はじめまして。技術部の遠藤です。今年8月に、Black Hat USA 2019とDEF CON 27に参加してきました。両カンファレンスの様子をお伝えしたいと思います。
はじめに
まず初めに、私について簡単な自己紹介です。
サイバーディフェンス研究所が誇る技術部において、私はエンジニアではなくリサーチャーという珍しい存在です。国内外で発生しているサイバー攻撃の事例や政府の政策動向などについて、公開情報を収集し分析しています。いわゆる「OSINT (Open Source Intelligence) 」と呼ばれる業務です。
今回は非エンジニアの方に分かりやすくお伝えしようと思います。
参加報告
Black Hat/DEF CONとは
Black Hatとは、各国の著名な専門家による講演やトレーニングが開催される世界最大規模のサイバーセキュリティカンファレンスです。このうち、設立当初から毎年夏季に米国ラスベガスで開催されているのがBlack Hat USAです。今年は、トレーニングが8月3日から6日、講演 (Briefing) が7日から8日に亘って行われました。講演とトレーニング以外にも、様々なエンジニアが自身で開発したツールを「アーセナル」というコーナーで紹介しています。
毎年、Black Hat USAに続いて同じくラスベガスで開催されるカンファレンスがDEF CONです。今年は、8月8日から11日まで4つのホテルを使って開催されました。DEF CONでも講演 (Presentation) は行われますが、メインとなるイベントは世界最高峰のハッキング大会"DEF CON CTF"の決勝戦です。この大会には弊社のエンジニアも参加しています。また、DEF CONでは、IoTやICS (産業制御システム) などテーマごとに”Village”と呼ばれる会場に分かれ、テーマに沿ったCTFやツールの紹介等が行われます。
世界中から、Black Hat USA 2019には20,200人、DEF CON 27には25,000人の参加者が集いました。
それでは、Black Hat USA 2019とDEF CON 27の中で興味を引いた発表等をひとつずつご紹介します。
Black Hat USA 2019
まず、Victor Murray氏 (Engineering Group Leader, SwRI) による"Legal GNSS Spoofing and its Effects on Autonomous Vehicles(自動運転車に対する合法的なGNSSのなりすましとその効果)"です。
みなさんご存知、GNSSとはGlobal Navigation Satellite Systemsの略で、GPSなどの衛星測位システムです。偽のGPS信号を発信してGPS受信機をだます行為を「GPSスプーフィング」と言います。この発表では、自動運転車が搭載するGPS受信機に対してスプーフィングを行うことで引きおこる影響について実験結果が共有されました。
各国とも電波の使用は法律で規制されており、許可された場合でも周囲への影響を考慮すると、走行中の自動運転車などに対してなりすまし電波を発する実験を行うことは難しいようです。今回SwRIは、電波を外部に漏らさない筐体(ファラデーケージ)を使って小型の実験装置を作り、これを自動運転車の受信機に取り付けてなりすまし電波を発する実験を行いました。
実験の結果、偽の位置情報を送ることで直進中の自動運転車は進路が変更され、不正な速度 (Velocity) 情報を送ることで旋回中の自動運転車は脱輪するなどしたそうです。
今年7月には一部の報道が、英国のタンカーを拿捕するために、イランがGPSスプーフィングを行った可能性があると伝えています。このとき、ロシア製の技術が利用されたのではないかと疑われています。ロシアと言えば、重要人物や施設の保護、NATOへの対抗等を目的に、ロシア国内外でGPSスプーフィングを行っていることが報告されています。2017年には、米国海事局 (MARAD) が、黒海において大規模なGPSスプーフィングが行われたとして警告 (MSCI Alert) を発表しています。
日本は、GPSを補完する独自の衛星測位システム「みちびき」を開発しており、現在4基の人工衛星で運用しています。2023年度を目途に7基体制を目指しており、自動運転やドローンによる即時配送サービス等へ活用される見込みです。そのため、今回の発表内容は気になるところです。
SwRIは、この成果の共有によって、なりすまし電波に対してGNSS受信機が持つ脆弱性の研究が加速することを期待しているとのことです。
DEF CON 27
DEF CONでご紹介したいのは、SE Villageで開催されたSECTFです。
SEとはSocial Engineerの略で、SE Villageはソーシャルエンジニアリングをテーマとする各種イベントが開催される会場です。そして、SECTFとはSE(ソーシャルエンジニアリング)をテーマとしたハッキング大会 (CTF) です。
一般的なハッキングがシステムの脆弱性を突いて攻撃するのに対して、ソーシャルエンジニアリングは人間の心理を衝いた攻撃です。たとえば、相手を騙して不正なWebサイトに誘導したり、機密情報を聞き出したりする攻撃がこれにあたります。他には、従業員の後ろについて立ち入り禁止区域に侵入したり、ごみ箱から機密文書を漁る行為もソーシャルエンジニアリングです。
SECTFは、インターネットと電話を駆使して、ターゲット企業に関して多くの情報を収集する競技です。集める情報は、利用している清掃業者や従業員の就業時間、OSの名前とバージョンなど攻撃に悪用されうる情報です。参加者はこれらの情報を、DEF CON開催前の2週間にインターネットを駆使して収集し、DEF CON期間中の持ち時間20分では電話を使って巧みにさらなる情報を聞き出します。私が観戦したときには、女性がインターンの申し込みを装って、ターゲット企業が利用しているシステムの情報を聞き出していました。
悪意のあるハッカーは、ソーシャルエンジニアリングとハッキングを組み合わせて攻撃してきます。最近の調査では、メールを使ったサイバー攻撃の99%は、不正なリンクをクリックさせたり、添付ファイルを開かせるなど被害者の操作を必要としており、ソーシャルエンジニアリングを仕掛けてきていることを示しています。
実際に、ハマスが若い女性のプロフィールを悪用し、Facebookを通じてイスラエル軍兵士と連絡を取り、出会い系アプリを装ったスパイウェアをダウンロードさせる事案や、退役米軍人用の偽の求人サイトを作って求人アプリを装ったマルウェアを配布する事案などが確認されています。
おわりに
歴史のある大きなカンファレンスなだけあって、講演や各種イベントの内容は洗練されていました。日々の情報収集では、どうしても自分の関心や業務に関係のある情報に目を向けがちになります。最新の情報を、その分野の専門家から直接得られるだけでなく、多面的な情報を半ば強制的に収集するためにも、外部のカンファレンスやセミナーに参加することはやっぱり有意義だと感じました。
Black HatもDEF CONも、「ハッカーの祭典」と呼ばれるだけあって、技術的に高度な発表やイベントが開催されます。エンジニアの皆さんには、非常に魅力的なカンファレンスだと思います。
しかし、私のように、非エンジニアの方でも楽しめる講演等はたくさんあります。発表者はその道のプロですので、説明は非常にわかりやすいです。最近では、リスクマネジメントやガバナンス、政策に関する講演も多いです。CTFは、ハッカーが取り組む様子は見ているだけでも刺激的ですし、守る側として意識が高まります。興味のある方は是非、参加してみてください!
Black HatもDEF CONも講演資料は全て公開されていますので、一度覗いてみると面白いですよ。