セキュリティ業界、1440度（17）：著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート (1/3)

2015年10月28日から29日にかけて、西新宿で日本発の国際セキュリティカンファレンス「CODE BLUE 2015」が開催されました。IoT関連の衝撃的な攻撃デモや、著名バグハンターによる「脆弱性の効率的な発見方法」の解説など、多くの刺激的な発表が行われた本イベントから、特に興味深かった講演に関するリポートをお送りします。

連載目次

CODE BLUE 2015

　2015年10月28日から29日にかけて、東京は西新宿で情報セキュリティに関する国際カンファレンス「CODE BLUE 2015」が開催されました。CODE BLUEは2013年から始まった日本発のセキュリティカンファレンスです。3回目となる今回は、当初の目標であった500人を超える600人以上もの来場者が押し寄せ、会場は大盛況でした。本稿ではCODE BLUE 2015から、特に興味深かった講演についてご紹介します。

※FFRIが行った発表については、近日中にこちらで発表予定

「CODE BLUE 2015」会場風景

10代の若者も登壇した“新生”CODE BLUE

　3回目の開催となるCODE BLUE 2015では、初めての試みとして会場を二つに分ける「2トラック制」が導入されました。また、満24歳以下の講演者を対象とする「Youth Track」も設けられました。自分が聞きたい講演を選択する上では、2トラック制は効率的だったように思います。

　「Youth Track」では、慶應義塾大学在学中で「セキュリティ・キャンプ」において最年少講師を務める黒米祐馬氏（24歳）と、灘高校在学中で数々のCTFでファイナリストおよび優勝経験を持つ小池悠生氏（16歳）が登壇。FFRIからも西尾素己（19歳）が参加しました。

　10代が2人に20代の学生1人が登壇するというフレッシュな国際カンファレンスになったことは、セキュリティ技術者不足が叫ばれるわが国にとっても、明るい出来事だといえるのではないでしょうか。

FFRI 西尾素己氏

IoTの光と影――衝撃的な「医療機器攻撃」

　さまざまなモノがインターネットによってつながるIoT社会は、間違いなくわたしたちに多くの恩恵をもたらすでしょう。しかし同時に、「インターネットにつながる」ということは、「攻撃の対象になる」ということでもあります。

　ドイツのハイデルベルクにある情報セキュリティ企業 ERNWのセキュリティアナリストであり、医療情報学の理学学士も保有するフローリアン・グルーノ氏による研究発表では、医療機器を対象とした攻撃が現実的に可能であることが示され、実際に会場に持ち込んだ機器に対して攻撃のデモが行われました。

　デモでは、手術中に用いる計測機器などに対するDoS攻撃や、投薬量を調整する機器に対する攻撃（こちらは映像のみ）が行われ、聴講者に大きなインパクトを残しました。

ERNW セキュリティアナリスト フローリアン・グルーノ氏による医療機器への攻撃デモ