ラスベガス現地参加Highlight of DEFCON 31
前回Black Hatの現地参加についてご報告しましたが、Black Hatの直後に開催されたDEFCONにも参加しましたので、少し時間が経ってしまいましたが、レポートしていきます。
DEFCONの概要
Black Hatとほぼ同時期に開催される世界最大級のサイバーセキュリティカンファレンスの1つです。Black Hatは研究成果の発表が行われるBRIEFINGSだけでなく、企業の見本市や商談の場であるBUSINESS HALLがある商業イベントであるのに対して、こちらは、世界中のハッカーが集まる”ハッカーの祭典”と呼ばれるカンファレンスです。実際会場は、かなりカオスな雰囲気でコスプレ姿や着ぐるみを着た参加者も多数、お酒を飲みながら参加もできるのですが、酔っ払ってセキュリティに介抱されている姿もチラホラといった感じです。
DEFCON31は、8/11〜13とBlack Hatの翌日から3日間の日程で開催されました。会場は、CAESARS FORUMをメイン会場として、Flamingo、Harrah‘s、LINQの3つのホテルも合わせて4会場使って開催されました。
DEFCON会場で投影されていたサイバーパンク感あふれる特大のイメージ。
DEFCONは、研究成果の講演やツールのデモだけでなく、多くのWorkshopやセキュリティコンテストのCTF(Capture The Flag)が行われることでも有名です。講演やWorkshop、CTFなどは、DEFCON自体が行うものとVillageと呼ばれるセキュリティのジャンル毎に別れたグループが行うものがあります。
今回、筆者は、講演を中心に参加したのでその一部をご紹介します。
Official Talk
DEFCONのメイン会場で行われる大規模な講演をOfficial Talkといいます。その中から2つほどご紹介します。
Look Ma I’m the CEO! Real-Time Video and Audio Deep-Fake!
リアルタイムのDeep-Fakeで映像と音声を変化させるという技術の発表でした。実際に、講演者のPCカメラからの映像と音声がDEFCONの主催者ジェフ・モス氏にリアルタイムに変換されて投影されるデモが行われました。この技術には、まだまだ制限があるということでしたが、十分に動作するということがデモで明らかになりました。ソーシャルハッキングのゲームチェンジャーになる可能性があるという講演者の主張は納得できるものでした。Deep-Fakeの検出技術を向上させることで対策が可能だという事でした。
The Art of Compromising C2 Servers: A Web Application Vulnerabilities Perspective
様々なマルウェアを遠隔から制御するC&Cサーバ(Command & Control)のWebアプリの脆弱性を利用して侵入して、管理者権限を奪取。そこで、コントロールパネルのスクリーンショットや管理するボットの数を調査した結果について講演していました。
Look Ma I’m the CEO! に関しては、ポップな口調でおもしろおかしく講演していましたが、講演者いわく「AIの専門家では無い自分でも開発が可能だった」ということで、ソーシャルハッキングのゲームチェンジャーになりうると感じました。The Art of Compromising C2 Serversは、The DEFCONという感じの内容で、個人的に大好きな内容です。日本でやると不正アクセスで100%逮捕されてしまうわけですが、逮捕されないからと言って、おいそれとはできない内容です。
こちらは、最も大きな講演会場でのオープニングリマーク。主催者のジェフ・モス氏がまるで豆粒の様。
複数あるOfficial Talk会場の1つの様子です。ここでもプレゼンターの後ろにはサイバーパンク的なイメージが投影されています。
Village
様々なVillageを回ったのでその内容もいくつかお伝えします。Village TalkというVillageで行われる講演会についてです。
The Dark Playground of CI/CD: Attack Delivery by GitHub Actions
AppSec Village/Cloud VillageのVillage Talkで講演された内容です。NTTコミュニケーションズの方が講演されていました。GitHubを悪用した攻撃ベクターについて講演されていました。GitHubへのコミット操作を行う際に任意のプログラムが実行出来てしまう攻撃やGitHubをC2として使用する方法が紹介されました。
Phishing with Dynamite: Harnessing AI to Supercharge Offensive Operations
Social Engineering CommunityのVillage Talkで講演された内容です。LLM(Large Language Models)の登場によりAIを使った高度なフィッシング攻撃が増えるだろうということでした。インターネット上に存在する学歴や職歴、所属するコミュニティの情報などを個人情報を活用した高度なフィッシングの手法などについて解説していました。
Village Talkでも日本からの発表がありました。また、こちらでも、AIを利用した攻撃(ソーシャルエンジニアリング)についての講演がありました。AIに関する講演は多数ありましたが、中でもレッドチーム演習(※)に活用するChatGPT: Your Red Teaming AllyというAI VillageのVillage Talkは30分以上前に会場に行ってみたものの、既に長蛇の列ができており、キャパシティの問題でこれ以上並ぶなと注意されてしまい、泣く泣く諦めました。
※実際の攻撃者を想定した攻撃するレッドチームとそれを検知し防御するブルーチーム、チーム間の調整や演習後の評価を行うホワイトチームで行う実践形式の演習。ペネトレーションテストと違いブルーチームには、攻撃の事前告知をせずに実際のSOCやCSIRTの対応をテストするセキュリティ演習方法の1つ。
各Villageにはこの様な看板やポスターが置かれています。こちらは、App Sec Villageのもの。
また、少し変わったVillageについてご紹介します。
・Lockpick Village
物理セキュリティに関するVillageで、鍵の開け方、つまりピッキングについての講演などが行われるVillageです。講演の他にピッキングツールの販売をしているコーナーや購入したツールを使って大勢の人が黙々とピッキングをするという、なんとも言えない光景でした。
・Physical Security Village
こちらも、物理セキュリティに関するVillageで、やはり鍵を回避する方法などの講演などが行われていました。ただ、Lockpick Villageがピッキングに焦点をあてているのに対して、こちらは、「鍵の回避方法」で、ICカードの偽造やツールによる鍵の開け方に加えて、セキュリティゲートの共連れ、通風孔や非常階段からの侵入など、鍵を開けずに突破する方法についての講演がありました。こちらも、ドアの模型に対して、様々なツールで鍵を開けたり、防犯センサーを誤魔化したりする練習をするブースがあり、いい大人達がワイワイと鍵の回避の仕方を練習していました。
こちらは、Lockpick Villageの講演の1シーン。皆、真剣にピッキングの仕方について聴講していました。
その他にも、いろいろなWork Shopなどもありましたが、前日に予約が必要だったり、1〜2時間(時にはもっと)待つのは、ざらだったりして、Talk以外に参加するのは難しくて断念したものも多くありました。
DEFCONといえば、CTF(※)というイメージを持たれている方もいると思います。DEFCONでは、世界最大のCTFであるDEF CON CTFが開催されることでも有名です。DEF CON CTFでは、数百のチームが予選に参加し、予選を通過した一握りのチームだけがラスベガスの決勝戦に進むことができます。日本からも決勝に進んでいる方がいます。
DEF CON CTFの他にも各Village主催の大小のCTFが各所で行われていました。ここでも日本のチームや企業の方が活躍されていました。GMOイエラエがCloud Village CTFで優勝、CMD+CTRL Cyber Range CTFでは準優勝、pinjaがOSINT CTFで優勝という快挙を達成していました。筆者はというと、CTFほぼ未経験の素人なので、各CTF会場や表彰の様子を遠巻きにみてすごいなーっと思っていただけなのですが、日本勢が活躍するを誇らしく思います。
※ CTF : Capture The Flagで隠されたFlag(答え)を見つけ出すスキルを競い合うセキュリティコンテスト
まとめ
DEFCONは、現地参加が必須であるため、講演がオンライン配信されるBlack Hatと異なり、想像するしかありませんでした。DEFCONは、ヤバい、カオスだ、楽しい、様々な噂を耳にしていましたが、どれも当たっていました。世界中のヤバいハッカーが集まる、カオスだがとでも楽しいハッカーのための祭典でした。DEFCONの講演やデモ、そして、様々な人との交流など得難い経験をすることができました。DEFCONのコミュニティとしての存在意義は非常に大きいということを肌で感じて来ました。筆者もセキュリティ業界で微力ながら様々な情報の発信をする機会に恵まれていますが。ただ参加をするだけでなく自分もコミュニティに貢献をする発信ができる立場になろうと決意を新たにしました。
余談
Black Hatに引き続き、DEFCONでも余談を少々。
現金主義
DEFCON会場では、入場料やグッズ、飲食の販売など全てが現金のみで購入できます。個人情報、決済情報を集めないというポリシーとのことです。入社当時は、カードのスキミング手法の練習台にされるからDEFCON会場にはクレジットカードを持ち込まないんだと脅されたりしたものですが、そんなことは無いでしょう。(知らんけど)因みに現金払いだから安いなんてことはなく、全てしっかりとラスベガスプライスでした。
バッジ
DEFCONでは、毎年バッジにも注目が集まります。毎年、様々な仕掛けが用意されたガジェットになっていてハックが可能と言うのが通例でしたが、今年は一新して基盤などのギミックが無いバッジになりました。ただ、バッジにはUUID(※)がプリントされたカードが刺さっていてこれを使って謎解きをするという要素が盛り込まれているそうです。因みに、当日のバッジ購入は朝から大行列ができて入手困難だそうです(私はBlack Hatとセットで購入したので前日にBlack Hatの会場で受け取りました)。正規のバッジが足りなくなった時のためのテンポラリバッジも用意されていて、最終日には余ったから持っていけとGoonと呼ばれるボランティアのスタッフに大量におしつけ、、、いや、頂いてきました。
※UUID: Universally Unique Identifier 128ビットの値で、ソフトウェアで扱う対象を一意に識別するための符号
DEFCONバッジ。左が通常、右がテンポラリバッジ。
SOCIAL ENGINEERING COMMUNITYのVillageバッジ
お土産
DEFCONでも正規のマーチャンダイズコーナーがあります。Black Hatのマーチャンダイズコーナーはそこそこの人入りという感じでしたが、DEFCONのマーチャンダイズコーナは、大行列ができていて1日目は時間がなくて入るのを断念。2日目にやっと入れた時には、ほとんどソールドアウト。なんとか、ピンバッチを1つだけ購入しました。
DEFCONマークのピンバッジ
食事
DEFCONは、有志のボランティアで運営されるカンファレンスですので、Black Hatの様に高いチケットを買えば、ご飯もおやつもついて来るなんてことはありません。会場内の売店で現金購入するかホテルや周辺で食事することになります。ただ、お水は会場に無料のウォーターサーバが置かれているので、大きめのミネラルウォーターのペットボトルを購入して、そこに、継ぎ足して水を確保していました。(買ったら高いんです、、、)
ある日の昼食のダンキンドーナッツ。本当は、大きい通常のラップが食べたかったのですが、取り扱っていなくて代わりにブレックファスト・ラップを頼んだら、びっくりするぐらい小さかった。。。アメリカで唯一食べ足りない思いをした食事。
セキュアブレインラーメン部(自称)としては、ラスベガスの麺事情も調査という事でチャレンジしたホテルのNoodle BarのDANDAN Noodle(多分担々麺)。のびた給食のソフト麺って感じ、、、w
ある日の夕食。安定のパンダエクスプレス!フォーチュンクッキー付きです。
