先週、情報セキュリティのカンファレンス、Black Hat と DEF CON が開催されたラスベガスの会場には、情報セキュリティ分野のハッカー、専門家、ファンがたくさん訪れました。毎年開催されるこの 2 つのカンファレンスの参加者の最大の目的は、新しい調査研究の報告、脆弱性の発見、ハッキングを解説するプレゼンテーションを聴くことで、脅威のタイプのトレンドや、近い将来、対策が必要になると予想される攻撃を知ることにあります。

今年のカンファレンスに参加されなかった方も、ウォッチガードの CTO、Corey Nachreiner によるレポートをお読みいただくことで、今年のトレンドを知ることができるでしょう。Corey は、GeekWire の最新のコラムで、Black Hat と DEF CON 2017 から 3 大テーマを紹介し、それぞれのテーマから学ぶべき教訓を解説しています。この記事の一部を抜粋して、以下にご紹介します。

「IoT のセキュリティの欠如は、今年の DEF CON と Black Hat の最大のテーマでした。どちらのカンファレンスでも、多くの講演で、IoT のセキュリティの問題と IoT に関連するソフトウェアハッキングの方法が取り上げられていました。
たとえば、Black Hat のある講演では、2 人の中国人研究者が、ユニバーサルハードウェアハッキングツールキットである、EvilSploit を紹介していました。IoT 研究者がハードウェアを分析する場合、第 1 段階の作業の 1 つとして、ハードウェアのフラッシュやファームウェアのダンプを試みます。多くの場合、IoT デバイスの PCB には空きパッドがあり、デバッグや初期フラッシュに使用する UART や JTAG のインタフェースに利用できます。ハードウェアのハッキングでは、ラベル付けされていないインタフェースをチェックして、ピン配列や通信プロトコルを探る作業に多くの時間を費やします。EvilSploit の研究者は、接続に使われているデバイスのピンの自動エミュレーションを可能にするデバイスとソフトウェアのデモで、標的とする IoT で最初に行うハードウェアの調査がはるかに容易になることを証明しました。」

IoT の脆弱性、および Black Hat と DEF CON 2017 で取り上げられたこれ以外の主要テーマの詳細については、GeekWire の記事全文(英文)をお読みください。Fortune 誌でも、毎日のニュースをまとめて紹介している「Data Sheet」の「Food for Thought」で、Corey のカンファレンスの要点解説を紹介しています。また、Secplicity の記事「アンダーグラウンドの活動を起源とする DEF CON の歴史」では、DEF CON の起源と歴史をご紹介しています。