ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」
無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。
特集
特集
●海外カンファレンスの魅力
遠く海外まで行ってカンファレンスに参加する、日数も費用も掛かる。上司の説得も大変だ。帰ってからの報告書も面倒だ。それを押しても余りある魅力があるから、海外に行くのさ。
どうしても国内では、攻撃に悪用される恐れのあるグレーな話は避けられ、スポンサー企業や政府には配慮し、特定企業をネタにすることもしない。無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。
最先端の技術トピックや国内では未発表のネタ、国によって違う考え方を体感するには、やっぱ行くっきゃない。脆弱性なら見つけた人から直接聞きたいよね。まだ裏が完全に取れていないネタなんて最高のご馳走だ。
日本でも海外から第一人者を招いているカンファレンスとしてCodeBlue、PACSEC、AVTOKYOがある。そこで海外スピーカーの魅力に取りつかれたら、もうこちらから海外に出て行くしかない。今年のHITCONへの日本からの参加者は、筆者が把握している限りで20人を超えていましたよ。
●海外カンファレンス参加の注意事項
あらかじめ言っておくけど、上司は決して以下のようなことを部下に言ってはいけないよ。
「会社の費用で参加してきたんだ、向こうで学んだことが皆にわかるように報告書を書きなさい」とか、「会社に還元しなさい」とか。
何を学んだかは言えるけど、学んだことを参加していない人にわからせるのは、無理!無理!無理ゲー! 絶対無理ゲー!
体験を他人に理解させるのは無理です。それができたら、その人は講演者を超えています。
これから書く内容からもわかるように、報告書よりも事前準備をしっかりやらせた方がいい。成果は、参加した人が成長したってことでいいじゃない!
●HITCONの人気がある理由
講演者には、過去のBlackHatスピーカー経験者も多い。つまり内容のレベルの高さはBlackHatに匹敵する。開催メンバーによるCTFチームは世界最高レベルのDEFCON CTFに初参加ながら、米国の強豪PPPに次いで2位になるなど、世界的にも躍進が注目されている。
そんなHITCONには、遠くアメリカまで行かなくても、たった3時間半のフライトで台北に着きます。シェラトン・ホテルで開催のEnterpriseが10,000台湾ドル(2014年9月1日為替レート3.48円で換算し約35,000円)、Playgroundの2日間だけだったら参加費用は2,000台湾ドル(約7,000円)と、国際カンファレンスの相場からみると、かなり安い。
講演は英語か中国語で、中国語の時は英語の通訳の音声が付きます(Enterpriseはレシーバー、PlaygroundはメイントラックのみでStreaming配信)。多くの国がこの2か国語でカバーできるのと、地理的にも来やすいことから、韓国、香港、マレーシアなどからカンファレンスでの講演やCTFでおなじみの著名人が多く参加していたよ。
●事前の情報収集が大事
どれだけ成果を持って帰れるかは、どれだけ準備していくかにかかっている。Enterpriseは2トラック(2本同時)、Playgroundは3トラック(3本同時)のプログラムだったけど、どれを聞くかあらかじめ見当をつけておいた。もちろんその場になって変更は有りだけど、全容を把握していないと、期待した内容と違っていたり、隣の会場でどよめきが起きて隣へ移動するなんてできないからね。
それに毎年トレンドがあって、2年前はAPTやサイバー・テロといった話題が多かったけど、今年はAndroidやフォレンジックの話にシフトしてきている。旬なネタは人気があるので、早めに席を確保した方がいい。
●そして全力で楽しもう
会場のIRCでリアルタイムの呟きが掲載されていたので、面白い講演は後ろのドアからどんどん聴講者が入って増えていく。私も何度か荷物とノートPCを抱えて別会場へ移動しました。
講演が終われば挙手による質問の時間があるけど、それでも聴き足りない人達は前に押しかけて講演者を囲んで質問攻めにしていました。日本だと列に並んで名刺交換という風景が多いけど、こっちは熱い議論ですよ。
この議論を聴きたい人がさらに周囲を囲んで、講演以上に盛り上がっちゃう。スピーカーが英語だと、通訳を交えて中国語と英語がゴッチャになって飛び交っちゃう。聞いているだけじゃない、積極的に楽しむのが一番面白いのさ。
●英語が苦手でも大丈夫
参考までに筆者のTOEICの最高スコアは675、全然大したことはない。でもスライドを読むのと話を聞くのは何とかなる。英語が苦手でも質問したい、議論したいことがあれば、公開されているAGENDAをもとに聞きたい論点を整理して英語に訳しておくといい。パソコンの画面でも印刷した紙でもいい、こうしておけば発音がおかしくても、だいたい大丈夫だ。
後半では主に講演内容を紹介しますよ!
関連記事
![[レポート] 10周年、DEFCON CTF2位、CTF日本人チーム優勝など注目の台湾カンファレンス「HITCON X」 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/11147.jpg)
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威Nagios XI のスケジュール機能における OS コマンドインジェクションの脆弱性(Scan Tech Report)
Nagios XI に、スケジュール機能のコードに存在する入力値検証不備に起因する、遠隔から任意の OS コマンドを実行させることが可能となる脆弱性が公開されています。
-
Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)
Microsoft Windows に、サービス起動時に操作するファイルの検証不備に起因する、任意のファイルの書き換えが可能となる脆弱性が、報告されています。
-
汚染された Tor ブラウザ、狙われるダークウェブ利用者
ダークウェブへの入り口ともいえるTorブラウザ。オニオンルーターという追跡を困難にするしくみを利用したブラウザで、ブラック、ホワイトを問わずハッカー御用達ブラウザといってよい。そのTorが悪人によって汚染されていたらどうなるのか?
-
DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演
Farsight SecurityのCEO ポール・ビクシー氏が、DNS over HTTPS(DoH)について講演した。DoHは、いくつかのブラウザで実装が進み、試験運用などがスタートしているが、DNSの権威であるビクシー氏はどう考えているのだろうか。
ソース・関連リンク
- HITCON
- ここが変だよ日本のセキュリティ 第1回「被害総額14億円という規模」
- ここが変だよ日本のセキュリティ第2回「中長期的に効果の高い対策」
- ここが変だよ日本のセキュリティ第3回「台湾HITCON突撃レポート前編」
- ここが変だよ日本のセキュリティ第4回「台湾HITCON突撃レポート後編」
- ここが変だよ日本のセキュリティ 第5回「2014年は脆弱性が豊作!セキュリティ担当者の憂鬱」
- ここが変だよ日本のセキュリティ第6回「2014年は脆弱性が豊作!報告書の書き方」
- ここが変だよ日本のセキュリティ第7回「会社が教えてくれないSNSの歩き方~いいね!ボタンの先に善意はない」
- ここが変だよ日本のセキュリティ第8回「会社が教えてくれないSNSの歩き方~自爆・炎上防止チェックリスト」
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Nagios XI のスケジュール機能における OS コマンドインジェクションの脆弱性(Scan Tech Report)
Firefoxにリモートコード実行の脆弱性、国内でも攻撃を確認(JPCERT/CC)
マルウェアは「Emotet」が3カ月連続でトップに--月例レポート(チェック・ポイント)
富士ゼロックスの複数のスマホアプリに盗聴などが行われる脆弱性(JVN)
「IE」のJScriptスクリプトエンジンに未対策の脆弱性、悪用も確認(JVN)
Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)
インシデント・事故 記事一覧へ
検索結果上位にカード情報求める詐欺サイトが表示、サイト管理会社へ不正アクセス(妙高高原ビジターセンター)
Webサイトへ不正アクセスの疑い、メール会員機能を一時的に中止(相模原市自治会連合会)
元社員が作業文書等を無断で社外に持ち出し、不正競争防止法違反容疑で逮捕(ソフトバンク)
障がい者支援施設利用者の個人情報が記載された書類ファイルを紛失(大阪府)
生涯学習課で「使用料及び光熱水費弁償金に係る納入通知書」を一時紛失(名古屋市)
児童の写真が保存されたSDカードを紛失(福岡市)
調査・レポート・白書 記事一覧へ
上場企業の個人情報漏えい・紛失事故を総括、2019年最多は「宅ふぁいる便」への不正アクセス(東京商工リサーチ)
脆弱性届出、製品別の1位は「スマホアプリ」--四半期レポート(IPA)
脆弱性ではXSS、製品はAndroidおよびLinuxが上位を占める--JVN登録状況(IPA)
インシデント報告、フィッシングサイトの割合が7割近くまで増加(JPCERT/CC)
ディープフェイク、偽旗攻撃、ランサムウェア--2020年サイバー脅威予測(カスペルスキー)
「改ざんサイト」は2019年8月から急増、検索結果から誘導(デジタルアーツ)
研修・セミナー・カンファレンス 記事一覧へ
「ハッカーが活躍できる社会を作る」2年間の成果とこれからの展望…日本ハッカー協会独占インタビュー
PCI DSS要件の脆弱性スキャンとペネトレーションテストを内製化する2日間研修(fjコンサルティング)
インターネット安全利用の基礎を学ぶ無料セミナー(fjコンサルティング)
汚染された Tor ブラウザ、狙われるダークウェブ利用者
「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社
DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演
製品・サービス・業界動向 記事一覧へ
「Cybereason EDR」とSOCをあわせたマネージドサービスが月額46万円から(NECネッツエスアイ)
広告代理店向け、ネット広告詐欺保険(損保ジャパン日本興亜、モメンタム)
iOS、Androidに過剰な利用料金課すフリースウェア、ルールの紙一重を突く(ソフォス)
脆弱性診断の「T型フォード」、技術標準化は学生のセキュリティ業界就職の可能性広げるか
「Exosphere Endpoint Protection」シリーズにDLP製品など追加(JSecurity)
O365活用クラウドサービスにOutlookアドインの誤送信対策ツール追加(SBT)
おしらせ 記事一覧へ
ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
