世界最大級の情報セキュリティに関するカンファレンスであるBlack Hat USAおよびDEF CONが今年もラスベガスにて開催されました。最新の情報セキュリティ動向のキャッチアップを目的として、ユービーセキュアから3名が参加しました。

ユービーセキュアでは過去数回これらのイベントに参加していますが、新型コロナウイルスの蔓延によってイベント自体が一時期オンライン開催になっていた影響もあり、2019年以来、5年ぶりの現地参加となりました。

プロフィール

hatoriサイバーセキュリティコンサルティング事業本部 羽鳥 拓也


開発エンジニアとして社会人としてのキャリアを始め、情報処理安全確保支援士合格後、サイバーセキュリティの道に。母国語はRubyと日本語。

 

坂梨_profプロダクト事業本部 プロダクト開発部 坂梨 元軌


通称ナッシー。関東地方に生息しているプロダクト開発エンジニア。より良い脆弱性検査ができるように日々プログラムとバトル中。好物はRubyとTypeScriptとMalbolge。

 

suzuki_profileプロダクト事業本部 プロダクト開発部 鈴木 魁斗


2021年に新卒入社後、Vexのシグネチャ開発に従事。自称フィードジャンキー。

 

hatoriサイバーセキュリティコンサルティング事業本部 羽鳥 拓也


開発エンジニアとして社会人としてのキャリアを始め、情報処理安全確保支援士合格後、サイバーセキュリティの道に。母国語はRubyと日本語。

 

坂梨_profプロダクト事業本部 プロダクト開発部 坂梨 元軌


通称ナッシー。関東地方に生息しているプロダクト開発エンジニア。より良い脆弱性検査ができるように日々プログラムとバトル中。好物はRubyとTypeScriptとMalbolge。

 

profile_menプロダクト事業本部 プロダクト開発部 鈴木 魁斗


2021年に新卒入社後、Vexのシグネチャ開発に従事。自称フィードジャンキー。

 

Black Hat USAとは

Black Hat USAは、世界最大級の情報セキュリティに関するカンファレンスの一つです。

毎年アメリカ ラスベガスで開催されており、今年のBlack Hat USAは8月3日から8月8日の6日間にわたって、Mandalay Bay Convention Centerで開催されました。

8月3日から8月6日はTrainingsと呼ばれるハンズオンが実施されており、8月7日、8日は最新の研究成果や脆弱性、ツールなどが発表されるBriefingsや、各ベンダが出展するブースにて最新のソリューションが展示されるBusiness Hall、最新のオープンソースツールのデモが行われるArsenalなどが実施されました。

ユービーセキュアからはハンズオンの参加メンバーはいなかったため、8月7日からの参加になりました。

現地の様子

Briefings

img01Briefingsはセッションごとにホールが分かれており、並列で複数のセッションが行われています。

Keynotesが公演されるメインホールは1万人規模のコンサートホールと同じくらいサイズがあるうえ壮大な演出もあり、サイバーセキュリティのイベントに参加していることを忘れてしまいそうでした。

筆者らが現地で聴講して特に気になったセッションは後述します。



Business Hall

img02なかなかお目にかかれない規模のブースがこれでもかと出展されていて、お祭りのような雰囲気になっていました。

現地の方々も英語ネイティブではない人との会話に慣れているからか、筆者らのつたない英語でも何となく意図を組んでくれ、親切に製品についての説明をしていただけました。




img03img04

また、各社ノベルティにもかなり力を入れており、ステッカーやお菓子はもちろん、Tシャツや帽子にその場でプリントして配っていたりフィギュアを配っていたりと、多種多様なものがありました。

個人的には、冷蔵庫に入れたステッカーを "Cool Sticker" と言って配っていたのがツボでした。

img05

気になったセッション

Briefingsの中で興味を惹かれたセッションをいくつか簡単にご紹介します。
それぞれの詳細は今年のVexユーザーカンファレンスで発表&後日ブログ記事化する予定ですのでお楽しみに!

Splitting The Email Atom: Exploiting Parsers To Bypass Access Controls

メールアドレスの構文は古いRFCに基づいている場合もあり、引用符、コメント、UUCPのサポート有無、etc...のような特殊な構文を許容することで、意図しない解釈が発生することがありえます。

同様に、Unicodeオーバーフロー、Punycode、RFC 2047のエンコード指定構文を使った入力値バイパスも可能です。

結果的に、意図しないドメインとしてメールアドレスを識別させることができ、ドメインに依存したアクセス制御をバイパスするなどの悪用が可能であることが指摘されていました。

Got ta cache 'em all: bending the rules of web cache exploitation

キャッシュサーバーは特定のキー(多くの場合はURLパスやその一部)に紐づけて静的なファイル(CSS等)のレスポンスを保存します。

URLのデリミタはRFCで定義されていますが、サーバーの実装によってURLのパースで解釈されるデリミタは異なることがあり、あるWebサーバでは静的ファイルとして扱われるURLが別のWebサーバでは扱われない、といったことが起こり得ます。

このようなURL解釈の不一致を悪用し、ウェブキャッシュ偽装を実現できることが指摘されていました。

DEF CONとは

img06DEF CONはBlack Hat USAと同時期に開催されるもう一つの大きなセキュリティカンファレンスです。
今年の DEF CON 32はLas Vegas Convention Centerで開催されました。

DEF CONでは分野ごとに『Village』が作られており、それぞれのVillageで展示物や発表、CTFが行われています。

Black Hat USAが講演や企業ブースでの製品紹介がメインでビジネス色が強いのに対して、DEF CONはセキュリティ好きのギークが集まった『お祭り』といった雰囲気です。

会場には、ニワトリのおもちゃ(Shrilling Chicken)のコスプレをした人や頭の上の機器から謎の電波を飛ばしている人、防毒マスクをつけた人など『怪しい』人も多数おり、セキュリティに特化したコミケ(時期も被っていますし)とでも言えるような空間でした。

休憩スペースにある机には各団体が自由にステッカーを置いて配っており、当社のゼイジャッキーのステッカーは種類も多く非常に人気でした。
ステッカーを自由に貼れるスペースにもゼイジャッキーをペタリ。

img07img08

会場の様子

前述の通りDEF CONには分野ごとに複数のVillageがあり、AppSecやRed Teamなどの定番と呼べるものからAerospaceやLockpickなどユニークなものまで様々なVillageが存在します。
ここではいくつかのVillageとその他エリアをピックアップしてご紹介します。

img09Packet Hacking VillageにはDEF CON名物であるWall of Sheepのボードが今年もありました。これは運営が設置しているフリーWiFiに接続した状態で暗号化されていない通信を行うと、IDやパスワードなどの認証情報が晒されるボードです。

※本記事上ではマスクしていますが、会場ではlogin, domain_ip, cookie/hash 部分も見ることができました。

Car Hacking Villageでは、名前のとおり車をハッキングするCTFが開催されており、当社と同じくNRIセキュアのグループ会社であり自動車のサイバーセキュリティを専門とする株式会社NDIAS(エヌディアス)のメンバーが今年も挑戦していました。昨年の様子はこちら

img10img11

img12Lockpick Villageでは専用の道具を使ったピッキング体験をすることができました。適当にガチャガチャしていれば解錠できるものから、慎重にシリンダーを操作していく必要があるものまで様々な難易度のものが用意されていました。

※ピッキング用の道具(特殊開錠用具)は、正当な理由なく所持しているだけで日本では違法です。







img13img14
限られたサイズと枚数のアルミホイルを使って、できるだけ電波を遮断する帽子を作るコンテストも行われていました。遮断率が高いほうが勝ちです。頭頂部からアンテナを生やして電波を空中に逃がすのがコツだと教わりました。

img15レトロPCに触れるエリアもあり、デスクトップには当然のようにPCをクラッシュされるHTMLが配置してありました。懐かしのスクリーンセーバーも発見!

その他、物販エリアもあり、電波を解析するツールや逆に電波を完全に遮断するリュックなど、ユニークな製品が多数販売されていました。

今回は筆者らがDEF CON初参加だったこともあり色々なVillageを周っていましたが、NDIASの方々のように一つのCTFに集中的に挑戦するという参加方法も別の楽しみ方ができそうだなと感じました。

 

終わりに

Black Hat USAおよびDEF CONに現地参加することには物理的距離や言語のハードルは少なからずあるものの、日本では体験できないであろう規模の大きさと内容の濃さに大きな刺激を受けることができました。あの熱量を直接肌で感じることができるのが現地参加の最大のメリットだと思います。

当社では今後もこういったカンファレンスへの参加などを通して最新動向の調査を継続してまいります。

 

新規CTA

新規CTA

Webアプリの脆弱性検査ツール「Vex」

新規CTA