップが埋め込まれたタグを触るだけでAndroidスマートフォンの情報を盗み出すことができることを示しました。
Black Hatの恒例行事として、Pwnie Awardsが設けられています。これは、イベント開催前の12ヶ月間の成果と失敗を表彰するものです。今年の受賞者の一人は、Windows Updateを利用してPCにマルウェアを拡散する手法を開発したFlameソフトウェアの開発者でした。当然のことながら、Flameの開発者たちは受賞発表時に受賞を受け取りませんでした。
今年のBlack Hatでは初めて、Appleがプレゼンターとして登場しました。しかし、プレゼンテーションは期待外れでした。セキュリティプラットフォームエンジニアのダラス・デ・アトラス氏は、同社が5月に発表したiOSセキュリティに関するホワイトペーパーの内容を繰り返し説明した後、質問に一切答えずにフォーラムから去ってしまいました。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
