米国 ネバダ州ラスベガス市のマンダレイベイ・コンベンションセンターにおいて、8月2日~8月6日にサイバーセキュリティ関連のカンファレンス「Black Hat USA 2025」が開催された。 Black Hatは、ハッカーの祭典として知られる「DEF CON」(デフコン)と連続して開催されるカンファレンスで、基調講演(Keynote)や分科会(Briefings)、展示会(Business Hall)などから構成されており、大手のセキュリティ企業などが講演や出展を行うため、サイバーセキュリティの現状を理解するのに適したイベントとなっている。 ■ 1997年の初開催以来徐々に成長してきたBlack Hat、展示会場には多数のセキュリティ企業がブースを出展 基調講演のオープニング役を務めたDEF CONおよびBlack Hat 創始者 ジェフ・モス氏は、「Black Hat USAは初めて開催された1997年以来、本年で29年目となり、本年もより多くの分科会などが開催される」と述べ、1997年にBlack Hatを初めて開催してから徐々に成長してきたことをアピールした。 DEF CONはホワイトハッカーやプログラマーなどをターゲットにしたイベントで、そうした技術者が集まって交流するイベントという趣になる。それに対してBlack Hatの方はもう少しビジネス寄りで、スポンサーにもクラウドストライク、センチネルワン、Google Cloud、トレンドマイクロといったサイバーセキュリティのソリューションを提供する企業が並んでおり、そうした企業が自社のソリューションをアピールする場としても活用されている。 Black Hat USAは大きく分けて、業界の有名スポークスパーソンが講演する基調講演や、各企業やセキュリティ専門家などが登壇する分科会(Briefings)などの講演と、Business Hallと呼ばれる展示会から構成されており、展示会では前出のスポンサー企業などのブースが所狭しと並び、それぞれの企業の最新ソリューションが展示されている。 今回もクラウドストライク、センチネルワン、Google Cloud、Microsoft、パロアルトネットワークス、トレンドマイクロなどの企業ブースが出展されており、それぞれの企業が発表した最新製品などが展示されている。例えば、トレンドマイクロのブースでは同社の統合型セキュリティソリューション「Trend Vision One」の展示が行われており、先日発表されたばかりのデジタルツインを利用したAIセキュリティソリューションに関してのデモが行われていた。 ■ WithSecure CRO ミッコ・ヒッポネン氏、ランサムウェアの脅威は始まったばかりと警鐘を鳴らす Black Hatの基調講演は複数用意されているが、その中でもメインの基調講演に相当するのが、実質的な会期初日(8月5日)と2日目(8月6日)の朝9時から、Michelob ULTRA Arenaと呼ばれるマンダレイベイのアリーナで行われる基調講演だ。 今回は5日がWithSecure CRO(最高研究責任者) ミッコ・ヒッポネン氏、6日がSilver Buckshot Ventures 創始パートナー ニコール・パルロス氏で、特に、サイバーセキュリティ界隈で最も有名な研究者であるミッコ・ヒッポネン氏の講演は、業界からの引退記念講演として注目を集めた。 フィンランド出身のミッコ・ヒッポネン氏は、1991年にWithSecureとF-Secure(現在はWithSecureが企業向け、F-Secureが一般消費者向けと分けられている)の前身となるData Fellowsに入社して以来、サイバーセキュリティの専門家としてサイバーセキュリティ業界に関わってきた。 2001年に発生した「ILOVEYOU worm」(日本ではラブレターの名称で呼ばれることが多い、Outlookのメールにvbsスクリプトを張り付けるという単純な手口だが、実行するとアドレス帳に登録されているメールにワームをばらまく)の時に、セキュリティ企業側で対処した一人として有名になり、さらには2011年に「Brain」(作成者は違法コピーを防ぐために作ったが、結果的にウイルスと同じような動作になってしまいウイルスと呼ばれるようになったもの)であり、その世界初のPC向けウイルスを開発した開発者のもとを訪ねたドキュメンタリーをYouTubeに公開するなど、サイバーセキュリティ界隈で最も有名な研究者の一人であり、Black Hatの講演において常連となっている。 そのヒッポネン氏は、多くの5インチフロッピーディスク(FD)の写真を見せ、それぞれに初期のPCウイルスが入っており、今でも外部に流出しないようにFDのまま保存されていると説明した。 そして前出のBrainのコードを研究していると、そこに作成者の痕跡が残っており、それを元にパキスタンまで作成者を訪ねて行き、ドキュメンタリーとしてYouTubeに公開したのだという。 Brain: Searching for the first PC virus in Pakistan https://www.youtube.com/watch?v=lnedOWfPKT0 ヒッポネン氏は「かつてのコンピュータウイルスは、Brainのような悪意がなく、愉快犯のようなものがほとんどだった。しかし、近年はそれが大きく変化しており、金銭目的のものがほとんどになっている」と述べ、現代はマルウェアやランサムウェアのほとんどは何らかの形で金銭を得るものへと進化していると指摘。その具体的な例として、2014年に発生したソニーの子会社ソニー・ピクチャーズエンターテインメントへのサイバー攻撃などに関して言及した。 また、ランサムウェアを配布して売り上げを上げる集団の存在に言及し、今やそうした集団のWebサイトが公開されており、身代金を要求されている団体や企業などがリストアップされていることに言及。もはや世界中のどんな企業や団体も、そのような集団のターゲットにされているのだという現状を警告した。 さらには、そうした集団を取り締まる公権力の取り組みについても説明し、集団の構成員などが過去に作ったマルウェアやプログラムに何らかのヒントが残されていることが多く、そこから犯人の居場所特定につながり犯人が逮捕された事例などを説明した。 また、以前はPCやスマートフォンのようなプログラマブルなIT機器がマルウェアのターゲットになっていたが、今は自動車や時計のような、従来はプログラマブルではなかった機器が、スマートビークルやスマートウォッチのように「スマート~」で呼ばれるようになり、そうした機器もマルウェアのターゲットになっていると指摘した。 その対策としては、OSやプラットフォームの管理を厳格に行いつつアプリを導入できる仕組みが有効だと指摘。Windows OSを採用しながらゲームアプリケーションを安全に導入できるようになっているXboxの事例を紹介して、プログラマブルOSであっても高いセキュリティを実現したプラットフォームは実現可能だと述べた。そしてランサムウェアの脅威はまだ始まったばかりで、今後それに対処していくにあたり、AIを活用してその脅威に立ち向かうべきだと指摘した。 最後にヒッポネン氏は、WithSecure社を退職し、新しいキャリアに挑戦することを表明した。ヒッポネン氏が選択したのは、セキュリティソリューションの企業ではなく、フィンランドのドローンを開発する企業だという。 「ご存じの通り、今はロシアのウクライナ侵攻で、世界の安全保障が脅かされている。そうした中で、物理的な安全保障にとってドローンというデバイスは有益であり、今後の人生をその開発に賭けることにした」と述べ、今後はAIを活用したドローンを開発する会社に移籍して、サイバーセキュリティ(仮想空間の安全保障)からリアルな世界のセキュリティ(安全保障)へと活動の場を移すが、今後もセキュリティを担保するために働くとして、その講演をまとめた。 ■ トレンドマイクロが脆弱性発見プログラム「ZDI」による脆弱性発見と対策プロセスを解説 トレンドマイクロは、Black Hatの展示ブースにおいて、同社が2005年から取り組んでいる「Zero Day Initiative(ZDI)」に関する取り組みを説明した。 トレンドマイクロ ZDI脅威認知責任者 ダスティン・C・チルズ氏によれば、ZDIはユーザーや開発者などから発見されたセキュリティホールの情報提供を受け(場合によっては対価が生じる場合もあるという)、それを元にセキュリティホールを埋めるバーチャルパッチを開発し、OSベンダーなどが提供する正式なパッチよりも先にバーチャルパッチを同社のセキュリティソフトウェアが動作している環境に導入することで、マルウェアなどがセキュリティホールを利用してシステムに侵入することを防ぐ仕組みになる。 場合によっては、バーチャルパッチは、OSベンダーの正式なパッチが提供されるよりもかなり前から提供が開始されるため、危険な状態のままのシステムを利用する期間をより短くできる。 今回の会場では2つの事例が紹介されている。 1つは「CVE-2023-21608」(CVE:Common Vulnerabilities and Exposuresは、米国の非営利団体MITREが策定している脆弱性の共通識別子)の例で、具体的には、Adobe Acrobat Readerという誰もが使っている文書閲覧ソフトウェアの脆弱性だ。解放済みのメモリを利用することで、任意のコードをリモート実行できてしまうという脆弱性である。 トレンドマイクロのZDIチームはこの脆弱性に関する情報を情報提供者から購入し分析を開始し、2022年11月4日にはAdobeに対して脆弱性があると通知し、同年中にはバーチャルパッチをリリースして対策を開始したのだという。Adobeから公式パッチが公開されたのは2023年1月10日で、トレンドマイクロのバーチャルパッチのリリースから14日後だったということだ。 なお、実際にこの脆弱性への攻撃が確認されたのは2023年10月2日で、発見から265日後のことだったという。攻撃に利用されるまで随分時間があるのだなというのが正直な感想だが、逆に言うと、ソフトウェアに常時パッチを当てておくことがセキュリティ対策としては最上の策であることがよくわかる逸話だとも言える。 2つ目はつい最近の事例で、「CVE-2025-24974/6」というMicrosoft SharePointの脆弱性が紹介された。このSharePointの脆弱性は、7月の「Patch Tuesday」(米国で毎月第2火曜日のMicrosoftのパッチが公開される日のこと)で対策パッチが公開されたばかりであるため、記憶に新しい読者も多いだろう。 このCVE-2025-24974/6は、本年の5月にベルリンで行われたハッキングコンテスト「Pwn2Own Berlin」で初めてその存在が明らかになり、ハッカーが2つのバグチェーンを利用して実際に攻撃可能であることを証明。彼らにはコンテストの賞金として10万ドル(日本円にして1500万円)が渡されるなどして話題を呼んでいた。 だが、実はその裏で、ZDIチームからMicrosoftに対してこうした脆弱性があるということが通知され、対策が進められていたのだという。そして、4日後の5月20日にはトレンドマイクロからバーチャルパッチの提供が開始され、最初に攻撃が確認された7月7日にはすでに対策が済んでいたという。 なお、Microsoftから正式なパッチが提供されたのはその最初の攻撃が確認された翌日になる7月8日で、完全なパッチが提供されたのは7月19日。トレンドマイクロがバーチャルパッチを提供してから61日後のことだったそうだ。 チルズ氏によれば、こうしたZDIの活動は、脆弱性をいち早く発見して早期にパッチを提供することはもちろんだが、研究者やハッカーなどが脆弱性を発見した時に、それを攻撃などに使うのではなく、合法的にコミュニティーに対して報告するという仕組みとして提供するという意味もあると説明。その意味では、どちらの側にもメリットがある仕組みだと強調した。