サイバー攻撃とのはてなき戦い--“暗号アルゴリズムの危殆化”における問題点と技術者に求められるモノ

深刻な情報セキュリティ技術者不足

須賀祐治氏：はい、じゃあ、須賀です。さっさと始めます。（スライドが）220枚ぐらいあります。絶対無理です！

登場曲についてなんですけど、社内のみんなに「どんなのがいいかね？」って。石野卓球のCDだったり、電気グルーヴのCDだったり、クラッシック系だとリスト辺りがいいかなと思ったんですけど、結局最終的にこれ（『石野卓球 MIX-UP Vol.1』）にしました。

なぜかというと、修士1年、2年ぐらいのときによくこれを聴きながら論文を書いてたっていう記憶がありました。それで、これ、なかなか見つからなくて、うちの3階の納屋みたいなところにあって、やっと発掘したケース。

これテレビのキャプチャーなんですけども、「どうする？　情報セキュリティ技術者不足」と書いてあって、どうやら日本だと24万人ぐらい足りないらしいということがわかってきていて。

じゃあ、この発表は何をしようかなと思って考えると、ここにいらっしゃる優秀な皆さんを情報セキュリティの分野に1人でも引きずり込むってことが多分一番の目的なのかなと。

そういう意味でCSEC研究会（コンピュータセキュリティ研究会）だけじゃなくて、日本の情報セキュリティに関するアクティビティを紹介したほうがいいかなというふうに思いました。

CSEC研究会とは

まず最初にCSEC研究会は何なのかなんですけども、1998年に発足しています。どんなことをやっているか。年に4回、5月、7月、12月、3月に研究発表会を、開設当時からCSS（コンピュータセキュリティシンポジウム）と呼ばれるシンポジウムを開催しています。

このシンポジウム、当初は100名ぐらいの参加者だったんですけれども、前回は480名を超えるような大きな会議になりました。それから、これは今年10年目なんですけれどもIWSEC（International Workshop on Security）という国際会議の共催もやっています。

CSEC研究発表会、来年度一発目が5月に別府であるわけですが、実は今日の23時59分が投稿締切でして、アブストラクトだけでよいので是非とも投稿してください。間に合いますよね！　それからCFPでいうと、今年のCSSは長崎開催です。長崎はちゃんぽんがおいしいですよね。

次にCSSのCFPを見ていただいたらわかるんですけど、すごく大きな、ざっくり分けてもこのような状態で、もっともっと細分化しないといけない分野もあるわけですけども。ちょっとでも関わっている研究分野があることを考えると、広い範囲でカバーしないといけない。セキュリティっていうのは。

そういった意味で今回、セキュリティ技術を30分で紹介するっていうのは絶対無理ですし、多分これをひとつひとつ1日でやったとしても多分無理なんですね。だから、だいぶはしょります。

それから先ほど紹介したCSSに併設されているMWS（マルウェア対策研究人材育成ワークショップ）なんですけども、これは学生さん、若手の人材育成も兼ねてやっているワークショップ。何がいいかっていうと、現場のデータがもらえるんです。普通はISPなど企業しか持っていないようなデータっていうのがちゃんと大学院生の皆さんにも契約を交わすことによって与えられているんです。それらのデータを解析して、事前もしくはその場で与えられた課題を時間内に解くというコンペティションも開催されています。

それからもうひとつ、CSSの中でのイベントを紹介しないといけないんです。実はライトニングトークセッションというのを設けていて、学生主導セッションってのもあるんですけども。この場は、情報系ライトニングトークの戦場というふうに呼んでいて、こういうトークバトルでもきちんとプレゼンスを得ることができるような場を我々は作っています。

次に、国際会議のIWSECなんですけども、今年は3月末が締め切りです。もちろん英語で書いてもらわないといけないんですけども、実は学生さん向けに参加費と旅費というのを今回確保させていただきまして、ちょっと微々たるものかもしれませんけど。ということは何が起きるかというと、先生にダマテンで投稿しても何とかなるわけです！　だからこれも3月末までに頑張って書いてください。

須賀氏のユニークな経歴

それで、こんなこと話していて、「お前、誰やねん！」って話なんですけども、IIJっていう会社はインターネットサービスプロバイダーのひとつでして。

表向き、人事的にはこういうふうになっているそうなんですけど、キーワード的には「仕事は自分で創る」っていうふうに書いています。

僕のバックグラウンドは数学屋さんでした。そのまま福岡の地場産業の企業に入って、そこから出向という形でたまたま暗号というものに出会うわけです。その後、空白の8年間。すごく不毛な時期をこうやって過ごしましたけども、そこでぶっ叩かれるわけですね（笑）。今はIIJにいて、セキュリティに関する情報収集やそれを社内や顧客に展開するような仕事をしています。

実際の仕事の様子も一応撮りました。玉すだれをずっと何もないところで練習しましたから。玉すだれって面白いのが、一方向性を持つんですね。パっと出すと出せるには出せるんですけども、戻して来るのがちょっと難しいというふうに言われていて。僕も上司の前でやったんですけど、それができなくて、ここがちょっと評価低いっていう状況です。

あと、JANOGっていうネットワークオペレーターさんが集まる会議があったりするんですけど、すごいホールでしょ？　高松です。そのときに、40分間話した後に話題の映画挿入歌の替え歌でHeartbleedと呼ばれる攻撃に関することをサーマリすると、きちんと評価されて一番上の評価をもらっています。

あと、CSSではホーミー。ホーミーを知っている人、どのぐらいいますか？　自分、実はホーミーできるようになったんですよ（笑）。要は、2つの音を出すモンゴルの歌唱法のひとつなんですけども。

ホーミーって結構心肺機能に影響があって。実は外耳炎になってしまいまして、今実は左だけあんまり聞こえない。皆さん、ホーミーには気を付けましょう。

ということで、あとどんな仕事をしているか。真面目な話をすると、今自分はこういうセキュリティ情報統括室というところにいて、自分が自分で何の仕事をしているかよくわからないんですけども、とりあえず少なくともプレゼンスは得ている。

速攻で伝えたいことはブログで書く予定ってなってるんですけど、なかなか時間がなくて書けてない。ごめんなさいってことと。

あと覚えて帰ってほしいのは、IIRという4半期に一回出しているレポートっていうのを書いています。多分これが一番自分の中でプレゼンスを持っているもののひとつだと思っています。

最近のネタだと、まずはビットコインというのもキャッチーではあるでしょうし、OpenSSLのライブラリが脆弱性を持っているというのが今年度頭からすごくひどい状況だったので、そういうネタを書いています。

情報セキュリティの3要素「CIA」

やっと本題です。暗号アルゴリズムの話をちょっとしようかなと思うんです。某社から怒られる絵を書きましたけれども、セキュリティというのは大体CIAの3つの機能に分ける一般的な方法が知られていて、Cというのは暗号化をしているとか、実際に通信路をひねるっていう表現をしますけれども、そういうものをやるっていう機密性。

それから、途中で改ざんされていないかってことを保証するためにIntegrity、データ完全性。それから認証もそうですね。というものと、もうひとつ観点があって、24時間、365日稼働させないといけないというAvailabilityという観点があります。

多分、恐らく教科書的には皆さん勉強されたとは思うんですけど、共通鍵暗号と呼ばれるものと公開鍵暗号と呼ばれるものにわけることができて、後者は例えばRSAとか。SHA-1、SHA-256とかもハッシュ関数としては有名なところです。

この暗号技術なんですけど、実は我々エンドユーザーから見たとき、非常に遠い距離にあるんですね。一番下にあるという状況になっていて、例えばブラウザとか、PDF Viewerみたいなところが見えるだけで、我々としては暗号アルゴリズムって何も見えていない。どんなふうにデータがひねられているかっていうのが全くわからない状況になっています。

もうひとつ言わないといけないことは、Windows Updateみたいな仕組みを持たないといけないことですね。ヒューマンエラーで実際にエンバグしてしまったとかっていう状況があるときに、とりあえずパッチをあてれば何とかなるという類いのものが、いろいろあるわけですけども。

暗号アルゴリズムの危殆化

実際に暗号アルゴリズムに関しては脆弱性という言い方をせずに危殆化（きたいか）っていう言い方をします。なぜかというと、どうせ絶対に解けちゃうんです、暗号っていうのは。鍵空間がどれだけ広いかによって、その解きにくさというのが変わってくるだけなんです。

なので、今、赤い線で書きましたけども、赤い線は緩やかに進行していく。これはCPUパワーが上がっていくということです。例えば、我々も今クラウドですごいチープなお金で非常に大きなリソースを得ることができるわけですね。

あと、もうひとつ考えなきゃいけないのは、危殆化は急に進展することがあります。青で書いています。ガクン、ガクンと下がります。例えば某国とか某組織の若手の研究者が急に、「あれ？　この暗号アルゴリズムちょっとおかしくね？」とかって言いながら、急に傷つけていくんですね。

アルゴリズムに傷がつくということは、攻撃者にとってみればそれは有利に働くわけです。実際にこういうことが起こっています。

この危殆化なんですけども、対処方法は非常に難しいというふうに言われています。移行コストが高いんですね。

例えば70年代につくられたDESっていうのが実は2030年まで使われることになっているんです。一部のシステムではまだ使われている状態です。そのDESっていうのはもうだいぶ前にクラックされています。

そういう意味では、広く使われていてもいずれは捨てる覚悟が必要です。それで、最近RC4と呼ばれるストリームサイファーがやられていたりとか、今までMD2、MD4、MD5ってのがだめだったけど、SHA-1もだめだねってことで、SHA-2に移行をみんながしているわけです。

最新システムに移行する際の問題

実際に、プロットをしていますけれども、ポイントとしては、本当はDESはこの時点で、2005年ぐらいに取消になっているにも関わらず、実は2030年まで使わざるを得ないという状況になっているということですね。それに対抗して新しいアルゴリズムを策定する。

また、切れそうになったらまた新しいアルゴリズムをつくるというようなサイクルがあるわけです。そのサイクルをどんどん繰り返していかなきゃいけないというのが、基本姿勢なわけです。

それで、そういう暗号アルゴリズムに関して、基本的に日本だけに絞った議論をここではしているんですけど、CRYPTRECと呼ばれる総務省と経済産業省の外郭団体であるそれぞれNICTさんとIPAさんのプロジェクトがあります。

そこで何をしているかというと、電子政府推奨暗号リストというのをつくっていて、「この暗号は使っていいよ。この暗号はだめよ」っていう住み分けをするんですね。僕がよく言うのは、1軍、2軍、戦力外通知みたいなことが書かれていて、3つのグループにアルゴリズムが振りわけられています。

戦力外通知のやつは、本当は移行しないといけない。例えばRC4とかDESとかそうなんですけど、ある基準によってそれを使わざるを得ない状況がまだあるという状況です。それから、このリストに関しては実際に2年前に新しく策定されました。

それからCRYPTRECの成果としてはこれが一番有名です。みんな「ひし形」っていうんですけど、よく見るとひし形じゃないんですけどね。要は、どれだけスパコンの能力が上がっていくかで、年によってどのくらいRSAの鍵が解けるのかみたいな評価軸があって。この図を見て、「そろそろ移行しないといけないね」とかっていうような議論をするわけです。

実際に一昨年、CRYPTO 2013のRump sessionでHeningerがRSA512鍵をクラウド使って解いちゃうんです。もはや過去のものですが、実際90年代後半使ってましたよ、512ビット鍵は。

実際にそれを解いたろうかっていうことで、実際に解いてみると、2日間ぐらいで240ドルぐらい払えば十分に解けてしまうというような事例が出てきていますし、マイクロソフトさんも1024ビット未満のRSAに関しては死亡宣告しています。

日本政府の移行指針に関しても割と決まってきていて、でもやっぱり遅いですね。やっぱりこのくらいかかっちゃう。移行するのにすごく時間がかかっちゃう。

これ、何で移行かというと、今までSHA-1と呼ばれるハッシュアルゴリズムを使っていたのをSHA-2に変えましょうという段階で、これだけ時間がかかっている。何でかかるのかは、いろいろ聞きました。ひとつの問題はアニュアルに予算が仕切られていて、中長期的にサーバを管理するための移行のコストを払うことができないというものです。

とりあえず覚えて帰ってほしいのが、RC4は一応危ないというふうになりました。それから、SHA-1からSHA-2に移行しようと思っているぐらいのところなんですけども、次のSHA-3ってのがもうコンペティションが終わって決まりました。それから、新しいコンペティションCAESARと呼ばれるものが今ホットです。

Authenticated Encryptionって言うんですけど、暗号化しながら署名を打つ（話者注：実際にはちょっと違います：MAC＜メッセージ認証コード＞を打ちます。話では、直感的な表現を優先させました）みたいなイメージだと思うんです。

要は、先ほど出てきましたけど、Confidentiality、暗号化をするってことと、改ざん防止の2つの機能を持ち合わせた軽い、ライトウエイトなアルゴリズムを今コンペティションしています。

ただ、（見せられないシートを指して）この辺を見てあげると何を言ってるかなんですけど。RC4への攻撃は2の34乗個の暗号文を集めてきたら解けますっていうようなことを言っています。

これは、アカデミアからするとガクンと落としています。2の80乗ぐらいの計算力がないと解けなかったものが、2の34乗まで落ちてるってことはひとつの成果だったと思います。

ただ、インダストリから見たときにこれが本当にRC4ってだめなのかなと言うと、それはちょっと懐疑的です。

全て傍聴されている状況

それで、先ほどのアカデミア視点に対して、インダストリの視点からいうと多分起点はここら辺ですかね。2013年6月ぐらいだと思います。

まずは「YES WE SCAN」ですね。要は、全部傍聴されているという状況。PRISMっていうのが公開されていて某SNSさんの情報も米国政府のほうに全部とられていたとかいう事例が本当に公開されてしまった。スノーデンさんから。

2013年9月に何が起こったかなんですけども、これはあまり知られていない事実です。携帯電話などの製品に入っている暗号ライブラリがありますが、そこで使われている疑似乱数生成器ってのがまずくて、あることをやれば解けちゃうという状況になっている。ユーザは知らずに脆弱なものを使わされている。それを某政府がバックドアを仕掛けたんだっていうような報道があったわけです。

それで、2013年11月にそれを受けて、Pervasive Surveillanceに関する議論が噴出したわけです。IETFっていうのは大きなコミュニティですから、IETFではどうするかというと、本当に政府の息のかかっているようなアルゴリズムを使うべきじゃなくてもっと安全なものを使うべきだっていうような視点に基づいて今、いろんな仕様の策定が進められています。

それで2014年の4月なんですけど、ここでHeartbleedという攻撃が出てきてしまいます。このマークは多分皆さん見たことはあるんじゃないかなと思うんですけど、何が問題だったかというと、脆弱なサーバに対してアクセスをした際にサーバのメモリ情報を痕跡を残さず持ってくることができました。

メモリ情報が取れるということは、一時的にサーバに使われる秘密鍵が入ってたわけですね。このバグっていうのは実は2年間放置されていて、その間に見つけた人は取り放題だっていうことで、実際にサーバの証明書の差し替えを頻繁に行っていました。

2014年6月は、これ日本の企業がやりました。レピダムさんがやりましたけれどもCCS Injectionと呼ばれるものになります。これもOpenSSLの実装上の問題で。CCSって何かというと、SSL/TLSにはハードシェイクを行うフェーズがあって、そこで「こういうアルゴリズムを使いましょう、こういう鍵を使いましょう」っていようなフェーズが。

その後、安心して暗号化するんだけれども、あまりにも同じ鍵を使ってたらちょっと嫌だなと思ったときに、このCCSっていうのを投げかけて、もう一回鍵を作り直そうよっていうものです。これをあるタイミングで投げるとまずい状況になっていくんです。

しかもこれがエンバグしてたのが1998年です。去年見つかったんだけど、1998年からこのバグはずっと残っていたのにOpenSSLが安全だというふうに思っていて。みんな枯れた技術だけど大丈夫だろうと使い続けたら、こういう結果になっているという事例になります。

ビットコインの攻撃に使われた手法「Malleability」

2014年9月は、これも「何だこれは？」って思われるかもしれませんけど、Safariとかで使われている暗号ライブラリです。

ちょっとおもしろいなと思ったのがこういうMalleabilityっていうものを使っていて、実はビットコインの交換所への攻撃で使われていた手法を使っています。要は、セマンティカリに同じデータなんだけど、確定的に書けないようなデータを取り込んだ場合にちょっと起こり得るような問題を使っています。

2014年10月は、POODLE attackがありました。

これ、画像はないです。最近は大きい脆弱性が出ると大体画像をつくったりするんですけども、今回これはなかったです。ここで何が起こったかなんですけど、ひとつはSSLが完全に死亡したっていう状況です。SSLは使っちゃいけないっていう状況になってます。

ただSSLでRC4を使うのはPoodle attackの影響は受けません。「じゃあ」っていうふうになりますけど、RC4はもうだめだと言われていて、今回のような問題が出るとやっぱり「SSLってだめだね」っていう状況になります。

それを受けて実際にサーバが移行していて、かつては99.9％対応していたものが、今はちゃんと落ちつつあります。あさって話すやつ（話者注：翌日から開催された情報処理学会全国大会）でもちょっと落ちてきているのが分かると思います。

それでこのPOODLE attackなんですけども、こんなに詳細はしゃべりませんけど、何が問題かを見てみます。

まずレガシーな環境で古いライブラリが使われていた場合というのがちょっと問題で。もうひとつはフィーチャーフォン。ガラケーのこと。ガラケーがちょっとやばくて、一応某社さんはTLSもしゃべれます。なので、一応大丈夫。それから別の某社さんも一応パッチをあてれば使えるんだけども、某社さんがまずくて。要は昔の枯れた技術を使い続けるとダメな事例になっていたと。

じゃあ、でもちょっとSSLに関してもう延命技術はないのかなと思っていろいろ検討はしていましたが、全然時間がないのではしょります。ごめんなさい！

それで、その弱い暗号を受け入れるサーバが実はたくさん残っていて、それを今の能力のマシンで解いてあげると筒抜けだったっていう状況なんです。また別の某社さんのところが結構やられてるんですね。それで……、もうやめよっか？（笑）

PKIの話をちょっとしないといけないんですけど、ブラウザで鍵マークが付いていたら安全だと思うんです。それってどういう仕組みになっているかというと、このルート証明書というものから当該サーバの証明書に対してたどれるかどうか。

たどるっていうのはどういう意味かというと、これを信頼することによって、こいつが署名を打ってあげて、これが信頼できてっていうふうに連鎖をするわけですね。

そのサーバ証明書を受け入れるっていうのは、このルート証明書を信頼するかどうかに拠ってるわけです。でもルート証明書の束をあなたたち多分いじってないですよね？　いじってないから、ちょっと悲惨な状況が起きていて、はしょりますけど、これです。

某メーカーのPCにプレインストールされていたマルウエアっぽいものがあったんですけど、アドウエアに近いのかな？　実はルート証明書のストアをいじっていたというのが事実になっていて。

あまり言えないけど、対策方法が一応公開はされているんだけど、それじゃ全然だめだという。追加対策を近々にしないといけないんですけど、まだちょっと準備ができていない状況です。

SSLサーバの利用状況

それからSSLの話もしないといけないんですけど、3分ぐらいしかないんですよね、もう。

（見せられないシートを指しながら）この赤いのは何だっていうと、実はまだ1024ビットのRSA鍵しか使っていないところが半分ぐらいあって、なんでこいつが高いんかなとかっていろいろ調べたりしています。それから、某サイトも一応調べました。どうやらSSLをまだしゃべっているらしいので、ちょっとこれはパッチをあてないといけません。とある大学も実は512ビットを使っているような事例が見つかっていて。

それから、マイナンバーの話もしないといけないんですけど、実は今回は省略させていただきます。なぜかというと、実は不幸なことにIPSJ-oneの裏になっちゃったんですけど、IT技術者にとってのパーソナルデータの扱い方云々っていうパネルディスカッションのものがあって。かなり濃ゆい面子です。

実はすごくタイミングがよくて、個人情報保護法の改正法が閣議決定された1週間後です。なので、皆さん絶対にこれはインプットしておくべきなんですけども、どちらに出席するか十分に悩んでください。

あと、ちょっと紹介するって話だったんで、いろんな研究会があって、それぞれ特色があるので、いろんなところに行きながらいろんな情報交換をしてくださいっていうのが一点。

それから、あとで資料を流しますけど、このくらい官公庁、NPOだとこの辺を見ておけばいいですよねということを言いたいんですけど、ちょっとだけ言わないといけないことがあってNISCがちょっと変わりました。サイバーセキュリティ基本法というのが成立することによって、内閣官房の組織がちょっと変わっています。

その場で課題を見つけて解決する力が必要

お金があるところに研究トレンドが流れるかもしれない。トレンドを押さえた研究をしていると就職先からお声がかかるかもしれない。世の中そんなもんです。あと、もうひとつおもしろいこと言っておきます。論文の最後を見るとそのファンドの怪しさによって、その論文の質がわかることもあります。

それから研究トレンドに関して、やっぱりちょっと変わってきてます。昔はコンテンツセキュリティとか結構あったんですけども、今、プライバシー関連がセッション的に多いですね。それからフォーマルメソッドが入って来てますね。

それからもうひとつ言わないといけないのが、自動車セキュリティっていうのがあります。これ本当にマッチポンプなんじゃないかなっていうふうに僕は思ったりするんですけども。要は、予算つけてこの分野に対して、生き残りがかかるようなことをするということですね。

最後、これだけはちょっと言っておきましょう。今、多分論文を書くフェーズになってると思うんですけど、要はどんな分野でもいいんです。一連の考え方とか方法論を学ぶ場所ですよ。これって企業の研究者目指している人は、その場で課題を見つけて解決していくという能力がないといけない。しかもマニュアル的に解決方法なんかないわけですから、その場で考えないといけないという意味で、今それを鍛えようとしているわけです。

だからどんな分野であっても方法論に当てはめてみて、今は自分の引き出しはなくてもやっていくっていう研究者になってほしいなということで、私の発表は以上です（話者注：もちろん引き出しがあった方がいい。専門外だと思える衣類も引き出しに入れておいてください）。

そうだ、一応「といかけ処」にいます。それから基本的に「語らい処」にはいることにするということと、あとはノベルティを50個ぐらい持ってきたので、声かけてください。あげます。以上です。

司会：須賀様、ありがとうございました。盛大な拍手をお送りください。