ここから本文です

SecurityAffairsの世界ハッカーインタビュー (14) SQLインジェクション技術に心を奪われた「Chema Alonso」

THE ZERO/ONE 9/28(水) 12:22配信

Telefonicaのチーフデジタルオフィサーであり、最も優秀なサイバーセキュリティ専門家の一人であるChema Alonso(@chemaalonso)氏へのインタビューをお楽しみください。Chema Alonso氏は現在、Telefonicaのチーフデジタルオフィサーである。彼は最も優秀なサイバーセキュリティ専門家の一人で、ITセキュリティ業界のスターだと見なされている有能なハッカーである。
それではインタビューをお楽しみください。

Q:あなたは世界で最も優秀なサイバーセキュリティ専門家の一人ですね。あなたの技術的な経歴やハッキングを開始した時期について教えてください。

A:私はコーディングを始めたのは12歳の時だ。AMSTRAD製パソコンで動作するBASICで、簡単なアルゴリズムをプログラミングしていた。それからコンピューター・エンジニアの学位を取るために大学に進学してデータベースを専攻した。大学卒業後はOracleデータベースのチューニングの専門家として働いていたが、1998年12月25日にrfp(Rain Forest Puppy)が執筆したSQLインジェクションに関する初のドキュメントがインターネットに登場した。私は長いSQLクエリを作成するのにはとても慣れており、SQLインジェクション技術に心を奪われた。

何年も過ぎた後、私はDEFCON 16で時間差を利用した(Time-based)ブラインドSQLインジェクションについて発表し、BlackHat Europeではブラインドを含むLDAPインジェクションについて発表した。それから、このような種類のハッキング技術の研究により博士号を取得した。

Q:最大のハッキングチャレンジについて教えてください。

A:私は長年、ペネトレーションテスターやセキュリティ研究者として仕事をしてきた。しかし残念なことに、全ての作業でシステムへのフルアクセスが得られるというわけではない。正直に言うと、そういったこと--単一のアプリを強制されるとかユーザーを攻撃できないとか--はごく限られた数のプロジェクトでのみ起きる。しかしこのようなケースでは、ピースの足りないパズルを解くような気分を味わうだろう。

しかし、私は企業に対して違法な行為は何もしていない。そして、新しいハッキング技術や、技術面の新たな欠陥を学ぼうとしている。何週間も費やしたターゲットの中には、何の結果ももたらさなかったものもある。しかし現実はそんなものだろう。接続文字列パラメーター汚染(Connection String Parameter Pollution)や時間差を利用したブラインドSQLインジェクション(Time-Based Blind SQL Injection)、ブラインドLDAPインジェクション(Blind LDAP Injection)のようなものを見つけた時の気分は最高だ。しかしこれらは、長時間の大変な作業に比べるとほんの一瞬の出来事である。

Q:ハッカーの必需品として欠かせないツールとその理由を教えてください。

A:皆さんが何に焦点を置いているかにも因るが、私がいつもインストールしているのは Burp Proxyや WireShark、それから最愛のFOCAとEvil FOCAだ。FOCAに気を付けろ!

Q:今ウェブ上で最も面白いハッキングコミュニティを教えてください。

A:現在、様々な場所にたくさんのコミュニティがある。Telegram、フォーラム、その他もろもろだ。スペインやラテンアメリカでは様々なイベントが開催されており、知識やツール、経験を共有するハッキングコミュニティもある。ハッキングコミュニティのレベルは健全であると考えている。

Q:サイバー攻撃に最も晒されている業界(ヘルスケア、自動車、通信、金融等)とその理由を教えてください。またインターネット上であなたがより恐れていることを教えてください。

A:それらの大部分が、大体同じレベルでサイバー攻撃に晒されている。金融や通信業界は以前からサイバー攻撃標的である。しかし今では、一般的なセキュリティインシデントが病院でも起こっているとか、自動車の脆弱性といったニュースを目にする。正直なところ、サイバー犯罪の初期段階はすでに終わったと私は思う。そして、サイバー犯罪者は良い利益をもたらすようならどんな業界への攻撃でも周到に準備するのだ。残念ながら、サイバー犯罪は有益なビジネスである。

Q:サイバー兵器や重要インフラに対するサイバー攻撃について頻繁に耳にします。重要インフラに対する大規模かつ致命的なサイバー攻撃のリスクが実在すると思いますか?

A:「終末は近い」いや、冗談はさておき、重要インフラは他の業界と同様に攻撃下にある。問題は、重要インフラの脆弱性が私たち皆にとってのリスクレベルが高いということだ。イギリスの水処理施設をハックし、攻撃者が水を汚染しようとした方法をVerizonが説明している。そしてもちろん、Stuxnetのエクスプロイトが別のやり方で利用された場合に起こりうるあらゆる影響について、我々は何度も分析をしている。

自動車や電車、飛行機、IoT、SCADAシステム、電子投票……我々の生活の中で何が次の「Stuxnet」になり得るのか今は分からない。しかし我々はデジタル思考の急激な成長の中にいて、我々の身の回りにはハッカーによるチェックを全く受けていないたくさんのコードが走っている。従って、こういった事件が臨時ニュースで報じられることになるのは確実だろう。
 
Chema Alonso氏プロフィール
スペイン出身のセキュリティ研究者であるChema Alonso氏は、セキュリティ企業や大学でキャリアを積んだ後、2013年にスペインの大手通信企業Telefonicaの出資を受け、セキュリティ製品・サービスを提供するEleven Pathsを創立しCEOに就任。ここでさまざまな製品の他、ドキュメントフィンガープリンティングツール FOCA(Fingerprinting Organizations with Collected Archives)やネットワークテストツールEvil FOCAなどのツールを開発。2013年のDEF CON21ではEvil FOCAについてのスピーチも行っている。2016年からはTelefonicaのチーフ・デジタル・オフィサー(CDO)も務める。

翻訳:編集部
原文:Hacker Interviews - Chema Alonso
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

Security Affairs

最終更新:9/28(水) 12:22

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

「水中に潜む本当の危機」
インドガリアルとキングコブラはインドの象徴ともいえる爬虫類ですが、水質汚汚濁のために存亡が危ぶまれています。環境保護者のロミュラスウィトカーがこの素晴らしい動物たちの貴重な映像をお見せして、彼らのそして私達の生活を支えている川の保全を訴えます。