DARK MATTER

CDI Engineer's Technical Blog

Black Hat USA 2019とDEF CON 27に参加しました

Security Conferences OSINT

はじめまして。技術部の遠藤です。今年8月に、Black Hat USA 2019とDEF CON 27に参加してきました。両カンファレンスの様子をお伝えしたいと思います。

はじめに

まず初めに、私について簡単な自己紹介です。
サイバーディフェンス研究所が誇る技術部において、私はエンジニアではなくリサーチャーという珍しい存在です。国内外で発生しているサイバー攻撃の事例や政府の政策動向などについて、公開情報を収集し分析しています。いわゆる「OSINT (Open Source Intelligence) 」と呼ばれる業務です。
今回は非エンジニアの方に分かりやすくお伝えしようと思います。

参加報告

Black Hat/DEF CONとは

Black Hatとは、各国の著名な専門家による講演やトレーニングが開催される世界最大規模のサイバーセキュリティカンファレンスです。このうち、設立当初から毎年夏季に米国ラスベガスで開催されているのがBlack Hat USAです。今年は、トレーニングが8月3日から6日、講演 (Briefing) が7日から8日に亘って行われました。講演とトレーニング以外にも、様々なエンジニアが自身で開発したツールを「アーセナル」というコーナーで紹介しています。

f:id:cdi-endo:20191002170211j:plain
Black Hat USA 2019のKeynote

毎年、Black Hat USAに続いて同じくラスベガスで開催されるカンファレンスがDEF CONです。今年は、8月8日から11日まで4つのホテルを使って開催されました。DEF CONでも講演 (Presentation) は行われますが、メインとなるイベントは世界最高峰のハッキング大会"DEF CON CTF"の決勝戦です。この大会には弊社のエンジニアも参加しています。また、DEF CONでは、IoTやICS (産業制御システム) などテーマごとに”Village”と呼ばれる会場に分かれ、テーマに沿ったCTFやツールの紹介等が行われます。

f:id:cdi-endo:20191002171141j:plain
DEF CON 27 CTF決勝戦

世界中から、Black Hat USA 2019には20,200人、DEF CON 27には25,000人の参加者が集いました。

それでは、Black Hat USA 2019とDEF CON 27の中で興味を引いた発表等をひとつずつご紹介します。

Black Hat USA 2019

まず、Victor Murray氏 (Engineering Group Leader, SwRI) による"Legal GNSS Spoofing and its Effects on Autonomous Vehicles(自動運転車に対する合法的なGNSSのなりすましとその効果)"です。

みなさんご存知、GNSSとはGlobal Navigation Satellite Systemsの略で、GPSなどの衛星測位システムです。偽のGPS信号を発信してGPS受信機をだます行為を「GPSスプーフィング」と言います。この発表では、自動運転車が搭載するGPS受信機に対してスプーフィングを行うことで引きおこる影響について実験結果が共有されました。

各国とも電波の使用は法律で規制されており、許可された場合でも周囲への影響を考慮すると、走行中の自動運転車などに対してなりすまし電波を発する実験を行うことは難しいようです。今回SwRIは、電波を外部に漏らさない筐体(ファラデーケージ)を使って小型の実験装置を作り、これを自動運転車の受信機に取り付けてなりすまし電波を発する実験を行いました。

実験の結果、偽の位置情報を送ることで直進中の自動運転車は進路が変更され、不正な速度 (Velocity) 情報を送ることで旋回中の自動運転車は脱輪するなどしたそうです。

今年7月には一部の報道が、英国のタンカーを拿捕するために、イランがGPSスプーフィングを行った可能性があると伝えています。このとき、ロシア製の技術が利用されたのではないかと疑われています。ロシアと言えば、重要人物や施設の保護、NATOへの対抗等を目的に、ロシア国内外でGPSスプーフィングを行っていることが報告されています。2017年には、米国海事局 (MARAD) が、黒海において大規模なGPSスプーフィングが行われたとして警告 (MSCI Alert) を発表しています。

日本は、GPSを補完する独自の衛星測位システム「みちびき」を開発しており、現在4基の人工衛星で運用しています。2023年度を目途に7基体制を目指しており、自動運転やドローンによる即時配送サービス等へ活用される見込みです。そのため、今回の発表内容は気になるところです。

SwRIは、この成果の共有によって、なりすまし電波に対してGNSS受信機が持つ脆弱性の研究が加速することを期待しているとのことです。

DEF CON 27

DEF CONでご紹介したいのは、SE Villageで開催されたSECTFです。

SEとはSocial Engineerの略で、SE Villageはソーシャルエンジニアリングをテーマとする各種イベントが開催される会場です。そして、SECTFとはSE(ソーシャルエンジニアリング)をテーマとしたハッキング大会 (CTF) です。

一般的なハッキングがシステムの脆弱性を突いて攻撃するのに対して、ソーシャルエンジニアリングは人間の心理を衝いた攻撃です。たとえば、相手を騙して不正なWebサイトに誘導したり、機密情報を聞き出したりする攻撃がこれにあたります。他には、従業員の後ろについて立ち入り禁止区域に侵入したり、ごみ箱から機密文書を漁る行為もソーシャルエンジニアリングです。

SECTFは、インターネットと電話を駆使して、ターゲット企業に関して多くの情報を収集する競技です。集める情報は、利用している清掃業者や従業員の就業時間、OSの名前とバージョンなど攻撃に悪用されうる情報です。参加者はこれらの情報を、DEF CON開催前の2週間にインターネットを駆使して収集し、DEF CON期間中の持ち時間20分では電話を使って巧みにさらなる情報を聞き出します。私が観戦したときには、女性がインターンの申し込みを装って、ターゲット企業が利用しているシステムの情報を聞き出していました。

f:id:cdi-endo:20191002173309j:plain
SECTFの様子

悪意のあるハッカーは、ソーシャルエンジニアリングとハッキングを組み合わせて攻撃してきます。最近の調査では、メールを使ったサイバー攻撃の99%は、不正なリンクをクリックさせたり、添付ファイルを開かせるなど被害者の操作を必要としており、ソーシャルエンジニアリングを仕掛けてきていることを示しています。

実際に、ハマスが若い女性のプロフィールを悪用し、Facebookを通じてイスラエル軍兵士と連絡を取り、出会い系アプリを装ったスパイウェアをダウンロードさせる事案や、退役米軍人用の偽の求人サイトを作って求人アプリを装ったマルウェアを配布する事案などが確認されています。

おわりに

歴史のある大きなカンファレンスなだけあって、講演や各種イベントの内容は洗練されていました。日々の情報収集では、どうしても自分の関心や業務に関係のある情報に目を向けがちになります。最新の情報を、その分野の専門家から直接得られるだけでなく、多面的な情報を半ば強制的に収集するためにも、外部のカンファレンスやセミナーに参加することはやっぱり有意義だと感じました。

Black HatもDEF CONも、「ハッカーの祭典」と呼ばれるだけあって、技術的に高度な発表やイベントが開催されます。エンジニアの皆さんには、非常に魅力的なカンファレンスだと思います。

しかし、私のように、非エンジニアの方でも楽しめる講演等はたくさんあります。発表者はその道のプロですので、説明は非常にわかりやすいです。最近では、リスクマネジメントやガバナンス、政策に関する講演も多いです。CTFは、ハッカーが取り組む様子は見ているだけでも刺激的ですし、守る側として意識が高まります。興味のある方は是非、参加してみてください!

Black HatもDEF CONも講演資料は全て公開されていますので、一度覗いてみると面白いですよ。

2019 FIRST Conferenceに参加してきました

Security Conferences CSIRT FIRST

技術部の染谷です。今年6月16日から21日まで英国エディンバラで開催されたFIRSTの年次会合、 31st Annual FIRST Conference に参加してきました。当ブログでFIRSTの会合について初めての報告となりますので、FIRSTの概要を踏まえてお伝え致します。

FIRSTとは

FIRSTは "Forum of Incident Response and Security Teams" を表し、世界各地の官民学様々な組織のCSIRT (Computer Security Incident ResponseTeam) 等がメンバーとして参画しています*1。インシデントレスポンスやセキュリティに関する情報交換を行い、協力関係を構築する目的で1990年に設立されました。執筆時点では490チームがメンバーとして参加しており、メンバー数は年々増加傾向にあります*2。当社のCDI-CIRTは、2009年からメンバーとなっています。

Annual FIRST Conference (AC) の概要

FIRSTは様々な会合を開催しており、メンバのみが参加可能なクローズドのものと、メンバー以外も参加可能なオープンのものがあります。ACは基本的にオープンな会合で、毎年6月に開催されます。今年は英国エディンバラですが、昨年はマレーシアのクアラルンプール、来年はカナダのモントリオールと、世界の様々な地域において開催されています。開催場所が変わることで参加者も地域に沿った傾向が表れ、今回は近隣の欧州組の参加が例年より多かったように思います。全体では約1100名が参加していて、これまでで最大の規模だったそうです。ACでは、サイバーセキュリティに関する様々な講演や、特定のテーマごとの (SIG) ミーティング、CTF、FIRST運営に関するメンバーミーティング、そして参加者間の交流を促すための複数のネットワーキングイベント等が開催されます。それぞれについて簡単に説明します。

ネットワーキングイベントその1:Ice Breaker

初日である日曜日は、Ice Breaker Receptionがあります。このレセプションでは特にスピーチ等が行われるわけではなく、飲み物とちょっとしたおつまみが提供され、立食形式で参加者が交流する場となっています。ACの重要な目的の一つは、メンバーが顔を合わせて交流することにより相互の信頼関係を構築することですので、翌日から開始するセッションやミーティングの前にIce Breakerに参加し、リピーターは旧交を温め、初参加者も他の参加者と交流できる機会となっています。日本からは毎回そこそこの人数が参加しているので、その関連で知人を紹介してもらえることもあり、初参加でも気軽に色々な人と交流できる雰囲気があります。今回の開催地であるスコットランドのクラフトビールも振舞われていて、とても美味しくて大人気でした。

f:id:smyanda:20190815111910p:plain

講演

月曜日から金曜日まで5日間にわたり、様々な講演が開催されます。午前は招待スピーカーによる基調講演からスタートし、その後は3つのトラックに分かれて、事前審査を通過した内容について発表されます。領域はテクニカルな内容から、マネジメント寄りの内容まで幅広くあります。今回は全体的にIoTに関する発表が多く見られ、複数の基調講演で、IoTに関するサイバーセキュリティをどのように対応していくかという課題について、講演者それぞれの研究分野からのアプローチが示されました。例えば、既に市場に出ているIoT製品について調査を行い、具体的に悪用可能性を指摘して規制当局や消費者に訴えていこうとするアプローチや、英国の食品分野で既に実施されている安全度のラベル分けをIoT製品にも横展開できないか?といった研究内容等が共有されました。各発表内容の取り扱いはTLP (Traffic Light Protocol)*3 で管理されます。基調講演で私にとって最も興味深かった調査内容は、残念ながらTLP:REDで共有不可能でした。プログラムやセッションの概要、また公開されるスライドはウェブサイトから閲覧可能です*4。とはいえ、非公開の情報や、講演者との直接のやりとり、また時に盛り上がるQAもあるので、やはり自分で足を運んで生の情報を得ることはとても有益だと感じています。FIRST ACはセッション数が多く、また今回は時差もあり、後半疲弊してしまうこともありましたが、他の参加者とそれぞれ参加したセッションについて雑談を交えて意見交換などして、情報収集と士気向上に努めました。

f:id:smyanda:20190815121548j:plain

SIGミーティング

Special Interest Groups (SIG) が様々なテーマごとに立ち上げられていて*5、ACの開催中にミーティングが行われます。クローズドの場合もありますので、メンバー以外の参加については要確認となります。活発に活動しているグループもあれば、活動の方向性を模索中のグループもあるように思います。私が参加したIndustrial Control Systems (ICS) に関するディスカッショングループ*6では、今後実施していく内容についての意見交換が行われました。ミーティングによってはオンラインでのリモート参加も可能となっています。

CTF

ICS Simulation and CTFという、ICSのシミュレータを攻撃するCTFイベントが開催されていました。講演の会場とは別の部屋に設置され、参加者は自身のラップトップを持ち込んで参加する形態です。複数のチームが参加して得点を競い合っていました。

f:id:smyanda:20190815122711j:plain

ネットワーキングイベントその2:Banquet Cocktail Reception

水曜日の夜にはACで最大のネットワーキングイベントと言える、Banquet Cocktail Receptionが開催されました。こちらも立食形式で、お食事と飲み物が提供されます。AC参加者だけでなく、申し込めばご家族等も同行可能となっており、大人数で賑わっていました。今回はスコットランドということで、ウイスキーのテイスティングのサービスや、バグパイプがメインとなる人気バンドの演奏があり、大いに盛り上がりました。 中盤の時間帯は会場内の人口密度がとても高く、ちょっとした移動もスムーズにしにくいくらいでしたので、新たな人々との交流には、開始したばかりか、あるいは終わりころといった人が少なめで動きやすい時間帯がやりやすかったと感じています。

f:id:smyanda:20190815121438p:plainf:id:cdi-someya:20190819110015j:plain

アンオフィシャルイベント

オフィシャルなネットワーキングイベントの他にも、オフィシャルにほぼ近いように参加者に認知されている、サッカー、BYOB、フォトウォークといったイベントがあります。それぞれのイベントは毎朝の事務連絡の時間や、ウェブサイト、会場の掲示板等で告知されます。サッカーは毎回どこかしらの会場を借りて、セッション終了後の夜に行われています。BYOBは Bring Your Own Bottleの略で、各参加者がそれぞれ地元のお酒などを持ち寄り、説明してから飲み始める会合です。近年はサッカーイベントと合同で行われているようです。フォトウォークは、カメラ好きの参加者が、会場に近くてフォトジェニックな場所へ移動し、散策しながら個々に写真を撮り、なんとなく分散してご飯を食べて流れ解散する感じのイベントです。セッションの合間とはまた違ったゆるい雰囲気で参加者と交流できるので、打ち解けやすいこともあり、これもこれで貴重な時間となります。

FIRST ACに参加するべきか?

費用については、FIRSTメンバーでもACへの参加費が必要で(スピーカーになると参加費は不要ですが、ルール変更することもあり要確認です)、遠方で開催されることも多いので渡航費等それなりの費用が発生します。期間は丸一週間あるので、職場や家庭での不在中のフォローも必要になってくると思います。そういった負担に加え、「CSIRTメンバーと交流することにより信頼関係を構築」という目的は、達成度を定量化して評価しにくく、参加をためらう組織もあると聞きます。個人的な見解となりますが、セキュリティに関する様々なカンファレンスの中で、FIRSTのACはとても参加者間のネットワーキングがしやすいと感じています。そもそも交流を目的としたカンファレンスのため、前述のようなネットワーキングの機会が多く設定されています。年々参加者が増えて交流しにくくなるという声もありますが、そうはいってもまだ1000人ちょっとの参加者数なので、開催期間中に知り合いと出会うことはそう難しくはないと思います。また、同じ興味や課題を持つ参加者については、テーマに沿ったセッションやSIG等のミーティングで会える可能性が高く、有意義なネットワーキングや意見交換の場となります。様々な研究の権威と言える方々も参加しているので、会話して関係を構築し、また自分たちの取り組みも発信して、継続的に意見交換していく機会として活用できれば、参加する意義があると言えるのではないでしょうか。ACは2021年には福岡での開催が決まっているので、参加を検討している組織はまず福岡に参加して様子を見るのも良いかもしれません。

開催地のエディンバラ

カンファレンスの内容とは関係ありませんが、最後に開催地について少しご紹介します。エディンバラはスコットランドの首都で、岩山の上にエディンバラ城があり、周辺の歴史ある街並みもとても美しいところで、市街はUNESCOの世界遺産に登録されているそうです。会場のEICC (Edinburgh International Conference Centre) からエディンバラ城までは徒歩10-20分程度の距離でした。滞在中はちょこちょこ雨が降り、ダウンジャンパーを着ている人もいるくらいで、東京と比べるとかなり涼しく感じました。6月は夜21時頃まで明るく、また治安も良いので、カンファレンス後に美しい市街を散策して気持ちをリフレッシュすることができました。ビールやウイスキー、フィッシュ&チップスやハギス(Haggis: 羊の内臓を茹でたスコットランドの伝統料理)といった地元のお食事も美味しくて幸せでした。約一週間の滞在となるので、周辺を気楽に散策して飲食しに出かけられることは、多いに有難いことでした。

f:id:smyanda:20190815114448p:plain
f:id:smyanda:20190815121354j:plain
Haggis Tower
f:id:cdi-someya:20190819110356j:plain
BrewDog beers

*1:https://www.first.org/about/

*2:https://www.first.org/about/history

*3:https://www.first.org/tlp/

*4:https://www.first.org/conference/2019/program

*5:https://www.first.org/global/sigs/

*6:https://www.first.org/global/sigs/ics/

HITCON Pacific 2018に参加してきました

こんにちは。情報分析部の橋本です。12/13、14の2日間、台湾の台北で開催されたHITCON Pacific 2018に参加してきました。

f:id:cdi-yhashimoto:20181221000022j:plainf:id:cdi-yhashimoto:20181221001719j:plain

オープニング・基調講演・クロージングを除いて、最大3セッション同時進行で開催されるので、どれか1つを選んで参加することになります。

私もいくつか参加しましたが、本投稿ではその中の1つ、TABLE-TOP EXERCISESについて レポートします。

STRATEGIC TABLE-TOP EXERCISES: Why are they so important for national resilience?

概要

講師はチェコのNational Cyber and Information Security Agencyの二人です。 インシデント発生時の準備としての机上訓練(TTX)の有用性についてと、実際に彼らが作成したシナリオにしたがってTTXを体験してみようというセッションでした。

内容は後述しますが、技術的というよりは、インシデント発生時の意思決定の仕方に重きが置かれている訓練だということ、また、講師が国家機関から来ている人なので、想定しているインシデントの内容が国家レベルであるということが、特徴として挙げられるかと思います。

他のセッションは1コマ分だったんですが、これは初日午後に2コマ分、2日目に5コマ分の結構ボリュームのあるセッションでした。

背景

TTXの世界では、以下の4つの国が登場し、TTX参加者は、下記のうちNicelandのJoint Task Forceのメンバーであるという想定で、インシデントハンドリングしていくことになります。

  • NiceLand
  • Sauronia
  • Nikkon
  • Bonoland

大きく分けて4つのインシデントがあり、さらにその1つ1つに複数の細かいインシデントが起こり、それぞれ発生した順に対応します。

実際の国をモデルにしているようで(TTXで発生するインシデントも)、各国の力関係やら発展してきた歴史やらの説明から、Sauroniaがあの国で、Nikkonがこの国で、というようなことがそこはかとなく感じ取れます。Sauroniaには、国家の支援が疑われるハッカー集団がいるそうです。

背景の説明は、初日の2コマ分の時間で行われました。途中ちょっとしたハプニングがありまして、スピーカーから突然恐らく他のセッションの音声が流れてきて、一時話が中断する場面がありました。講師は苦笑い。私は最初状況が呑み込めず、聴衆の中の誰かが、講師が話しているのをお構いなしに好き勝手質問を始めたのかと思いました。

なお、翌日のTTXに参加するには受付で事前登録が必要で、登録すると下の写真のような資料が貰えました。TTX開始までに目を通す必要があるとのことでした。

f:id:cdi-yhashimoto:20181221100435j:plainf:id:cdi-yhashimoto:20181221100835j:plainf:id:cdi-yhashimoto:20181221100604j:plain
f:id:cdi-yhashimoto:20181221100347j:plainf:id:cdi-yhashimoto:20181221100932j:plain

TTX

ルール

前日の登録時に渡された資料が頭に入っている前提で、本番では、インシデントの内容が書かれた資料を読んで、設問に回答していくといった形式でした。 1チーム最大6人くらいのチームに分かれて、時系列で提示されるインシデントに対してどう対処するかチーム内で話し合って結論を出す、というのがTTXで行う内容です。

私のチームは4人編成で、私以外の3人は全員、名刺に載ってる会社の住所から判断する限り台湾の方たちでした。 TTXのルールは以下のような感じでした。

  1. インシデントを記載した資料はGoogleフォームで提供される。
  2. それぞれのインシデントに対してどう対応したかチームで1つの回答を出す。
  3. 回答もチーム内の1人がGoogleフォームで提出する。
  4. 発生したインシデントの時系列順に回答。A、Bというインシデントがあった場合、Bに対する設問に回答後、戻ってAの設問に回答というやり方は禁止。

上記に従い、各チーム内でディスカッションを通して、合意醸成を行います。

インシデント

TTXの世界では様々なインシデントが発生しました。

  • Nicelandで開催される国際的なスポーツイベントの公式サイトが改ざん
  • Nicelandの経済関連の省庁でマルウェア感染&情報流出
  • Nicelandの半導体の大企業でマルウェア感染&情報流出
  • Niceland北部で大地震発生。災害時に発報されるSMSを騙ったデマ情報が住民へ通知

大きいものを挙げると上記なのですが、それぞれに付随してこまごまインシデントが起こります。

資料には、単なる説明文だけではなく、当該イベントに関連する新聞記事だとか、ツイートだとかも載っていました。

f:id:cdi-yhashimoto:20181221164621p:plainf:id:cdi-yhashimoto:20181221164604p:plainf:id:cdi-yhashimoto:20181221164551p:plain

もちろんこれらはTTX用に準備した架空のものです。

レスポンス

冒頭で述べた通り、技術的というよりは、意思決定の仕方に重きがおかれた設問でした。

公式サイト改ざんの件だと、

  • 「改ざん内容がSauroniaに対して差別的な内容だったので、Sauroniaに対してどの立場の人がどのような説明をするか」

とか、

省庁のマルウェア感染の件の場合、

  • 「マルウェアを開いてしまった職員に処罰を与えるべきかどうか」、
  • 「どの機関を通してマルウェア感染の事実を公表するべきか」

など。

講評

TTXの振り返りでした。出てきたインシデントをお浚いしながら、(元ネタ、というわけではないですが)現実世界で起こった類似のインシデントが紹介されました。

評価としては、クリエイティブでいい意味で面白い回答があり、全チーム「good job」だそうです。

感想

インシデントハンドリングの机上訓練は以前にやったことがあるのですが、このセッションでやったような国家レベルのインシデントを想定したものは初めてで新鮮でした。 対外発表をどうするかとか、普段とは違う視点で答えを出さなければならなかったりと、現職で今後直接役立つかどうかはさておき、なかなか面白かったです。

おまけ

会場への道すがら撮った台湾らしい?写真です。あれだけの数の単車が横並びで事故らないんでしょうか。

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.