ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」 | ScanNetSecurity
2022.05.20(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。

特集 特集
毎年夏に台湾で開催されるHITCON(Hack In Taiwan Conference)に参加してきました。すでに概要のレポートは本誌に掲載されているけれど、体当たりで楽しんできたので、今後興味を持つ方の参考になるよう突撃レポートを還元します!

●海外カンファレンスの魅力

遠く海外まで行ってカンファレンスに参加する、日数も費用も掛かる。上司の説得も大変だ。帰ってからの報告書も面倒だ。それを押しても余りある魅力があるから、海外に行くのさ。

どうしても国内では、攻撃に悪用される恐れのあるグレーな話は避けられ、スポンサー企業や政府には配慮し、特定企業をネタにすることもしない。無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。

最先端の技術トピックや国内では未発表のネタ、国によって違う考え方を体感するには、やっぱ行くっきゃない。脆弱性なら見つけた人から直接聞きたいよね。まだ裏が完全に取れていないネタなんて最高のご馳走だ。

日本でも海外から第一人者を招いているカンファレンスとしてCodeBlue、PACSEC、AVTOKYOがある。そこで海外スピーカーの魅力に取りつかれたら、もうこちらから海外に出て行くしかない。今年のHITCONへの日本からの参加者は、筆者が把握している限りで20人を超えていましたよ。

●海外カンファレンス参加の注意事項

あらかじめ言っておくけど、上司は決して以下のようなことを部下に言ってはいけないよ。

「会社の費用で参加してきたんだ、向こうで学んだことが皆にわかるように報告書を書きなさい」とか、「会社に還元しなさい」とか。

何を学んだかは言えるけど、学んだことを参加していない人にわからせるのは、無理!無理!無理ゲー! 絶対無理ゲー!

体験を他人に理解させるのは無理です。それができたら、その人は講演者を超えています。

これから書く内容からもわかるように、報告書よりも事前準備をしっかりやらせた方がいい。成果は、参加した人が成長したってことでいいじゃない!

●HITCONの人気がある理由

講演者には、過去のBlackHatスピーカー経験者も多い。つまり内容のレベルの高さはBlackHatに匹敵する。開催メンバーによるCTFチームは世界最高レベルのDEFCON CTFに初参加ながら、米国の強豪PPPに次いで2位になるなど、世界的にも躍進が注目されている。

そんなHITCONには、遠くアメリカまで行かなくても、たった3時間半のフライトで台北に着きます。シェラトン・ホテルで開催のEnterpriseが10,000台湾ドル(2014年9月1日為替レート3.48円で換算し約35,000円)、Playgroundの2日間だけだったら参加費用は2,000台湾ドル(約7,000円)と、国際カンファレンスの相場からみると、かなり安い。

講演は英語か中国語で、中国語の時は英語の通訳の音声が付きます(Enterpriseはレシーバー、PlaygroundはメイントラックのみでStreaming配信)。多くの国がこの2か国語でカバーできるのと、地理的にも来やすいことから、韓国、香港、マレーシアなどからカンファレンスでの講演やCTFでおなじみの著名人が多く参加していたよ。

●事前の情報収集が大事

どれだけ成果を持って帰れるかは、どれだけ準備していくかにかかっている。Enterpriseは2トラック(2本同時)、Playgroundは3トラック(3本同時)のプログラムだったけど、どれを聞くかあらかじめ見当をつけておいた。もちろんその場になって変更は有りだけど、全容を把握していないと、期待した内容と違っていたり、隣の会場でどよめきが起きて隣へ移動するなんてできないからね。

それに毎年トレンドがあって、2年前はAPTやサイバー・テロといった話題が多かったけど、今年はAndroidやフォレンジックの話にシフトしてきている。旬なネタは人気があるので、早めに席を確保した方がいい。

●そして全力で楽しもう

会場のIRCでリアルタイムの呟きが掲載されていたので、面白い講演は後ろのドアからどんどん聴講者が入って増えていく。私も何度か荷物とノートPCを抱えて別会場へ移動しました。
講演が終われば挙手による質問の時間があるけど、それでも聴き足りない人達は前に押しかけて講演者を囲んで質問攻めにしていました。日本だと列に並んで名刺交換という風景が多いけど、こっちは熱い議論ですよ。

この議論を聴きたい人がさらに周囲を囲んで、講演以上に盛り上がっちゃう。スピーカーが英語だと、通訳を交えて中国語と英語がゴッチャになって飛び交っちゃう。聞いているだけじゃない、積極的に楽しむのが一番面白いのさ。

●英語が苦手でも大丈夫

参考までに筆者のTOEICの最高スコアは675、全然大したことはない。でもスライドを読むのと話を聞くのは何とかなる。英語が苦手でも質問したい、議論したいことがあれば、公開されているAGENDAをもとに聞きたい論点を整理して英語に訳しておくといい。パソコンの画面でも印刷した紙でもいい、こうしておけば発音がおかしくても、だいたい大丈夫だ。

後半では主に講演内容を紹介しますよ!
《2次元殺法コンビ》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性 画像

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性
サイボウズ Garoon に複数の脆弱性 画像

サイボウズ Garoon に複数の脆弱性
マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み 画像

マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み
Intel製品に複数の脆弱性 画像

Intel製品に複数の脆弱性
さくらインターネットを騙るフィッシングメールに注意喚起 画像

さくらインターネットを騙るフィッシングメールに注意喚起
Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) 画像

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

国産パブリッククラウド「ニフクラ」に不正アクセス、公表されたロードバランサーの脆弱性を悪用 画像

国産パブリッククラウド「ニフクラ」に不正アクセス、公表されたロードバランサーの脆弱性を悪用
PayPayカードで指定信用情報機関への信用情報を誤登録、与信判断に影響 画像

PayPayカードで指定信用情報機関への信用情報を誤登録、与信判断に影響
京都で不動産業を行う長栄のサーバに不正アクセス、現時点で顧客関連情報の流出は確認されず 画像

京都で不動産業を行う長栄のサーバに不正アクセス、現時点で顧客関連情報の流出は確認されず
「MACHATT ONLINE STORE」に不正アクセス、16,093名のカード情報が漏えい 画像

「MACHATT ONLINE STORE」に不正アクセス、16,093名のカード情報が漏えい
二重チェックでも気付けず、会員専用サイト「レジナビ」内のメッセージに個人情報含むCSVファイル添付 画像

二重チェックでも気付けず、会員専用サイト「レジナビ」内のメッセージに個人情報含むCSVファイル添付
アート専門EC「TRiCERA.NET」のFacebookアカウント連携で7名の顧客情報が閲覧可能に 画像

アート専門EC「TRiCERA.NET」のFacebookアカウント連携で7名の顧客情報が閲覧可能に

調査・レポート・白書 記事一覧へ

産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない 画像

産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない
OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他 画像

OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他
CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説 画像

CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説
トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理 画像

トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理
97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査 画像

97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査
米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表 画像

米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表

研修・セミナー・カンファレンス 記事一覧へ

実践的サイバー防御演習「CYDER」の2022年度の申込み受付を開始 画像

実践的サイバー防御演習「CYDER」の2022年度の申込み受付を開始
楽天ウォレット CIO が語る暗号資産保護のポイント 画像

楽天ウォレット CIO が語る暗号資産保護のポイント
GMOサイバーセキュリティ byイエラエ、CODE BLUE 2022のトップスポンサーに 画像

GMOサイバーセキュリティ byイエラエ、CODE BLUE 2022のトップスポンサーに
2022年度の「実践サイバー演習 RPCI」の受付開始 画像

2022年度の「実践サイバー演習 RPCI」の受付開始
強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論 画像

強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論
近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春 画像

近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春

製品・サービス・業界動向 記事一覧へ

2022年9月以降はe-Govで「SSL3.0」「TLS1.0」「TLS1.1」を利用禁止 画像

2022年9月以降はe-Govで「SSL3.0」「TLS1.0」「TLS1.1」を利用禁止
イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか? 画像

イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか?
クラウド、エッジ、オンプレミス環境にあるコンピューティング資産の信頼性をインテルの「Project Amber」が検証 画像

クラウド、エッジ、オンプレミス環境にあるコンピューティング資産の信頼性をインテルの「Project Amber」が検証
ラック、2022年3月期の通期決算を発表 画像

ラック、2022年3月期の通期決算を発表
2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説 画像

2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説
「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応 画像

「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応

おしらせ 記事一覧へ

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×