毎年8月に米国ラスベガスで開催される Black Hat USA 2024(以下、Black Hat)と DEF CON 32(以下、DEF CON)は、世界中のセキュリティ担当者やハッカーが一堂に会する世界最大級のセキュリティイベントです。
その2つのイベントのうち、本ブログでは、ハッカーの祭典とも呼ばれる DEF CON を、セキュリティ監視センター(SOC)でセキュリティアナリストをしている私が現地で視察した様子についてご紹介します。
なお別のブログでは、Black Hat USA 2024 の参加レポートも公開しています。そちらも併せてご覧ください。
DEF CON の基本情報
DEF CON は、1993年に初めて開催された世界最大規模のセキュリティ・カンファレンスで、毎年米国ラスベガスで開催されています。サイバーセキュリティやコンピュータハッキングに関する技術や知識の共有を目的とし、セキュリティ専門家、エンジニア、リサーチャー、政府機関の関係者、そしてハッカーなど、多種多様な参加者が集まります。最新のセキュリティ脅威、攻撃技術、回避手法、そして防御策が紹介され、ハッキングの実演や技術コンテストも開催されます。また、企業などに属さない一般の方にも開放されており、幅広い層の人々が参加するオープンなイベントとしても知られています。
なお、今年は32回目の開催のため「DEF CON 32」となっています。
DEF CON 32 の基本情報
- 開催期間
- 2024年8月8日~11日(期間中に各種イベントが並行開催される)
- 開催場所
- アメリカ合衆国ネバダ州ラスベガス、Las Vegas Convention Center
- 参加者数
- 30,000人程度
- 内容
- セキュリティ分野ごとに Village と呼ばれるコミュニティを作り、コミュニティごとに講演やハンズオン、コンテストなどが実施されました。今年は30以上の Village が出展し、ハッキング技術を競う大会の Capture The Flag(以下、CTF)を含むコンテストが開催されました。参加者はそれぞれの Village で多様なセキュリティ分野に触れることができるのが魅力です。
各 Village の紹介
今年の DEF CON では、攻撃や防御などのサイバーセキュリティに関するものから、ピッキングやドアロック解除などの物理セキュリティに関するものまで、30以上の Village がありました。これらの中から、私たちが実際に回った11の Village についてご紹介します。
Blue Team Village
まず訪れたのは Blue Team Village です。SOC アナリストとして外せない SOC やインシデントレスポンスに関するトークや CTF が行われる場所で、人気の講演は1時間以上前から待機列ができるなど、コミュニティの大きさを感じました。ここでは、Blue Team(サイバーセキュリティの世界で用いられる用語で、サイバー攻撃から組織を守る防御チームのこと)メンバーのキャリアに関する話や、SOC の運用に関する非技術面に関するパネルディスカッションもあり、海外のアナリストの視点を知る良い機会にもなりました。また、実際のケーススタディを通じて学ぶことができました。
Blue Team Village は他の Village に比べて CTF が多く、ログ調査やインシデントレスポンスに特化した3種類の CTF が開催されていました。CTF のログ基盤はいくつか選択肢があり、参加する際にはメジャーな基盤のクエリは使えるようにしておいた方が取り組みやすいと思います。
Red Team Village
Red Team Village では、攻撃手法や脆弱性の発見に関するセッションが開催されました。講演やワークショップでは「AI」「LLM」「ML」などの機械学習や自動化に関するキーワードが目立ち、Red Team(サイバーセキュリティの世界で用いられる用語で、組織のセキュリティをテストする攻撃チームのこと)でも自動化への需要が強まっていることがうかがえました。CTF に参加しようと訪れましたが、残念ながら既に席がいっぱいのためロビーのソファから参加しました。
IoT Village
組み込み機器を狙った攻撃を当社 SOC でも多く観測しており、実際の攻撃について学びたいと思い訪れました。実際の機器を使ったハンズオンが多く開催されており、オンサイトならではだと感じました。ただ、訪れる人数に対して席数が少ないので、タイミングが合わないと参加できません。無線 Access Point(AP)のルート権限取得体験や、スマート TV のチャレンジ、某大手計測器メーカーの解析チャレンジなど、実践的なものが多くありました。この Village だけをしっかり回るには、2日間必要なのではないかと思うくらいコンテンツが充実していました。
私はエミュレータを用いた脆弱性探しの Lab コンテンツに参加しました。ネットワーク接続 HDD(NAS)に含まれる Web サーバーのインタフェースのソースコードを引き抜いて、脆弱性を探す内容でした。私自身、普段脆弱性の攻撃コードや該当箇所のコードを読むことはありますが、そもそもどのような観点で脆弱性を探していくのかをステップバイステップで学ぶことができ、非常に面白かったです。もっとここに入り浸りたいと思いながらも時間が足らないので、後ろ髪を引かれる思いで次のブースへと移動しました。
Car Hacking Village
個人的には DEF CON と言ったらこの Car Hacking Village のイメージが強くあります。トレーラーヘッドとピックアップトラック、電気自動車の実車が置いてあり、直接つないで解析をしても良いとのことでした。車の一部を取り出したテストベンチを使った CTF などもあり、事前登録した CTF チームが問題に取り組んでいました。CTF の景品は置いてある電気自動車でしたが、誰かが解析した車をもらえるということのようです。何をされたのか心配で運転には集中できそうもない、と思いながら観戦しました。
Physical Security Village
名前の通り物理的なセキュリティに関する Village です。ドアのタイプごとの簡易模型があり、どのような方法でロックを突破することができるのかを、特殊な工具を使って試すことができました。古典的な鍵から電子錠までさまざまな種類のロックがあり、それぞれ適した方法で突破をすることができます。いくつか試してみたのですが、思ったより操作が難しく、素早く開けるには慣れが必要そうでした。ちなみに日本国内でこれらの道具を持つことは禁止されているそうです。
Social Engineering Village
Social Engineering Village では「Cold Calls」の講演が人気で入場するのに長蛇の列でした。Cold Calls では希望する参加者が防音室に入り、実在する会社に電話をかけて公開されていない情報を聞き出していました。「セキュリティ上の制約により電話越しでは回答できない」と断るオペレーターもいれば、「1週間前に雇用されたばかりで詳しくは答えられないけど」と言いながらも聞かれた情報を答えてしまうオペレーターもいたため、会社ごとの社員教育の違いと必要性を感じました。参加者のソーシャルエンジニアリングのテクニックにも依存するため、情報を聞き出すのに苦戦している参加者も見受けられました。
AI Village
AI に対する攻撃のナレッジベースである MITRE ATLAS の紹介や、生成 AI の Red Team 利用、組み込み AI に対する攻撃など、幅広い分野における AI の活用について講演が行われていました。こちらの Village は AI の安全な利活用のための技術展示を目的とし、講演はほぼ満席で参加者の関心の高さが感じられました。
Adversary Village
Adversary Village では「MITRE Caldera」のワークショップに参加しました。MITRE Caldera は攻撃の模擬再現を自動化するツールで、セキュリティ機器の評価やトレーニングに利用可能です。このワークショップでは、実際にツールを使って攻撃シナリオを構築し、Red/Blue/Purple Team(Blue TeamとRed Teamの両方の視点を持って攻撃と防御を統合し、サイバーセキュリティの強化を図るチームのこと)の学習コンテンツとして活用できる方法を学びました。私は新規アナリストの教育コンテンツ作成にも関わっているので、これは活用できそうと思いながら参加しました。
ハンズオンの終盤で、あまりの空調の寒さに途中離脱してしまったことが悔やまれます。ラスベガスは外は暑いですが、室内は非常に寒いので、必ず上着を持参することをお奨めします。
Data Duplication Village
この Village では 8TB の HDD を持っていくと、大量のデータをコピーしてくれます。コンテンツはセキュリティカンファレンスのアーカイブ動画や NTLM ハッシュテーブル、セキュリティに関する論文などがあり、その中から選んだデータをコピーしてくれます。私は開催2日目(8月9日金曜日)の午前11時ごろに行ったのですが、既に予約で定員に達しており受け付けてもらえませんでした。実は前日の夜から受け付けしていたようなので、このような人気コンテンツは早めに行かないといけなかったようです。結局ここの Village を体験することはできませんでした。
Aerospace Village
小型の人工衛星や航空機のセキュリティ展示、ドローン組立体験を実施していました。航空宇宙産業のセキュリティは直接業務で触れることはないですが、我々の生活を支える大事なセキュリティであり、非常に興味深い Village でした。サイバーセキュリティのカンファレンスなどでは目にする機会があまり多くない分野なので、DEF CON ならではの体験でした。
DEF CON バッジにつける SAO(LED などで装飾された小さなアドオン)を、ここで購入して着けていたところ「かっこいいね!どこで買ったの?」と話しかけてくれる人もいて嬉しかったです。
Malware Contests:MARC I & BOMBE
マルウェア関係に特化したブースもあり、いくつかのコンテストが行われていました。BOMBE:Battle of Malware Bypass and EDR というコンテストでは、マルウェア作成者と EDR 開発者の2チームに分かれて、マルウェア作成者は EDR の検出を回避して機密情報を持ち出し、一方 EDR 開発者は検出機能を実装してマルウェアを発見する、という競技が行われていました。双方が作成したプログラムは同じ VM 内で実行され、どちらが目的を達成したかで勝者が決まります。時間が足らず私は参加することができませんでしたが、実際にお互いを戦わせるというアイデアが非常に面白かったです。
こだわりの DEF CON バッジ
カンファレンスで首から下げるバッジですが、DEF CON はバッジも非常に凝っていました。Raspberry Pi Pico 2 と同じマイクロコンピュータを搭載したボードが配られ、DEF CON 32 のゲームをすることができます。バッジに搭載された LED の色を変えたり、SAO と呼ばれるアドオンをつけてカスタムしたりして楽しんでる方が多くいました。X(旧 Twitter)を見ていたところ、プログラムを書き換えて FPS(シューティングゲーム)をプレイできるようにした方もいました。
さまざまなセキュリティ技術を実際に試せる DEF CON
会場には、繋いではいけない公式 WiFi が飛んでいたり、さらに多くの CTF が開催されていたり、ここには書ききれないくらいたくさんの Village があり、それぞれの Village で多くのコンテンツがありました。直前に開催されていた Black Hat では企業のプロダクトを中心とした展示がメインでしたが、DEF CON では分野ごとのコミュニティによる技術を中心とした展示をしていました。また、各 Village ではスキルの高い人に向けたコンテンツだけではなく、コミュニティに初めて来た人向けの基礎的コンテンツを数多く用意しており、気軽に訪れることができる印象がありました。
今回の参加を通して、さまざまな分野のセキュリティ技術を実際に自分の手で試すことができ、貴重な体験となりました。ご関心のある方はぜひ参加されることをお薦めします。