ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」
無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。
特集
特集
●海外カンファレンスの魅力
遠く海外まで行ってカンファレンスに参加する、日数も費用も掛かる。上司の説得も大変だ。帰ってからの報告書も面倒だ。それを押しても余りある魅力があるから、海外に行くのさ。
どうしても国内では、攻撃に悪用される恐れのあるグレーな話は避けられ、スポンサー企業や政府には配慮し、特定企業をネタにすることもしない。無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。
最先端の技術トピックや国内では未発表のネタ、国によって違う考え方を体感するには、やっぱ行くっきゃない。脆弱性なら見つけた人から直接聞きたいよね。まだ裏が完全に取れていないネタなんて最高のご馳走だ。
日本でも海外から第一人者を招いているカンファレンスとしてCodeBlue、PACSEC、AVTOKYOがある。そこで海外スピーカーの魅力に取りつかれたら、もうこちらから海外に出て行くしかない。今年のHITCONへの日本からの参加者は、筆者が把握している限りで20人を超えていましたよ。
●海外カンファレンス参加の注意事項
あらかじめ言っておくけど、上司は決して以下のようなことを部下に言ってはいけないよ。
「会社の費用で参加してきたんだ、向こうで学んだことが皆にわかるように報告書を書きなさい」とか、「会社に還元しなさい」とか。
何を学んだかは言えるけど、学んだことを参加していない人にわからせるのは、無理!無理!無理ゲー! 絶対無理ゲー!
体験を他人に理解させるのは無理です。それができたら、その人は講演者を超えています。
これから書く内容からもわかるように、報告書よりも事前準備をしっかりやらせた方がいい。成果は、参加した人が成長したってことでいいじゃない!
●HITCONの人気がある理由
講演者には、過去のBlackHatスピーカー経験者も多い。つまり内容のレベルの高さはBlackHatに匹敵する。開催メンバーによるCTFチームは世界最高レベルのDEFCON CTFに初参加ながら、米国の強豪PPPに次いで2位になるなど、世界的にも躍進が注目されている。
そんなHITCONには、遠くアメリカまで行かなくても、たった3時間半のフライトで台北に着きます。シェラトン・ホテルで開催のEnterpriseが10,000台湾ドル(2014年9月1日為替レート3.48円で換算し約35,000円)、Playgroundの2日間だけだったら参加費用は2,000台湾ドル(約7,000円)と、国際カンファレンスの相場からみると、かなり安い。
講演は英語か中国語で、中国語の時は英語の通訳の音声が付きます(Enterpriseはレシーバー、PlaygroundはメイントラックのみでStreaming配信)。多くの国がこの2か国語でカバーできるのと、地理的にも来やすいことから、韓国、香港、マレーシアなどからカンファレンスでの講演やCTFでおなじみの著名人が多く参加していたよ。
●事前の情報収集が大事
どれだけ成果を持って帰れるかは、どれだけ準備していくかにかかっている。Enterpriseは2トラック(2本同時)、Playgroundは3トラック(3本同時)のプログラムだったけど、どれを聞くかあらかじめ見当をつけておいた。もちろんその場になって変更は有りだけど、全容を把握していないと、期待した内容と違っていたり、隣の会場でどよめきが起きて隣へ移動するなんてできないからね。
それに毎年トレンドがあって、2年前はAPTやサイバー・テロといった話題が多かったけど、今年はAndroidやフォレンジックの話にシフトしてきている。旬なネタは人気があるので、早めに席を確保した方がいい。
●そして全力で楽しもう
会場のIRCでリアルタイムの呟きが掲載されていたので、面白い講演は後ろのドアからどんどん聴講者が入って増えていく。私も何度か荷物とノートPCを抱えて別会場へ移動しました。
講演が終われば挙手による質問の時間があるけど、それでも聴き足りない人達は前に押しかけて講演者を囲んで質問攻めにしていました。日本だと列に並んで名刺交換という風景が多いけど、こっちは熱い議論ですよ。
この議論を聴きたい人がさらに周囲を囲んで、講演以上に盛り上がっちゃう。スピーカーが英語だと、通訳を交えて中国語と英語がゴッチャになって飛び交っちゃう。聞いているだけじゃない、積極的に楽しむのが一番面白いのさ。
●英語が苦手でも大丈夫
参考までに筆者のTOEICの最高スコアは675、全然大したことはない。でもスライドを読むのと話を聞くのは何とかなる。英語が苦手でも質問したい、議論したいことがあれば、公開されているAGENDAをもとに聞きたい論点を整理して英語に訳しておくといい。パソコンの画面でも印刷した紙でもいい、こうしておけば発音がおかしくても、だいたい大丈夫だ。
後半では主に講演内容を紹介しますよ!
関連記事
![[レポート] 10周年、DEFCON CTF2位、CTF日本人チーム優勝など注目の台湾カンファレンス「HITCON X」 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/11147.jpg)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンス企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと
脆弱性ハンドリングについては一定のルールが確立されている。グローバルで標準化された枠組みがあるものの、最近ではそれとは違った動きもみられる。脆弱性の発見と修正に懸賞金をかけることで、バグやセキュリティホールを潰すという考え方だ。
-
双葉電子工業のフィリピン子会社が Emotet 感染 ほか ~ 2019 年 11 月のふりかえり [Scan PREMIUM Monthly Executive Summary]
ラジコン機器や金型などで知られる双葉電子工業のフィリピン子会社が、マルウェア感染により同社のPCからメールアドレスが窃取されたことを発表しました。Emotet (エモテット)に類似しているスパムメールを受信したことで、アンチウイルスソフトが検出したとのことです。
-
クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用
モダンな C2 サーバーは、たとえば VirusTotal のようなセキュリティインフラすら利用して標的のデータを窃取し、クラウドサービス上に潜み、DNS 悪用してドメインを乗っ取っている。
-
Kibana の Timelion における JavaScript インジェクションの脆弱性(Scan Tech Report)
2019 年 10 月に、Elasticsearch のプラグインである Kibana で 2019 年 2 月に報告された脆弱性を悪用して、遠隔から任意のコードが実行可能となるエクスプロイトコードが公開されています。
ソース・関連リンク
- HITCON
- ここが変だよ日本のセキュリティ 第1回「被害総額14億円という規模」
- ここが変だよ日本のセキュリティ第2回「中長期的に効果の高い対策」
- ここが変だよ日本のセキュリティ第3回「台湾HITCON突撃レポート前編」
- ここが変だよ日本のセキュリティ第4回「台湾HITCON突撃レポート後編」
- ここが変だよ日本のセキュリティ 第5回「2014年は脆弱性が豊作!セキュリティ担当者の憂鬱」
- ここが変だよ日本のセキュリティ第6回「2014年は脆弱性が豊作!報告書の書き方」
- ここが変だよ日本のセキュリティ第7回「会社が教えてくれないSNSの歩き方~いいね!ボタンの先に善意はない」
- ここが変だよ日本のセキュリティ第8回「会社が教えてくれないSNSの歩き方~自爆・炎上防止チェックリスト」
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「LanScope Cat / An」に任意コード実行の脆弱性(MOTEX、JVN)
創業30年、独自のセキュリティ遺伝子を継承するESET社 - CTO / CROインタビュー
![双葉電子工業のフィリピン子会社が Emotet 感染 ほか ~ 2019 年 11 月のふりかえり [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/std_m/29346.png)
双葉電子工業のフィリピン子会社が Emotet 感染 ほか ~ 2019 年 11 月のふりかえり [Scan PREMIUM Monthly Executive Summary]
マルウェア「Emotet」の感染被害が急増、対処法や対策など紹介(ラック)
国へのサイバー攻撃、ハッキングのビジネス化など、2020年のサイバー脅威(サイファーマ)
「PHP-FPM」の脆弱性を狙うアクセスが増加(警察庁)
インシデント・事故 記事一覧へ
「大阪市報道発表資料」の誤送信でアドレス流出、チェック表での確認を徹底し再発防止に努める(大阪市)
ふるさと納税に係る領収書等を誤送付(新潟県)
蜜蜂飼育変更届を異なる都道府県に誤送信(新潟県)
廃棄作業場への運搬中に廃棄書類が落下、一部患者の個人情報が紛失(武田病院)
顧客情報が記載された帳票を紛失、店舗再編成時に誤廃棄の可能性(東北労働金庫)
不正アクセスで一時閉鎖していたWebサイトを再開(JP共済生協)
調査・レポート・白書 記事一覧へ
3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)
個人認証とアクセス管理型セキュリティ市場、2019年度は695億円弱に(ミック経済研究所)
「ATP10」の活動は収束するも他のグループは活発--J-CRATレポート(IPA)
2018年度国内IT市場規模12兆4,930億円、今後も堅調維持(矢野経済研究所)
日本企業の9割、自社のセキュリティ対策「低い」(パロアルトネットワークス)
PQCの脅威は意識しつつも、具体策の意識に欠ける日本(デジサート)
研修・セミナー・カンファレンス 記事一覧へ
PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング)
企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと
クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用
「Trend Micro CTF 2019」、ポーランドの「p4」が初優勝(トレンドマイクロ)
ガートナーが考える「攻撃者視点」とは──脅威ベースのペネトレーション・テスト(TLPT)最新動向
経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは
製品・サービス・業界動向 記事一覧へ
脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)
UTMのマネージドサービス、FortiGateとPAシリーズ対象(エイチ・シー・ネットワークス)
AD連携しクラウドサービスへのSSOとID管理を自動化(ソリトン)
ホワイトボックス暗号方式による暗号鍵保護ソフトがTLSに対応(MSYS)
Synack社のペネトレーションテストを提供する合弁会社(デジタルハーツHD、ラック)
国内IoTデバイス管理市場が急激な伸び、2018年は前年比7.5倍(ITR)
おしらせ 記事一覧へ
ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
