ラスベガスでセキュリティカンファレンスをハシゴしてきた話

こんにちは。NTT Comの市村、田口、村上です。2024年8月に米国ラスベガスで同時期に開催された3種類のセキュリティカンファレンスへ聴講者として参加しました。 この記事では連日参加した3種類のセキュリティカンファレンス及び、聴講した中で印象深かった講演の概要について紹介します。

目次

8月のラスベガスを彩るセキュリティの祭典

毎年8月、ラスベガスではBSides Las Vegas、Black Hat USA、DEF CONという3種類のセキュリティカンファレンスが同時期に続けて開催されます。 いずれもセキュリティをテーマとするカンファレンスですが、それぞれが異なる特徴を持っています。 以下、3種類のセキュリティカンファレンスの特徴と開催概要について紹介します。

BSides Las Vegas

BSides Las Vegasは、Black Hat USAやDEF CONのような大規模カンファレンスと異なり、 コミュニティ主導で運営されるカジュアルな雰囲気のセキュリティカンファレンスです。 Black Hat、DEF CONと比べ小規模ですが、内容はどちらにも劣らず多様かつ高度な講演を聞くことができます。

BSides Las Vegasの最大の特徴は、セキュリティに関心のある人が自由に情報共有できるオープンな環境を提供している点です。 特に注目すべきは「Proving Ground」と呼ばれるトラックです。 このトラックは、国際的なカンファレンスでの講演経験のない人たちが初めて登壇する場として設けられおり、国際カンファレンスの初登壇をコミュニティがサポートしています。

今年のBSides Las Vegasは、Tuscany Suites & Casinoホテルにて、8月6日・7日の2日間開催されました。 また、今年はNTT Comからも講演しました。BSides Las Vegasで登壇した話については、以前当ブログで公開した 「BSides登壇のBサイド ~なんで、私が海外セキュリティカンファレンスに!?~」にて紹介しています。

Black Hat USA

Black Hat USAはサイバーセキュリティに携わる人々にとって、最も注目されるカンファレンスの1つであり、世界中のセキュリティプロフェッショナルが一堂に会するイベントとなっています。 Black Hat USAは、技術的な知識を共有するだけでなく、新たなビジネスチャンスを生み出すための商業的な色彩が強いカンファレンスでもあります。 ビジネスホールと呼ばれる展示会場では、大手セキュリティベンダーからスタートアップまで、数百もの企業がブースを出展し、参加者に対して製品デモやソリューションを提案しています。

講演(ブリーフィング)では、世界中から集まったセキュリティの専門家やリサーチャーが最先端の脅威、攻撃手法、脆弱性に関する講演が行われます。 多くの講演ではセキュリティ対策の導入や強化に関する具体的なアドバイスが提供され、企業は自社のセキュリティ戦略を見直し、最先端のソリューションを導入するための情報を得ることができます。

今年のBlack Hat USAは、Mandalay Bay Convention Centerにて、8月3日から8日までの6日間開催されました。 8月3日から6日までの期間は主にトレーニングが開催される期間で、7日・8日の2日間は講演が行われる期間です。今回は講演期間に聴講者として参加しました。

Black Hat USA ビジネスホールの様子

DEF CON

DEF CONはBlack Hat USAと並ぶサイバーセキュリティ界の一大イベントです。 他2つのカンファレンスとはまた違った独自の文化と自由な雰囲気を持っており、 セキュリティに関心のあるすべての人が最新の技術を学び、実践し、そして楽しむことができるイベントとなっています。

DEF CONの大きな特徴は「Village」と呼ばれるコミュニティスペースです。 無線ハッキング、IoTセキュリティ、物理セキュリティなど特定のテーマに基づいたトーク、コンテスト、ワークショップが行われます。 参加者は自分の興味に応じたVillageへ訪れることで、興味分野の知識を深めることができます。

今年のDEF CONは、Las Vegas Convention Centerにて、8月8日から11日までの4日間開催されました。 今年は33個のVillageがありました。特に注目を集めていたVillageは「AI×CC」と呼ばれるVillageで、AIを活用した近未来の街をモチーフとした派手なブースが建てられていました。

DEF CON AI×CC Villageの様子

複数の会議が同時開催されるメリットについて

約1週間という期間の中で、対象/規模/雰囲気を異にした3種類のカンファレンスが まとめて開催されるのが例年のスタイルですが、これには大きなメリットが3つあると感じました。

  1. まず参加者側にとっては、短時間・1回分の旅費で多くのテクノロジーを学べるというメリットがあります。 この時期のラスベガスに来さえすれば、最先端の情報に追い付いたり、また同好の士と出会うことができるのです。

  2. 同様にスポンサー企業側にとっても、この1週間を狙えば広告、イベント、採用活動を効率よく行えます。 どのイベントに出資するとしても費用対効果は抜群ではないでしょうか。

  3. 最後にカンファレンスそれぞれの雰囲気/目指す姿が異なることは、結果的に多くの人をセキュリティの世界へ立ち寄らせることに役立っている点が最大のメリットであると感じました。 たとえば、Black Hatでは「技術は専門ではないがビジネスに興味がある人」、BSidesでは「発表の機会が欲しかったセキュリティ研究者」、 DEF CONでは前者2つよりも手ごろな参加費のおかげで多くの学生や家族連れが参加していました。

これらのメリットを総合して考えると、対象が少しずつ異なるカンファレンス複数を同時期に開催する計画は、国内のセキュリティ界隈を盛り上げ、人材の裾野を広げることに繋がるのではないでしょうか。

講演内容

各セキュリティカンファレンスで聴講した講演の中で、印象深かったものを紹介します。

BSides Las Vegas: Devising and detecting spear phishing using data scraping, large language models, and personalized spam filters

パーソナライズされたフィッシングメールフィルタを AI で作れないか、という内容の講演が興味深いと感じました。

訓練用の無害なフィッシングメールを使って、「A さんがひっかかりやすいキーワード」「B さんが...」といういわば弱点のデータベースを作り、 そういった弱点の要素を検出して優先的に弾いてくれる個人化されたメールフィルタを作成する試みについてでした。

この講演の概要はこちらからご覧ください。

https://www.bsideslv.org/talks#8WK8P3

Black Hat USA: Modern Kill Chains: Real World SaaS Attacks and Mitigation Strategies

APP OmniというSSPM(SaaS Security Posture Management)ベンダーによる近年のSaaSに対する攻撃の統計情報を共有する発表でした。

企業業務で多くのSaaSを利用することが当たり前になってきた近年において、攻撃者はどのようなサービスをどのような目的で攻撃しているかをSSPMベンダーの視点から統計情報とともに共有していました。 特に興味深かった内容として、SaaSを起因とする攻撃者による一連の攻撃観測に成功したという点でした。 一連の攻撃を時系列に並べて観測したSaaS侵害後の流れを発表内で提示していました。

講演の最後では、多様なSaaSが普及した現代において特に注目しなければならないAttack Surfaceの提示と今後行うべきセキュリティ戦略についてまとめていました。

セキュリティ製品ベンダーからの啓蒙と対策提案という講演内容は、商業色の強いBlack Hat USAの特徴が現れている講演だったと思います。 この講演のスライド資料はこちらにありますのでご参照ください。

http://i.blackhat.com/BH-US-24/Presentations/US24-Michal-Modern-Kill-Chains-Real-World-SaaS-Attacks-Wednesday.pdf

DEF CON (BHでも講演有) : Self-Hosted GitHub CI/CD Runners: Continuous Integration, Continuous Destruction

GitHub Actionsを実行するためのRunnersを利用した攻撃方法についての発表でした。

APIで対象のRunnerの情報を取得し、権限確認後、ContributorになってC2サーバを埋め込むといった一連の流れから、 その詳細までみっちりと解説があり、非常に面白かったです。

対策方法はRunnersの設定やアクセストークン・シークレットを適切に管理しましょう、といった一般的なものが多かったですが、 攻撃のロジックやなぜ脆弱なのか?といった説明がわかりやすく、技術を探求するDEF CONらしさが味わえました。

講演はDEF CONのメディアサーバに上がっていますので、詳細気になる方はこちらからご覧ください。

https://media.defcon.org/DEF%20CON%2032/DEF%20CON%2032%20video%20and%20slides/

現地Tips

トコジラミが、盗難が、といった不安を覚える話を出発前によく聞きましたが、いざ現地に着いてみると意外と安全でした。(ただ事故がおきなかっただけ) とはいえここは運もあると思うので、しっかりと対策はして行った方が良いと思います。 (NFLabs.のエンジニアブログにトコジラミ対策等の詳細が書かれていたので、対策の詳細を知りたい方はこちらのブログを見てみてください) https://blog.nflabs.jp/entry/2024/09/19/133000

上記ブログで紹介されている以外のTipsとして以下もあります。

  • サングラス・日焼け止めは必須
  • 一応羽織るものはあった方がいい

夏のラスベガスはとても暑く、気温は40度を超えます。 ただ非常に乾燥しているので、筆者的にはジメジメとした暑さの日本より快適に感じました。 また、外がやたらめったら暑い一方で、室内は寒いと感じるレベルで空調が効いている場所も多いです。なので筋肉量少なめエンジニアは防寒具を持っていくことをお勧めします。 (とても寒がりな上司はウルトラライトダウンを持って行ってもいいくらいと言っていました。)

現地の移動手段については、Lyft/Uber、モノレールあたりが良いと思います。 特にモノレールはDEF CON会場への移動手段として役立ちますし、複数日乗る場合はお得な○日券みたいなのもあります。 UberはBlack Hat会場への行き来で使いましたが、混雑しているスポットもあるので配車場所には要注意です。

先人達から現地Tipsを教わり、なんとか生きながらえることができました。(ありがとうございます) 来年以降ラスベガスへ行かれる方たちに、このTipsが役立てば幸いです。

おわりに

BSides Las Vegas、Black Hat USA、DEF CONと盛りだくさんで非常に充実したラスベガス出張でした。 こういった機会を与えてくれるNTT Comには感謝しかないです。 担当分野の知見向上はもちろんですが、専門外の分野についての知見も広がるので、 今後のキャリアを考える上でも有意義な出張になりました。 また参加者同士の交流があるというのは、現地参加の大きなメリットだったかと思います。 海外の方との交流は言わずもがなですが、海外だからこそ日本からの参加者とも密な関係を気づくことができたのは非常に大きな収穫でした。

© NTT Communications Corporation 2014