----------------------------------------------------
議長：三輪(BUGTRAQ-JPモデレータ)
ログ：糸井
参加人数：30人程度
----------------------------------------------------
                  

1. セキュリティホールに対する各ベンダーの対応
   • 米Microsoft(1)
     7/26 報告
     8/16 パッチリリース
     #対応は早いが日本の窓口はない
   • 米Microsoft(2)
     10/30 報告
     12/07 パッチ完成
     #OSのマルチユーザ対応が未熟
   • 米Netscape
     8/31 報告
     10/13 パッチリリース
     #受付の窓口対応は早いが、技術の対応は遅い。
     #報告者に対してパッチリリースの報告なし。
     #ユーザに対してもアナウンスしないなど道義的に問題あり。
   • True North Software
     12/2 報告
     12/9 数週間かかるので発表しないでほしいとの連絡
     #まだ未公開だが、他の人から公開されるのは時間の問題か。
2. セキュリティホールはなぜなくならないか？
   • サーバ製品をインストールして探すと出てくる
     ->メーカはテストをしているのか？
   • バッファーオーバーフロー対策が出来ていない
     ->strcpyを使う
     ->Lengthチェックをしない
   • デフォルト値が悪い
     ->セキュアな設定に対して興味が薄い
     ->デフォルトパスワードが空白など
   • 侵入検知システムに侵入される
     ->製品としてのレベルが低い
   • 製品を選ぶ基準がセキュリティではなく値段
3. 日本でのセキュリティホールの現状
   • 日本のメーカは米メーカと違って対応に慣れていない
     ->対外的なイメージばかり気にする
     ->報告することでメーカにかかる圧力が少ない
   • セキュリティホールを報告しづらい
     ->報告することで本人が攻撃を受ける
     ->訴えた人の方が損をする
     ->訴訟を起こしても企業が勝つ
     ->発見しても報告しない人は多いかも
     ->Anonymousで投稿できないか?
     ->はがきで報告すれば、ログが残らなくていい!?
   • セキュリティに対する意識が低い
     ->企業において正しく予算が配分されていない
     ->新聞やニュースで取り上げられないと、真剣に取り組まない
     ->身を守る為に身につけた知識に対して批判される
   • セキュリティホールを探す人が少ない
     ->米では元ハッカーが設立した会社が多くバグを見つけることが宣伝効果に
   • システム管理者が忙しい ->米では待遇がよいが日本では重要な仕事である認識が低い
     ->他の業務と兼業でやっている人も多い
   • 不正アクセスの被害者はJPCERTになぜ届けないか
     ->企業としてのたてまえから報告しない
   • 不正アクセス防止法案によってどうなったか？
     ->ISP、システム管理者の責任・仕事が増えた
     ->犯人を捕まえるには現行犯しかない
     ->本気で不正アクセスする人は、捕まらない
   • 常時接続の普及
     ->日本でも常時接続の敷居が低くなってきた
     ->国産ルータは大丈夫か？ #案外大丈夫という声も
     ->CATVインターネットでのセキュリティレベルの低さ
   • 日本を不正アクセスから守るには？
     ->政府がまとめてサーバ管理する
     ->日本のバックボーンをフィルタリング
4. BUGTRAQについて
   • anonymousで投稿できないか
     ->モデレータに知らせ、anonymousで投稿してもらう
   • BUGTRAQを一般に啓蒙することは？
     ->セキュリティの意識を高めるのによい
     ->日経の「私の履歴書」に三輪さんが登場すればよい
     ->あまり意味がない(設定する人さえ知っていればよい)
   • 米BUGTRAQ
     ->情報が氾濫しすぎ
     ->情報を検証しないでDBにのせている

  ----------------------------------------------------
  議長：坂井(SecurityFocus News Letter 翻訳者)
  ログ：坂井
  参加人数：30人程度
  ----------------------------------------------------
                  

• DEFCON7 レポート
• フリーディスカッション
  • なぜBUGTRAQ本家のように発言がないのか
  • Exploitコードはなぜ日本産が少ないのか?

• 1992年から開催
• もとは好き物が集まる集会
• 今年で7回目
• http://www.defcon.org/ から最新情報が入手可能
• ネクタイを締めたような人はいないが、自称ハッカー、政府関係者、技術者など様々な種類の人間が集まっていた
• 割と大きなホテルを借りきって会場にしていた
• 会場にはネットワークも来ていた
• BackOrifice 2000の発表があったため、CNN等のメディアが取材に来ていた
• メディア向けのプレスセンターも準備されていた
• こっそりメディア関係者の振りをして忍び込んだ
• BOFは質問が活発
• 参加者は若者が多い
• 突発的に開かれるセッションもあった
• 坂井の感想では、あやしい人/ふつーの人/固そうな人の比率が1/3づつぐらい
• BO2K の作者の一人 Count0 にインタビュー。彼曰く、「BO2K はホビー」(これに坂井は「椅子を投げつけてやろうかと内心思った」)
• 最初の DEFCON は細々としていた

DEFCON主催者の弁によると「公安が踏みこんでくるのでは」という危惧があった。

• Exploitコードはなぜ日本産が少ないのか?
  • Expolitに対する意識が日本では古いのでは?
  • どうやったら意識を高められるか?
  • 良いExploitを書くためには良いソースをみることが大切
  • しかし他人にわからせるのは難しい
  • ドキュメントが英語なのが問題ではないか
  • 新しいものを扱うには英語は避けられないだろう
  • 問題のあるアプリケーションがなぜそのまま流通するのか?
  • ダメだししてそのまま、という例も多い
  • 英語版では修正されたものが日本語版ではfixされないことがあったりする
• なぜBUGTRAQ本家のように発言がないのか
  • 情報の集りが偏っているのではないか
  • どんな情報が流通するのが良いか?
  • 本家にあるような、セキュリティのありかた的なものの議論なども良い
  • セキュリティチェッカの一覧のような情報の公開は危険?
  • すでに広く知られているものをまとめただけだから、むしろ公開すべきでは
• Security Focus翻訳に関して
  • 日本ではつかわれていないようなソフトの翻訳は必要か?
  • 知らないところで使われているような状況もあるので、できるかぎり翻訳するように今は心がけている/li>