Cyber SecurityサウナJapan
エピソード #10: 2023年のBlack Hat / DEFCONについて
エピソード #10: 2023年のBlack Hat / DEFCONについて
サウナのようにホットなセキュリティトレンド、テクノロジー、インサイトをお届けするポッドキャスト『Cyber SecurityサウナJapan』。第10回目は、今年の8月にアメリカ・ラスベガスで開催されたセキュリティカンファレンス『Black Hat』と『DEFCON』でのウィズセキュアのセッションや、こうしたイベントの傾向についてお話ししています。
エピソード #10はこちらからご視聴ください。
スクリプト:
河野:
みなさんこんにちは、あるいはこんばんは。『Cyber SecurityサウナJapan』へようこそ。このポッドキャストでは、サイバーセキュリティに関するサウナのようなホットなトピックをお届けします。
ホストを務めるのは、ウィズセキュア株式会社法人営業本部 河野真一郎と
トゥオミ:
サイバーセキュリティコンサルティングのアンッティ・トゥオミです。
河野:
アンッティさんと久しぶりに開催する『Cyber SecurityサウナJapan』になります。
トゥオミ:
そうですね。
河野:
『Cyber SecurityサウナJapan』は毎回アイスブレイクで、最近の「サウナ行った」という話っていうのをしているんですが、河野は7月末に秋田県の田沢湖に行ってきまして。田沢湖の近くにテントサウナを張って、その後サウナと湖ダイブするっていう、夏サウナやってきました。今まで行ったサウナのあと飛び込んだ湖では一番でかいところだったんですけど、アンッティさんは今年の夏のサウナ、夏休みとかどこか行きましたか?
トゥオミ:
そうですね、ちょっとヨーロッパに旅行で行って、そこでフィンランドで久しぶりにサウナ浴びましたね。友達の家の、一戸建てまではないですけど、一戸建てみたいなもののシャワールームにサウナが入ってる感じで浴びてきましたし、ちょっと父のマンションの共有サウナも浴びました。結構良かったですね。湖はないけど、あとは水風呂もないですけど、ベランダでビール飲みながら体を冷やしてました。
河野:
フィンランドで夏のサウナっていうと、湖とか川の近くにコテージがあって、みんなでサウナと一緒にバカンスするってイメージがありますけど。アンッティさん、今年の夏はそういうのは行かなかった?
トゥオミ:
ちょっといろいろスケジュールが忙しくて、大体友達の家とかっていうところで浴びましたが、ちょっと行ったノルウェーのオスロ市に行って、そこでは実は海に飛べるこういういくつかのサウナが入ってるところがありました。それが結構見た目が良かったですけど、ちょっと残念ながらスケジュールのことで、あんまり入れなかったですね。
河野:
アンッティさんとまだ一緒にフィンランド行ったことがないので、ぜひアンッティさんと一緒に、フィンランドに行って、『Cyber SecurityサウナJapan』を収録したいものです。
トゥオミ:
はい。
河野:
っていったところで今回のエピソードなんですが、2023年8月にアメリカのラスベガスで開催されていたセキュリティカンファレンス『Black Hat』や『DEFCON』で、ウィズセキュアはどんなことをやってきたのかってお話と、それに対するフィードバックやコメントをアンッティからもらおうと思ってます。
今年2023年はウィズセキュアではDEFCONで4つほどセッションやイベントを開催しているっていうところがありました。
1つ目を取り上げると、Aled Mehtaって方がですね、『Exploring Azure Service Tags and Their Impact』といって、クラウド環境Azure環境に対するセキュリティバウンダリに関するセッションを担当。
組み込み系っていう観点でいくと、Miłosz GaczkowskiさんとWilliam Taylorさんが、映画みたいなタイトルで、『Per-mission Impossible』っていうタイトルでExploring the Android Permissions Model and Intentsといったところをやってました。
3つ目のセッションとしては、Katie Innsさんが『HL7Magic: Medical Data Hacking Made Easy』という医療系のデータハッキングに関するセッションといったところを行ってました。Katie Innsさんはメインステージでのセッションとなってますね。
最後のセッションとしては、ウィズセキュア主席研究員、Mikko Hypponenが『Living Next Door to Russia』というタイトルで、かなり大きめのセッションを開催し、またMikko Hypponenはサイン会などをやってたっていう感じで。
セキュリティベンダーとしてDEFCONで4つほどセッションを持ってるってのは結構大きいところなんじゃないかなというふうな印象を、営業的には考えたものでございます。1つ気になったところとしては、こういったアメリカや世界各地で開催されるセキュリティイベント、DEFCONやBlack HatではCapture the Flag (CTF) に参加する人もいますが、ウィズセキュアはセッションの担当、講師として説明する、何らかの講演を行うといった参加が主となってると思うんですが、アンッティさん、これって何か理由はあるんでしょうか?
トゥオミ:
はっきりした理由は多分ないですが、いくつか推測できるところとか、ちょっと習慣的なところはあります。その中で1つ目はですね、少なくとも私が知っている人たちは大体、例えばフィンランドの同僚たちとかフィンランドのコンサルタントは国内での実物のCTFとかに参加していることが多いですね。
例えば1つの事例を申し上げますと、フィンランドでのLähiTapiolaという保険会社が大体実際に提供されているITシステムとか、実際の例えば保険で付いているこういうセキュリティカメラとか。そういうことの実際のセキュリティ診断的だとか、CTF的なコンペをいっぱい行っていて、そういう実物のCTFに国内で参加することが多いですね。そういうことでわざわざ海外にCTFに参加するために行ってたりとか、国内でのものとかはリモートで参加できることとか、そういうことの方がちょっと金額的にも安いですし、ちょっと気軽に参加できるっていうのは多分1つの理由ですね。
あとはですね、ちょっとある意味でこういうハッカーカンファレンスといえば、Black HatだったりDEFCONだったりすると、1つのそもそものハッカーマインドセットの1つはですね、情報を共有するということもありますよね。自分で遊びに行くよりは、ちょっと自分が研究したものとか自分が行ったリサーチを公開することも1つの重要なトピックですね。
時間をかけて、例えば医療系、ヘルスプロトコルのHR7についての研究をしたら、やっぱりそちらをちゃんとした発表にしてそれを講師として提供するのも1つの重要なポイントですね。自分が行った研究に意味がありましたとか、価値がありましたっていうこともありますね。それにあたって、世界的にそういうちょっとよく知られてないプロトコルとかについての情報を提供しますと、世界的にちょっとセキュリティが向上できるんではないかというという観点もあります。最後にもう一つの理由としてはですね、大きな理由ではないですが、例えば本社がヨーロッパの会社としてはですね、こういうドイツとかCCCとか、そういうタイプのちょっと大きめのハッカーカンファレンスの、さらにこういうアメリカでのハッカーカンファレンスがありますが、アメリカに行くのは切符が高いですよね。物価も高いですよね。なので、しっかりそういうリサーチが、リサーチペーパーが受けられたら、その切符の値段とかも納得できますよね。会社として説得性がありますよね。なので、しっかり働いて講師をできるリサーチを提供したら、切符も買ってもらうっていう理由もあるんじゃないかなと思います。
河野:
なるほどそうなんですね。今アンッティさんの話聞いて思ったんですけど、やっぱり日本のセキュリティ系の人たちからこういったアメリカのDEFCONとかBlack HatのCTFっていうのは注目も集めてるし知名度高いと思うんですが、ヨーロッパやフィンランドでは、金融の会社や保険の会社みたいなエンドユーザーがCTFを主催して、さあテストしてみなさいってのは結構あるんですか?日本ではあまり聞かないなと思って。
トゥオミ:
そうですねそういう意味ではすごく多くやっているということはないですが、例えばLähiTapiolaはフィンランドで初めてエンドユーザーさんとしてバグバウンティを公開した会社になっていますので、そういう傾向が多くなってますね。大体毎年少なくとも4社ぐらいは少なくともフィンランドだけでも、こういうCTF行ってますので、そういう意味では国内のイベントも結構ありますね。
河野:
ちなみにそのヨーロッパの金融系の会社がCTFをやった場合、見つかった脆弱性や、それに対する修正方法っていうのは、一般公開されるのか、それとも主催の会社に対してレポートして出すのかってのは、どういう仕組みになるんですか?
トゥオミ:
そうですね基本的にバグバウンティ的なことになっていますので、見つかったバグに対して、実際にそのエンドユーザーさんが提供しているシステムでの脆弱性ですと、社内で対策しておくということになりますが、それ以外の部品についてはですね、そのベンダーの許可をもらってバグバウンティ扱いされるという認識ですが。ちょっともちろんコンペティションとかCTFによります。
河野:
バグバウンティの話はよく聞くんですけれど、CTFとしてそういう開催されてるんだなっていうのは参考になる情報だったのと、私も日本国内でそういうことをやってるエンドユーザーさんがいるのかどうかってのは今度聞いてみようなというふうに思いました。
トゥオミ:
もう1つ補足ですが、もちろんそういうバグバウンティ扱いは脆弱性ごとになりますが、最後にそのあの一番多くのCTFボードみたいな、ボードが集まって一番多くとか、知名度の高いものを見つけたチームにもちろんそういう何かの報酬をあげるということもありますので。単なる一緒にバグバウンティやりましょうということではなくて、チームの評価に基づいて何かのプライズをもらう、という形もありますね。
河野:
私はDEFCONに行ったことがないんですけど、今回ウィズセキュアがセッションを担当した会場。Katieさんはメインステージで、Miłosz GaczkowskiさんとWilliam TaylorさんのAndroidセッション、あとAled MehtaさんのExploring Azure service tagsはVillageって会場でやってたんですが、メインステージとVillageっていう会場、これ会場ごとにセッションの内容とか違うものなんでしょうか?
トゥオミ:
実は私もちょっとCOVIDが流行ってからあまりBlack HatやDEFCONには行かれてないですが、基本的にこのDEFCON方は、例えば一般的なこういうセキュリティカンファレンスに比べるとそういうコミュニティ的なイベントですね。つまりこういう講師がやっているセッションもありますが、いろんなビレッジですね。例えばE-Voting Villageで実際の投票のための機械が集まって、それらについてのハッキングはやってて、やっててもいいとかそれらについての情報を提供しているあのセッションがあったりしますとか。こういうタイプのVillageがいろいろありますので、実際に自分でもやることができますし、情報共有とかそういうことができるというところになってますので、このAndroid PermissionとAzure Service Tagについては、Villageの方で行ってましたね。その一方で、メインステージとかトラック2の方ですね、これはその一般的なセッション講師がステージに乗って語るもの、というタイプのセッションになってますので、比較的一般的なものになってますね。個人的にはこの特にDEFCONは雰囲気的には本当にそういうハッカーのちょっとサイバーパンク的とか、そういうスーツでカンファレンスで入るよりは、完全にこういうパーカーを着てもうMohawk (モヒカン) の髪型やってるところとか、本当にそういうちょっとパンクな雰囲気ですので、結構個人的に気に入ってます。
河野:
ウィズセキュアが担当してるセッションの中で、Villageでハンズオンみたいに実際に講義してみましょう、実際に手を動かしてみましょうとセッションを受け持ってるってのは、非常にウィズセキュアらしいなって印象を感じました。
トゥオミ:
あとは1つ補足ですが、Black Hatとかは大体そういう、まあベンダーも多くてある意味でちょっとしっかりしてるところですが、そこでももちろん勝手に認証なしでWi-Fiに入ることはあんまり推奨できないですが、逆にDEFCONの方はですね、しっかり自分の端末とか守った方がいいですね。Black HatよりはDEFCONの方が実際のブラックハットの人が多いですね。
河野:
へえそうなんですね。知りませんでした。
トゥオミ:
はい、危ないところもありますね。昔ですね、ちょっとこういうWall of Sheepというところがあってこういう暗号化せずに入っているプロトコル。例えば、FTPだったりHTTPとかI2Cとか、そういうことで接続している公開Wi-Fiで接続している人の名前とかユーザー名とか、そういうことが公開されるプロジェクターで、あの壁に映ったところもありましたので、かなりそういう本当のちょっとブラックハット目の感じですね。結構面白いですけど。はい、皆さん、あのしっかり気をつけてください。
河野:
DEFCONに何人かお友達が行ったんですけど、アメリカでご飯食べるのどこがいいの?とか、どこの宿がおすすめなの?って話は事前に聞いてたんですけど、実際に行った人の感想はあまり聞けなかったんで、アンッティさんのお話は嬉しいです。ありがとうございます。
河野:
今年は日本を飛び越えて、フィンランドでも収録してきたこのポッドキャスト。2023年の後半に向けて引き続き頑張っていきます。みなさまのポッドキャストの視聴と旧Twitter、今のXですね、とかでこのポッドキャストについて投稿してることを待ってますね。そして、ウィズセキュアはですね、またしてもサウナノベルティを作ってしまいました。今回のノベルティは、すいませんポッドキャストなんで見せられないんですけど、アウトドアテントサウナに最適な、『Cyber SecurityサウナJapan』サコッシュです。サウナハットやタオル、小銭を入れてサウナへ持っていける、ちょっと小さい小袋。ポッドキャストを聞いているみなさまへのプレゼントキャンペーンも後日、旧Twitter、今のXでご案内しますね。
それでは本日もウィズセキュアの河野真一郎とアンッティ・トゥオミがお話しいたしました。みなさま、またどこかのサウナでお会いしましょう!
トゥオミ:
はい、また今度ですねー!
Cyber SecurityサウナJapan エピソード#10はYouTubeでもご覧いただけます。
https://youtu.be/ncgnUesbJtc