この度、筆者は世界有数のサイバーセキュリティカンファレンスであるBlack Hat USA 2022に現地参加する機会を得た。
サンフランシスコで開催される「RSA Conference」に並び、世界最大級のセキュリティに関する国際イベントとして位置づけられている「Black Hat USA 2022」も、新型コロナウィルス流行の影響を受け、2020年度はオンラインのみでの開催となっていた。翌2021年にはオンサイトでの開催が復活し、2022年も引き続きオンサイトでの開催が実現した。
当社は、セキュリティ動向に関する調査や、最新の製品・ソリューションの情報取集のために例年Black Hat USAに参加してきた。本ブログでは、普段セキュリティ診断に従事しているセキュリティコンサルタントの視点から見た、Black Hatのポイントや、コロナ禍でのオンサイト参加で感じた会場の様子、筆者が聴講した発表の中で印象に残ったテーマを抜粋しレポートする。
Black Hat USA 2022 会場入り口
Black Hat USAって?
まずはじめに、Black Hat USAについて簡単に紹介する。Black Hatは例年ラスベガス、ロンドン、シンガポールの3都市で開催される著名なセキュリティカンファレンスである。2022年度も世界100か国以上からセキュリティに携わる人々が集まる一大イベントとなっている。Black Hatで提供されるセキュリティに関する多様なコンテンツを一部抜粋して紹介する。
- TRAININGS
最新のペネトレーションテクニックやインフラに対するハッキングテクニックなど、幅広いトピックに関するハンズオントレーニングを提供するコンテンツである。 - BRIEFINGS
情報セキュリティに関する最新の研究成果が発表される場であり、世界中の専門家が新規の脆弱性や攻撃手法、セキュリティ界隈の社会的な動向など多岐に渡る分野の発表が行われるコンテンツである。 - ARSENAL
開発者が最新のオープンソースソフトウェアツールや製品をBlack Hat参加者に向けて展示、紹介するコンテンツである。会場では各種ツールのデモンストレーションはもちろん、質疑応答やハンズオンの提供など参加者と開発者の交流が盛んに行われている。 - BUSINESS HALL
世界中から集まる出展ベンダによるブースが設営され、最新のソリューション紹介や参加型のイベントなどが提供されるコンテンツである。会場では最新の製品情報収集に加え、ベンダや参加者とのコネクションづくりを行うことができる。
今回筆者はBRIEFINGでの技術情報収集と、BUSINESS HALLでの最新ソリューション、製品動向調査をターゲットとして参加した。
余談となってしまうが、ホテルの中にはカジノがあったり、サーカスなどのショーも行われたりと、初めてラスベガスを訪れる方はホテルの中を見て回ることで手一杯になってしまうのではないだろうか。
しかしながら、開催地であるラスベガスを訪れた際はぜひホテルの外にも足を運んでみてほしい。筆者が宿泊先から離れた場所で夕食を取った後、少し街を散策してみたのだがホテルの中にいるだけでは気づけないホテルや建物の外観に興味を惹かれることが多々あった。
例えば筆者が宿泊したホテルLuxor Resort & Casinoはエジプトのピラミッドを模した構造になっていたり、街中には巨大なライオン像や自由の女神が立っていたりと街中にも人々を魅了する仕掛けが多数用意されていることが印象的であった。
コロナ禍でのBlack Hat USA 2022の様子は?
次に、ポストコロナ禍におけるBlack Hat開催状況の報告と併せて現地の様子をレポートする。
まずはBlack Hat USAへ参加するための条件について見ていこうと思う。そもそもBlack Hat USAに参加するためにクリアすべきコロナ関連の条件があるのかという点であるが、居住地域などの諸々の条件によって必要な対応が変わる可能性があるものの、日本在住の筆者に関しては参加に際しワクチン接種証明やPCR検査結果の提示などは特に求められなかった。
参考として、2022年7月に開催されたRSAカンファレンスの参加条件を記載しておくと、ワクチン接種回数の確認や48時間以内の陰性証明が要求されていた。このように、開催地は同じアメリカ国内でもコロナウィルスへの対応はカンファレンス毎にかなり差がある状況となっている。
現地での運営によるコロナ対応としてはマスクの着用を強く勧めるという掲示は出されていたものの、大半(筆者の感覚では8割程度)がマスクを着けずに参加していたことが印象的であった。加えて、BRIEFINGの各発表会場やBUSINESS HALLのベンダブース、朝食会場など会場全般においても、日本でよく見られる座席間にパーティションを設けるといった対策は見受けられなかった。
朝食会場の様子
最後に、会場の盛り上がりについてもレポートしておこうと思う。具体的な参加者数については執筆時点で公式からの発表はないものの、会場の通路が人でいっぱいになりエスカレーターに長蛇の列ができるなどコロナ禍とは思えないほど会場が盛り上がりを見せていた。
Business Hallへの出展ベンダ数の変化を見ると、2021年度はコロナ禍に突入後初めてのオンサイト開催で現地に出店しているベンダ数はわずか142社であったが、2022年度は出展ベンダ数が381社と2021年度の2倍以上となっていた。
現地の勢いからもベンダ側も直接参加者にアプローチできる現地出展へと積極的に舵を切っている印象を受けた。また、Black Hat公式サイトに掲載されているBusiness Hallのフロアマップを見ても、Business Hall会場のスペースが大きく拡張されておりコロナ禍以前の活気を取り戻しつつあるように感じた。
BUSINESS HALLのベンダブースの様子
Black Hat USA 2022で印象に残った発表は?
今回のBlack Hat USAにおけるBRIEFINGではセキュリティ専門家たちによる100件近い発表が行われた。いずれも最新のセキュリティ研究や、攻撃手法の考察など非常に興味深い内容ばかりであったが、筆者が聴講した発表の中で印象に残ったテーマを抜粋し紹介していこうと思う。プライバシー・レッドチームの作り方|Better Privacy Through Offense: How To Build a Privacy Red Team
概要
これは、Facebookを提供するMetaの研究者による講演で、ユーザのプライバシー情報に対する攻撃へのリスクを評価するチームを結成・運用した経験に基づいた知見を報告するものであった。筆者も業務にてレッドチームオペレーションやペネトレーションテストに参加した経験はあったものの、これまでの業務では顧客環境からの情報窃取やサーバへの侵入といったテーマでの実施が多く、プライバシーに特化したレッドチームとはどういうものだろうかと興味を惹かれ本セッションを聴講した。プライバシーレッドチームについて
プライバシーレッドチームは、「ユーザのデータやプライバシーを保護する際に発生しうる実リスク特定するために攻撃者の観点から人、プロセス、技術に関するテストを行う。」というミッションを達成することを目的としたレッドチームである。
このミッションを達成するためにプライバシーレッドチームが果たすべき機能として発表の中では大きく4つの機能が挙げられていた。発表の構成や時間の都合上、詳細については説明が割愛されてしまった部分があったものの、発表資料および筆者の理解をもとに各機能について以下にまとめる。
|
No. |
Function |
Description |
|
1 |
Privacy Adversary Modeling |
・プライバシーを狙う攻撃者のTTPを把握するためのフレームワークを用いたMeta独自の脅威のモデリング |
|
2 |
Technical Assessments |
・従来のレッドチームオペレーションのように、実在する攻撃者の活動に対する防御能力に関するテスとの実施 ・Blueチームとの協働による特定のTTPに対する防御側の堅牢性に関するテストの実施 |
|
3 |
Privacy Weakness Cataloging |
・プライバシー問題に関する情報の集約 ・プライバシーリスクの評価方法の定義、議論の際のフレームワークの提供 |
|
4 |
Educate & Inform |
・プライバシーに関する教育とトレーニングの実施 |
プライバシーレッドチームの構成
発表では実際にチームを結成するにあたって、どのような観点で着目し人材を集めたのかというチームビルディングの方針についても説明があった。
実際にチームを構成する際には、リスクの評価ではなく技術的な評価を行うことに焦点を当て、Red Teamers, Pen Testers, Vulnerability/Security Researchers, AppSec Engineersという4つの職種から、 Adversarial mindset、Offensive security skillset、Privacy instinctsの3つのスキルを備えた人材を選抜したとのことであった。
筆者は業務の一環としてペネトレーションテストや、レッドチーム演習に携わる過程で、他社のペネトレーションテストサービスの情報収集を行った経験もあるが、具体的にチームメンバの構成方針まで知る機会はなかったため、今回の発表の中でチーム構成の方針を説明してもらえたことは非常に有益であった。
上述した機能を実現するための役割分担はありつつも、その分野に特化した人材をリクルートするというのは人材の流動性が高い企業ならではのやり方であると感じる。一方で、SNSというユーザのプライバシーに関わるサービスを運用する以上、企業としてプライバシーの保護を非常に重要視しており、そのために一から人材を集めることも厭わないという思いも本発表から感じることができた。
まとめ
レッドチームに携わる立場として、今回の講演を通して他社の取り組みを知ることができたのは非常に有益な経験であった。特に教育や情報の伝達をプライバシーレッドチームの活動として組み込んでいるという点は印象的であった。
確かにこれらのコンテンツにレッドチームオペレーションやペネトレーションテストを実施する技術者が参加することで、実例や最新のトピックをコンテンツに盛り込むことができるため、非常に有益であると思う。一方で、実施経験者の立場からすると実際の技術的な試行に加えて、教育活動に関するコンテンツ作成やトレーニング講師など担当スコープがかなり広くなるため、人材の確保や役割の分担については慎重に検討する必要があるのではないかと感じた。
本発表を通してプライバシーレッドチーム立ち上げの立役者の経験談を直接聞くことができ、自身が携わる業務の新たな形を考えるきっかけとして非常に有益なセッションであった。
バグバウンティの進化|Bug Bounty Evolution: Not Your Grandson's Bug Bounty
概要
こちらの発表は近年注目を集めているバグバウンティについて、Microsoft社でバグバウンティプログラムの立ち上げに携わった発表者がバグバウンティプログラムの変遷や現代のバグバウンティの特徴について解説をするものであった。
現代のバグバウンティプログラムが抱える問題
発表の中では現代のバグバウンティプログラムが抱える問題について、「増加するバグに対応するためにバグバウンティプログラムの懸賞金は上がっているのにも関わらず、依然として組織が脆弱なままであるのはなぜか?」と発表者が聴衆に問いかける場面があった。発表者はその理由として「バグバウンティプログラムが組織の内部的な問題を解決することができない」という点を挙げている。
発表の中では組織の内部的な問題として、セキュリティ人材・ポジションの不足、脆弱性対応に関するプロセスの不備が指摘されていた。バグバウンティプログラムは表面的なバグや脆弱性を取り除くことはできても、そのバグを作り込んだ根本的な原因を取り除くことはできず対症療法にとどまってしまうことが大きな問題として提起されていた。
また、この問題に関連して、バグバウンティプログラム自体は素晴らしい試みであるものの、プログラムに投じられた懸賞金の金額や、プログラムによりいくつバグが見つかったかと言うような目先の数字にとらわれるのではなく、組織の中の脆弱性対応のプロセスがきちんと成熟しているかに目を向けることを重視すべきであるという発表者の見解も示されていた。
バグバウンティプログラムの話から少し脱線してしまうが、これまでセキュリティ診断業務に携わる中で、組織内での脆弱性対応プロセスの確立は重要なポイントであると感じる場面があった。
セキュリティ診断はシステムに存在するセキュリティ的な脆弱性を見つけることはできても、診断単体ではバグバウンティプログラム同様に内部の対応プロセスまで踏み込んで改善していくことが難しい。そのため、セキュリティ診断実施を目的にするのではなく、診断を受けて発見された問題を修正するというサイクルの確立、今後同じ問題を作り込まないための開発プロセスの改善など組織的な対策と組み合わせることでより高いセキュリティレベルを実現することができるのではないかと考えている。
突然のバグバウンティプログラム紹介
発表の終盤で、発表者が所属するLUTA SECURITY社が提供するバグバウンティプログラムの紹介があったことも非常に印象的であった。こういったサプライズ的な要素を発表の中に組み込むことで聴衆の興味をうまく引き付けているなと発表の仕方についても参考になる部分が多く見られた。
同社HPにバグバウンティプログラムが紹介されているため、興味を持たれた方はぜひ訪れてみて欲しい。参加にあたっては同社との実施調整など遵守すべき条件がいくつかあるため、無許可で同社サービスを攻撃するということはないように注意していただきたい。
まとめ
本発表ではバグバウンティの歴史に始まり、現在のバグバウンティが抱えている問題まで、バグバウンティ全般に関する知識を学ぶことができた。当初期待していた通り、表面的なバグバウンティの説明だけではなくバグバウンティプログラムの歴史や抱えている問題などより踏み込んだ内容を聞くことができ非常に有益な発表であったと思う。
また、聴衆のバグバウンティへの興味を高めた後、発表の最後に自社の宣伝を持ってくるという発表の構成についても今後の自身の発表の際に取り入れていきたいと思えるポイントであった。こちらの企業以外でもバグバウンティプログラムを提供している企業はたくさんあるので、バグバウンティに興味を持たれた方はぜひ決められたルールの中で新たな脆弱性の探究にチャレンジしてみてはいかがだろうか。
セッション時のスピーカーの様子
終わりに
オンサイト参加とリモート参加にはそれぞれメリット・デメリットが存在するが、今回のオンサイト参加では以下の2点がメリットとして強く感じられた。
1つめは、会場で議論を交わす参加者と発表者の熱を感じることができた点である。セッション終了後、スピーカーのもとへ質問がある人が集まり行列を作りながら、熱心に議論を交わしていたことが非常に印象的であった。
2つめは、BUSINESS HALLにて自社製品の強みに関して関係者から直接製品の説明を受けることができた点である。実際に開発に携わった技術者がブースでの説明を担当している企業もあり、企業のHPや広告からでは読み取ることができない情報を得ることができた。また筆者の拙い英語にも真剣に耳を傾け、丁寧に製品の説明してくれたことも強く心に残っている。
リモート参加ではこれらのメリットは得られないのかと感じた方も安心してほしい。オンサイト参加ではないと上述したような現地の熱気を直接感じることは難しいかもしれないが、Black Hatでは専用のスマホアプリが提供されている。
リアルタイムでのセッションの聴講はもちろん、チャット機能を利用した発表者との質疑応答、参加者とつながることができるSNS機能などリモート参加者もBlack Hatを楽しめるような配慮がなされている。
Black Hat USA 2022初日のKey Noteのタイトルは"Where Do We Go from Here?"というものであったが、筆者はこの1文にはセキュリティに携わる者として今まさに考えなければならないことが詰まっていると捉えている。
筆者は入社以来一貫してセキュリティ診断業務に携わってきたが、日々の業務の中でセキュリティには唯一つの正解は存在せず状況や環境に応じて取るべき対策は異なるということを実感してきた。コロナ禍によりリモートワークの導入などビジネスの形そのものが大きく変容する中で、リモートワーク環境を狙った攻撃や、コロナ関連の話題を装ったメールによるフィッシング攻撃など攻撃の手口も時代の流れに合わせて続々と新しいものも出現している。
昨日まで正解だと思われていた選択が今日の不正解となってしまう状況がよりいっそう顕著になっており、今まで以上にセキュリティへのアンテナを張る必要があるということは皆さんも感じることがあったのではないだろうか。
セキュリティに関する状況が刻一刻と変化していく中で、唯一つの正解が存在しない「"Where Do We Go from Here?":ここから我々はどこに向かえばよいのか?」という人々がセキュリティに関して抱く問いに対し、どんな時でもセキュリティの専門家集団として答えを出し続けていくNRIセキュアテクノロジーズの一員でありたいと強く思う。
