ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」 | ScanNetSecurity
2019.10.17(木)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。

特集 特集
毎年夏に台湾で開催されるHITCON(Hack In Taiwan Conference)に参加してきました。すでに概要のレポートは本誌に掲載されているけれど、体当たりで楽しんできたので、今後興味を持つ方の参考になるよう突撃レポートを還元します!

●海外カンファレンスの魅力

遠く海外まで行ってカンファレンスに参加する、日数も費用も掛かる。上司の説得も大変だ。帰ってからの報告書も面倒だ。それを押しても余りある魅力があるから、海外に行くのさ。

どうしても国内では、攻撃に悪用される恐れのあるグレーな話は避けられ、スポンサー企業や政府には配慮し、特定企業をネタにすることもしない。無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。

最先端の技術トピックや国内では未発表のネタ、国によって違う考え方を体感するには、やっぱ行くっきゃない。脆弱性なら見つけた人から直接聞きたいよね。まだ裏が完全に取れていないネタなんて最高のご馳走だ。

日本でも海外から第一人者を招いているカンファレンスとしてCodeBlue、PACSEC、AVTOKYOがある。そこで海外スピーカーの魅力に取りつかれたら、もうこちらから海外に出て行くしかない。今年のHITCONへの日本からの参加者は、筆者が把握している限りで20人を超えていましたよ。

●海外カンファレンス参加の注意事項

あらかじめ言っておくけど、上司は決して以下のようなことを部下に言ってはいけないよ。

「会社の費用で参加してきたんだ、向こうで学んだことが皆にわかるように報告書を書きなさい」とか、「会社に還元しなさい」とか。

何を学んだかは言えるけど、学んだことを参加していない人にわからせるのは、無理!無理!無理ゲー! 絶対無理ゲー!

体験を他人に理解させるのは無理です。それができたら、その人は講演者を超えています。

これから書く内容からもわかるように、報告書よりも事前準備をしっかりやらせた方がいい。成果は、参加した人が成長したってことでいいじゃない!

●HITCONの人気がある理由

講演者には、過去のBlackHatスピーカー経験者も多い。つまり内容のレベルの高さはBlackHatに匹敵する。開催メンバーによるCTFチームは世界最高レベルのDEFCON CTFに初参加ながら、米国の強豪PPPに次いで2位になるなど、世界的にも躍進が注目されている。

そんなHITCONには、遠くアメリカまで行かなくても、たった3時間半のフライトで台北に着きます。シェラトン・ホテルで開催のEnterpriseが10,000台湾ドル(2014年9月1日為替レート3.48円で換算し約35,000円)、Playgroundの2日間だけだったら参加費用は2,000台湾ドル(約7,000円)と、国際カンファレンスの相場からみると、かなり安い。

講演は英語か中国語で、中国語の時は英語の通訳の音声が付きます(Enterpriseはレシーバー、PlaygroundはメイントラックのみでStreaming配信)。多くの国がこの2か国語でカバーできるのと、地理的にも来やすいことから、韓国、香港、マレーシアなどからカンファレンスでの講演やCTFでおなじみの著名人が多く参加していたよ。

●事前の情報収集が大事

どれだけ成果を持って帰れるかは、どれだけ準備していくかにかかっている。Enterpriseは2トラック(2本同時)、Playgroundは3トラック(3本同時)のプログラムだったけど、どれを聞くかあらかじめ見当をつけておいた。もちろんその場になって変更は有りだけど、全容を把握していないと、期待した内容と違っていたり、隣の会場でどよめきが起きて隣へ移動するなんてできないからね。

それに毎年トレンドがあって、2年前はAPTやサイバー・テロといった話題が多かったけど、今年はAndroidやフォレンジックの話にシフトしてきている。旬なネタは人気があるので、早めに席を確保した方がいい。

●そして全力で楽しもう

会場のIRCでリアルタイムの呟きが掲載されていたので、面白い講演は後ろのドアからどんどん聴講者が入って増えていく。私も何度か荷物とノートPCを抱えて別会場へ移動しました。
講演が終われば挙手による質問の時間があるけど、それでも聴き足りない人達は前に押しかけて講演者を囲んで質問攻めにしていました。日本だと列に並んで名刺交換という風景が多いけど、こっちは熱い議論ですよ。

この議論を聴きたい人がさらに周囲を囲んで、講演以上に盛り上がっちゃう。スピーカーが英語だと、通訳を交えて中国語と英語がゴッチャになって飛び交っちゃう。聞いているだけじゃない、積極的に楽しむのが一番面白いのさ。

●英語が苦手でも大丈夫

参考までに筆者のTOEICの最高スコアは675、全然大したことはない。でもスライドを読むのと話を聞くのは何とかなる。英語が苦手でも質問したい、議論したいことがあれば、公開されているAGENDAをもとに聞きたい論点を整理して英語に訳しておくといい。パソコンの画面でも印刷した紙でもいい、こうしておけば発音がおかしくても、だいたい大丈夫だ。

後半では主に講演内容を紹介しますよ!
《2次元殺法コンビ》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「NetCommons3」にスクリプト実行の脆弱性(JVN) 画像

「NetCommons3」にスクリプト実行の脆弱性(JVN)
Apple「Swift」に情報漏えいの脆弱性(JVN) 画像

Apple「Swift」に情報漏えいの脆弱性(JVN)
WordPress用「wpDataTables Lite」に複数の脆弱性(JVN) 画像

WordPress用「wpDataTables Lite」に複数の脆弱性(JVN)
「iTerm2」にリモートから任意のコマンドを実行される脆弱性(JVN) 画像

「iTerm2」にリモートから任意のコマンドを実行される脆弱性(JVN)
Intelが3件のアドバイザリを公開、アップデートを呼びかけ(JVN) 画像

Intelが3件のアドバイザリを公開、アップデートを呼びかけ(JVN)
AppleがmacOS、iOS、iCloudのセキュリティアップデート公開(JVN) 画像

AppleがmacOS、iOS、iCloudのセキュリティアップデート公開(JVN)

インシデント・事故 記事一覧へ

運営する複数のECサイトからカード情報が流出、2014年1月の決済から対象に(JIMOS) 画像

運営する複数のECサイトからカード情報が流出、2014年1月の決済から対象に(JIMOS)
県立高校2校で答案用紙を紛失、成績一覧表のホワイトボードへの誤表示も発生(岐阜県) 画像

県立高校2校で答案用紙を紛失、成績一覧表のホワイトボードへの誤表示も発生(岐阜県)
県立高校で2年生1クラス分の「修学旅行健康調査シート」を紛失(埼玉県) 画像

県立高校で2年生1クラス分の「修学旅行健康調査シート」を紛失(埼玉県)
5月発生の不正アクセスで流出したメールアドレスへの攻撃を再び確認(多摩北部医療センター) 画像

5月発生の不正アクセスで流出したメールアドレスへの攻撃を再び確認(多摩北部医療センター)
「心とからだの健康観察」集計用紙を図画工作の授業で誤って使用(熊本市) 画像

「心とからだの健康観察」集計用紙を図画工作の授業で誤って使用(熊本市)
北区楠支所区民福祉課にて生活保護受給者の個人情報を含む文書を紛失(名古屋市) 画像

北区楠支所区民福祉課にて生活保護受給者の個人情報を含む文書を紛失(名古屋市)

調査・レポート・白書 記事一覧へ

企業のセキュリティインシデント被害額、4年連続で2億円を超える(トレンドマイクロ) 画像

企業のセキュリティインシデント被害額、4年連続で2億円を超える(トレンドマイクロ)
旅館業を狙うSQLインジェクション攻撃を多数検知(ラック) 画像

旅館業を狙うSQLインジェクション攻撃を多数検知(ラック)
日本企業、サイバーセキュリティの最大の不満は「予算不足」(ソフォス) 画像

日本企業、サイバーセキュリティの最大の不満は「予算不足」(ソフォス)
ラテラルフィッシング攻撃の詳細を調査したレポート公開(バラクーダネットワークス) 画像

ラテラルフィッシング攻撃の詳細を調査したレポート公開(バラクーダネットワークス)
産業制御システムへの攻撃にも使えるツールが一般サイトで販売(トレンドマイクロ) 画像

産業制御システムへの攻撃にも使えるツールが一般サイトで販売(トレンドマイクロ)
オンラインバンキング不正引き出し、個人被害減少するも依然高い水準(全銀協) 画像

オンラインバンキング不正引き出し、個人被害減少するも依然高い水準(全銀協)

研修・セミナー・カンファレンス 記事一覧へ

「CYBER DEFENSE LIVE TOKYO 2019」を11月14日に開催(ファイア・アイ) 画像

「CYBER DEFENSE LIVE TOKYO 2019」を11月14日に開催(ファイア・アイ)
PCI DSSの要件を満たすWebアプリのペネトレーションテストとは、研修コース開催(fjコンサルティング) 画像

PCI DSSの要件を満たすWebアプリのペネトレーションテストとは、研修コース開催(fjコンサルティング)
未来はAIでも予測不能:セキュリティ対策で問われる「パスカルの賭け」 画像

未来はAIでも予測不能:セキュリティ対策で問われる「パスカルの賭け」
今年は2日間、JPAAWG第2回ジェネラルミーティング11月14、15日に開催 画像

今年は2日間、JPAAWG第2回ジェネラルミーティング11月14、15日に開催
ソリトン認証伝説 第二章「クラウド ID 管理編」堂々スタート 画像

ソリトン認証伝説 第二章「クラウド ID 管理編」堂々スタート
「Trend Micro DIRECTION」の全講演を発表(トレンドマイクロ) 画像

「Trend Micro DIRECTION」の全講演を発表(トレンドマイクロ)

製品・サービス・業界動向 記事一覧へ

個人情報の誤表示についてAmazonへ注意(個人情報保護委員会) 画像

個人情報の誤表示についてAmazonへ注意(個人情報保護委員会)
サプライチェーンを含みセキュリティ対策状況を可視化するサービス(CTC) 画像

サプライチェーンを含みセキュリティ対策状況を可視化するサービス(CTC)
IoT向けにプログラム改ざん検知ソフト、容量3KB(NEC) 画像

IoT向けにプログラム改ざん検知ソフト、容量3KB(NEC)
故 山口英氏、インターネットの殿堂入り(JPCERT/CC) 画像

故 山口英氏、インターネットの殿堂入り(JPCERT/CC)
IoT技術研究室をスピンアウト、株式会社ゼロゼロワンを設立(ココン) 画像

IoT技術研究室をスピンアウト、株式会社ゼロゼロワンを設立(ココン)
複数のメール誤送信対策が行えるOutlook用アドインツール(ライフボート) 画像

複数のメール誤送信対策が行えるOutlook用アドインツール(ライフボート)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★10/8~11/30迄 創刊21周年記念価格提供中★★
★★10/8~11/30迄 創刊21周年記念価格提供中★★

2019年10月8日(火)~11月30日(土) の間 ScanNetSecurity 創刊21周年記念価格で提供。
×