REPORT

イベントレポート

米国最大級のセキュリティ・ハッキングイベントに潜入!BlackHat USA 2015/DefCon23

2015年8月1日から6日、ラスベガスで開催されたセキュリティカンファレンス BlackHat USA 2015及びDefCon23に参加しました。BlackHatは、米国最大級のイベントで、特に最近のセキュリティ事故や脆弱性を突いた攻撃検証、最新技術の中に見る攻撃手法の可能性など、攻撃者側の目線が盛り込まれているイベントです。それに続くDefConは、ハッキングカンファレンスと呼ばれ、開催中たくさんの技術オタクの方々が参加し楽しむパーティのようなものです。

今年は、IoTなど様々なものがインターネットに繋がって行くことを受けて、車や産業システムのハッキング、そしてデータを基にしたセキュリティ取り組み姿勢の変革などが大きなテーマでした。その他、ランサムウェアやAndroid系の脆弱性やハッキング、既存ベンダー製品の攻撃などが話題の中心でした。このレポートでは、BlackHatとDefConの模様を少しだけお伝えします。

参加者約12,000人、102カ国からの参加

米国最大級のイベントと言われるだけあって、参加者の多いこと。BlackHatではビジネスに関係する方々が参加していましたが、DefConの方になるとよりディープな技術オタクなど、参加者層の違いが面白かったです。

foreign01_img01
▲BlackHat会場 熱気ムンムン(古い?)です

foreign01_img04
▲ほとんどカオス DefCon会場にて

「自由さが失われつつある」!
ジェニファー・グラニック氏による基調講演

BlackHatでの基調講演です。彼女自身、長くDefConに参加しており、それらを通じて「役割が中央化しないことで様々なムーブメントが離散的に生まれ、自由に技術やデータにアクセスしよう」というハッカーの倫理を理解して気ました。しかし現在は、より規制遵守で、役割が中央化し、グローバライズを優先するようになってきた。それにより様々な技術を自由にハッキング(使い倒して)みようという気運が無くなってきていると警鐘をならすスピーチでした。

foreign01_img05
▲ジェニファー・グラニック氏基調講演

時代が移り変わると共に、コンピューターやデータ、インターネットの価値が変遷しています。今とこれからの時代に必要なフィロソフィはどういうものかを考えるきっかけを与えてくれたスピーチでした。

日本人も3名出展!セキュリティツール展示「アーセナル」

攻撃者目線の多いセキュリティイベントだけあって、侵入ツールやシミュレーターなどに興味を持つ人が大勢いました。この展示場では、セキュリティ専門家による、自作ツールの展示及びデモを実施しており、日本人も3名出展されています。

Openioc_Scan (Takahiro Haruyama – IIJ):
ネットワーク侵入検知のためのメモリイメージのスキャンツール

ShinoBOT (Shota Shinogi – Macnica):
2013年に日本人で唯一BlackHatに展示。標的型攻撃シミュレーター

SPHINX (Takehiro Takahashi):
複数台のコンピューターに渡ってリアルタイムに挙動監視できるツール。

foreign01_img02
▲自作ツールのデモ会場「アーセナル」(残念ながら日本出展者写真が無い!)

セキュリティのコミュニティに、ツールを提供することで貢献する参画の仕方。この業界での評判や知名度を得るために重要な活動になっているのかもしれませんね。

全力でハッキングしよう!CTFに参加

CTF(キャプチャー・ザ・フラグ)はハッキングのチャレンジをするイベントで、お題が与えられ、その問題を解いていって、一番多くポイントを稼いだ人が優勝するというものです。1つだけご紹介。

ミッション:投資家のYahirが、ロサンゼルス空港にて取り押さえられ、テロリストとの関係を疑われている。既に解放されたが、彼の証言によると、既にテロリストは爆弾をどこかに輸出している様子である。FBIは彼のAndroid携帯のバックアップを取っているが、既に解放しているため、証拠はこのバックアップしかない。

さて、第1問、彼が直前に連絡を取っていた人物を特定せよ。
第2問、その人物が何らかの輸出情報をPDFで添付している。輸出業者を特定せよ。
・・・と続き、最後には、爆弾の解除コードを入力し、終息させよ。

私が参加したものは、ハッキングツールを実装したOSとして有名なKali Linuxを用いて、エンコードを変換したり、Androidのコードそのものを変更したりと、様々な知識を問われました。このようなイベントが、BlackHat、DefConでは無数に開催されています。これを目当てに参加している人がほとんどのように見えました。私も来年はもっと参加したいです。

攻撃側・守備側どちらも興味津々!講演セッション

BlackHat、DefConともに、連日数多くの講演セッションが実施されました。このセッションでは、発見した脆弱性や、ハッキングのデモが公開され、時に新聞で取り上げられるようなハッキングまで様々です。例えば、Bluetooth機能搭載のライフルがハッキングされることで、遠隔で操作が可能になる(恐ろしい!)といったものも。

DefConでのハッキングのデモ:YouTubeビデオに連続投影されるQRコードを読み取り、画面からPDFを取得する。

ハッキングだけでなく、ハードウェアセキュリティの紹介や、データ・ドリブンのセキュリティ対策の実践例など、セキュリティ周りの幅広いトピックが扱われていました。深いところまで行くと、コンピューターサイエンスや数学の分野が大活躍します。技術が何によって裏打ちされているかを肌で感じました。

最後に

セキュリティを中心とした、趣向の違う2つのカンファレンスに参加しました。DefConには早朝5時半から並んで、8時くらいにチケットがようやく買えるくらいの人気ぶりでした。そのように巨大なコミュニティがあり、そこの一員となることでもっと見えてくる世界があるのではと思っています。来年はその領域まで踏み込んでお伝えしたいと思います。また企業においては、インターネットに提供される全てのデータを活用し、いかにセキュリティゲームを展開するか、それが問われる時代になってきていると感じました。

hashiguchi

この記事を書いた人
橋口 正樹 @GUCCHOG
ソフトウェア開発者。ITセキュリティ技術者の駆け出しとして勉強中。最近の興味は、Raspberry Pi、meteor、docker