-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
セキュリティ診断グループの山本です。
前回の「Black Hat USA 2017とDEFCON 25に参加してきました。」に続き、今回は私が参加したトレーニングと興味深かったセッションについてご紹介したいと思います。
Black Hat USA 2017について
Black Hatでの最初の4日間は以下のトレーニングを受講しました。
このトレーニングは、米国のIoTセキュリティ会社SENRIO社・Xipiter社によるものです。SENRIO社は今年7月にセキュリティカメラなどのIoTデバイスの乗っ取りが可能となる「Devil's Ivy」と呼ばれるスタックバッファオーバーフローの脆弱性を発見したことで知られています。
講習はハンズオンで、ルーターやネットワークストレージといった実際のデバイスに対して、ハードウェア基盤上のUART、JTAG、SPI回路から侵入し、バックドアを作成したり、デバッガーなどを使用してルート権を奪取したりしました。またEEPROMメモリからファームウェアを取り出して、ファームウェアを改ざんしてデバイスに戻したりといった事も行いました。その他にも処理時間の差によるタイミング攻撃の手法を学びました。日本のトレーニングと違い、ハンズオンの答え合わせはせずに、ハンズオンの時間内に分からないところがあれば各自が質問をして明確にしていくという形式でしたので、トレーニングについていくことが大変でした。
Black Hatでのブリーフィングの中で私が気になったものを以下にご紹介します。
洗車機への攻撃の発表です。洗車機のオーナーが管理用に利用するWebインターフェースがインターネットに公開されており、そのWebインターフェースには脆弱性があったため、車が洗車中の状態で洗車機の扉が突然閉まり、洗車機のローラーを車体の高さよりも低く下げ、車を破壊するといった事がリモートから出来たという内容でした。 また、ユーザを物理的に攻撃することが出来た初めてのエクスプロイトであると発表していました。
DEFCON 25について
DEFCONもBlack Hatと同様にIoTやハードウェアに関する内容が多かったと感じました。
またビットコインやブロックチェーンといった最新テーマのセキュリティの発表もされていました。
私個人としては、IoTで利用されている様々な無線通信規格の通信を調査できるソフトウェア無線(Software-Defined-Radio)や、ビットコインのハードウェアウォレットへのサイドチャネル攻撃の発表が大変興味深かったです。今後の診断技術に活かしていきたいと思います。
- ソフトウェア無線(Software-Defined-Radio) に関する発表
Radio Exploitation 101: Characterizing, Contextualizing, and Applying Wireless Attack Methods
- ビットコインのハードウェアウォレットへのサイドチャネル攻撃に関する発表
Breaking Bitcoin Hardware Wallets
なおDEFCONの全ての発表資料はこちらから確認できます。
さいごに
昨年に引き続き、Black HatとDEFCONに参加して感じたことですが、世界中からセキュリティエンジニアや研究者が集まり、セキュリティを向上させるという目的でハッキングをして見つけた脆弱性を発表し、拍手喝采を浴びている姿を目にし、改めてセキュリティの面白さや刺激をたくさん受けました。
ぜひ皆さんも機会がございましたら、この雰囲気を一度味わってみられてはいかがでしょうか。
続きの(その3)では、Black Hat USA 2017のトレーニング(実習)についてご紹介します。こちらもぜひご覧ください。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR