世界最大級のセキュリティカンファレンスBlack Hat USA 2023およびDEF CON 31 参加レポート Part.1 「Black Hat USA編」
当社でセキュリティサービスを担当している4名のエンジニアが、世界最大級のセキュリティカンファレンス「Black Hat USA」と「DEF CON」に参加してきました。セキュリティ業務に関わっている方以外でも、海外カンファレンスの雰囲気が知りたい方、海外への出張や旅行を計画されている方にとって、少しでも有益な情報となれば幸いです。
参加レポートは、Part.1「Black Hat USA編」とPart.2「DEF CON編」の2回に分けてお届けします。
今回はPart.1「Black Hat USA編」です。
4年ぶりのマッカラン・・・ではなくハリー・リード国際空港
Black Hat USA
Black Hat USAは、今年で26回目の開催となる国際的なセキュリティカンファレンスです。欧州やアジアでも開催されますが、米国ネバダ州ラスベガスで開催される「Black Hat USA」は最も規模が大きいカンファレンスです。TOiNXからは4年ぶり、4回目の現地参加となりました。
全体では8月5日から10日までの開催スケジュールですが、今回は9日から10日のカンファレンスに参加してきました。
お馴染みの記念撮影スポットも健在
Black Hat USAは、「ブリーフィングス」と呼ばれる講演を中心に、「ビジネスホール」と呼ばれる製品展示会、「アーセナル」と呼ばれるセキュリティツールの展示など、多くのイベントで構成されます。
ライブ感が漂う基調講演前の会場
ブリーフィングス
ブリーフィングスは、AI、クラウド、サイバー保険、エクスプロイト、マルウェア、サイバーフィジカル、ヒューマンファクタやモバイルなど23のカテゴリに分類され、10セッション以上が同時に進行する非常にパワフルな講演です。今回、当社からは4名が参加できたため、手分けして様々な講演を聴講しました。
一部の講演資料はBlack Hat USA公式サイトで公開されているため、詳しく知りたい方はそちらをご覧ください。
https://www.blackhat.com/us-23/briefings/schedule/
講演合間のブリーフィングス会場の様子
ビジネスホール
ビジネスホールには日本でもお馴染みの大手セキュリティ企業も多く出展していますが、今回特に興味関心を持って訪れたのは、セキュリティ分野におけるスタートアップ企業だけを集めた「START-UP CITY」というエリアです。企業規模はまだ小さいものの、他社にはない特長を持った製品が多く展示されており、新しいニーズやシーズを発見することができました。
ビジネスホールの様子
例えば、当社の「セキュリティ診断サービス」に係る展示として、米国カリフォルニアに本社を置くHotWAN社が展示していた「Pen Test Assistant」がありました。同社はペネトレーションテスト(特に無線通信やハードウェアのリバースエンジニアリング)で実績を有し、そのノウハウをRaspberry Piに落とし込んだ製品(ペネトレーションテストを自動化するアシスタント)を展示していました。なお、同社はPart.2で紹介している「DEF CON」のハッキングツール即売会でも展示していました。
HotWAN社の展示ブース
アーセナル
アーセナルでは制御システムセキュリティ関連のツールも展示されていました。「ICS Forensics Tools」は、Microsoft社のセキュリティチームが発表していたICS(産業制御システム)向けのフォレンジックツールです。制御システムの中心であるPLC(プログラマブルロジックコントローラ)は、制御ロジックが含まれるプロジェクトファイルを本体に書き込むことにより動作しますが、そのプロジェクトファイルが攻撃者により改ざんされていないかどうかを調べることができるツールでした。同ツールは、GitHubでも公開されています。
https://github.com/microsoft/ics-forensics-tools
以上、Part.1「Black Hat USA編」でした。
実際にはここに書ききれないほどに多くの発見があり、多くの人と出会い、様々な経験を積むことができました。Part.2「DEF CON編」は、「ハッカーの祭典」と呼ばれるに相応しい盛況ぶりでした。よろしければそちらの記事も合わせてご覧いただければ幸いです。
※ Part.2 「DEF CON編」はこちら
おまけ(お金事情)
ラスベガスの夜景
今回4年ぶりの海外渡航ということで、前回出張時(2019年)と比べて事情が変わっていたことが多々ありました。例えば、アメリカ入国時の税関申告書がなくなっていたのはその一例です。円安(出張当時 1ドル=147円)の影響も大きく受けました。ホテルや空港で18オンス(約500ml)の水1本を買うだけで4ドル(約600円)かかるということに頭を痛めました。
空港で販売されていた水の価格
しかし、もっともショッキングだったのは、ホテルの客室内にあるミニバーでした。客室内には日本と同じように冷蔵庫があり、開けると飲み物が入っているスペースの上部に「パーソナルシェルフ」なるスペースが存在します。
上部の赤丸がパーソナルシェルフ
コンビニなどで購入した自分の飲み物を冷やしておく箇所のようですが、なんとこのスペースは有料で、価格は驚きの「50ドル(約7,350円)」でした。ちなみに、冷蔵庫には価格の記載はなく、近くのQRコードを読み込むと価格表が表示される仕組みです。一見便利なミニバーシステムにはくれぐれもご注意下さい・・・。
筆者紹介
目黒 有輝(Yuki Meguro)
2011年、東北インフォメーション・システムズ株式会社(現:株式会社トインクス)入社。情報システムのセキュリティ業務に従事した後、2013年から技術研究組合制御システムセキュリティセンター(CSSC)に出向。出向解除後は、重要インフラ等で利用される制御システムを対象としたペネトレーションテスト(セキュリティ診断)や制御システムセキュリティをテーマとしたトレーニングサービス開発を担当。
セキュリティ人材の育成や普及啓発にも尽力しており、セキュリティ・キャンプ、IPA産業サイバーセキュリティセンター(ICSCoE)や大学等の教育機関における講師対応、仙台CTF運営委員、セキュリティイベント等での多数の講演実績を有する。
保有資格:GICSP, CISSP, GPEN, 情報処理安全確保支援士など
