Black Hat USA 2017とDEFCON 25に参加してきました。

ペンテストグループの吉田です。

毎年夏にラスベガスで開催されるセキュリティカンファレンス「Black Hat USA」と「DEFCON」に参加してきました。今年の様子の一部をご紹介します。
いつか参加したいと考えている方や、今年参加できなかった方のご参考になれば幸いです。

Black Hat USA 2017 ^*1 は2017年7月22日～27日に、DEFCON 25 ^*2 は2017年7月27日～30日で開催されました。Black HatとDEFCONは最新のセキュリティ情報が得られることから、毎年日本からもセキュリティエンジニアが参加しています。弊社からも数名参加し、セキュリティ診断を実施している私の部からは3名が参加しました。

Black Hat USA 2017について

Black Hatでの最初の4日間はトレーニングが行われており、私は以下を受講しました。

• Defense and Offense: Understanding attackers through Red Team tactics

このトレーニングは、TrustedSec社 ^*3 によるものですが、TrustedSec社の創設者David Kennedy氏はペネトレーションテスターであり、書籍「Metasploit ^*4 」の執筆者の一人です。この本は、オライリー・ジャパンから「実践Metasploit ^*5 」というタイトルで監訳本が発売されており、こちらの方がなじみのある人が多いかもしれません。

講習はハンズオンでペネトレーションテストツールを利用し、攻撃用OSから攻撃対象サーバに対して、実際にバックドアを作成する方法や手順を、攻撃者が実施するような流れで学びました。複数のサーバに、いくつかの脆弱性が用意されており、それらに対し、どのツールをどのように活用すれば、効率的に侵入できるかを解説していました。手を動かしながら確認ができ、個人的には考え方が整理されて非常に楽しく受講することができました。

Black Hat後半の2日間はBriefingが行われており、幅広いジャンルの発表が行われていました。その中のひとつで私が気になったものを以下にご紹介します。

• WEB CACHE DECEPTION ATTACK by Omer Gil

ユーザがログインした後に表示されるような重要な情報が、意図せずWebキャッシュサーバに保存され、誰でもキャッシュされた情報にアクセス出来てしまうという脆弱性です。今年の2月くらいに発表者のBlogで紹介され、すでに内容を確認されている方も多いかと思います。

この脆弱性が気になった理由は、一緒にいた知り合いがぼそっと「これうちでもあるかも、、、」と言っていたためです。対応できていない、もしくは、まだ認識されていない方もいるかもしれないと思った次第です。皆さん、改めて自分たちは大丈夫か確認してみてはいかがでしょうか？

DEFCON 25について

DEFCONでの初日は、Black Hat会場の方にいたので、残念ながら行けず、2日目から参加しました。こちらはアカデミックなBlack Hatに比べて、お祭りイベントのような雰囲気でした。年齢層も幅広くおじいちゃんが黒いDEFCON Tシャツを着て、杖を突きながら歩いてきて、聴講している姿を見ると、イベントへの参加を楽しんでいるんだな～と思いました。（思わず自分もTシャツを買ってしまいました！）

スピーカー達はドローンの制御を乗っ取ったり、LTE通信を乗っ取ったりと、動画を交えながら行う発表がわかりやすくも、非常に興味深かったです。一部の発表はyoutubeにも公開され始めていますので、是非ご覧になってみてください。

その他

Black HatやDEFCONの期間中は、ベンダー主催のパーティーなどもあり、それらに参加すると海外の方やカンファレンスに参加している日本人のセキュリティ技術者との交流もできたりします。私も何度か食事に行き、色々な方とお話ができて非常に有意義な時間を過ごさせていただきました。

さいごに

今回は、Black Hat USA 2017とDEFCON 25の様子を報告しました。今後も何か参考になりそうな情報があれば、皆さんにご紹介できればと思います。

「Black Hat USA 2017とDEFCON 25に参加してきました。（その2）」では、トレーニングと興味深かったセッションについてご紹介していますので、合わせてご覧ください。

• *1Black Hat USA 2017
• *2DEFCON 25
• *3TrustedSec社
• *4Metasploit
• *5実践Metasploit