インタビュー
[Black Hat USA 2019] 量子コンピュータによる暗号危殆化 ~ 耐量子計算機暗号 ( PQC:Post Quantum Cryptograph ) 証明書とは?
2026.05.16(土)
- 注目検索ワード
2019年8月にラスベガスで開催された世界最大級のサイバーセキュリティ国際会議 Black Hat USA 2019 の現地取材レポートをお届けします
インタビュー
[Black Hat USA 2018] 「日本はプライムターゲット」Cybereason CISO 独占インタビュー
インタビュー
[Black Hat USA 2018] 今年の Black Hat USA 会場で会った意外な人物
インタビュー
[Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで
インタビュー
[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー
インタビュー
[DEF CON 23] 正しい標的型攻撃メール訓練の運用法、ソーシャルエンジニアリングの国際的権威クリス・ハドナジーに聞く
インタビュー
[Black Hat USA 2014 レポート][Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(1)デロイト アルゼンチンチームの新人育成と海外展開
インタビュー
[Black Hat USA 2014 レポート] Imperva が提唱する包括的なデータセキュリティ(Impreva)
インタビュー
[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(2)監査法人がサイバーリスクに取り組む理由
インタビュー
[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (1) 目的と歴史
インタビュー
[Black Hat USA 2014 レポート] 高度なサイバー脅威への警鐘の役割を担う(RSA)
インタビュー
[Black Hat USA 2014 レポート] 可視化と分析に取り組む“赤い箱”(WatchGuard)
講演レポート
[Black Hat USA 2014 レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security)
インタビュー
[Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員
通信は TLS で暗号化されてはいたが、彼らが Frida Toolkit でクライアント証明書を解析すると、ブローカーへの認証が驚くほど脆弱だった。「これは IoT セキュリティの教科書に載せるべき反面教師だ」と彼らは苦笑した。中間者攻撃で任意のコードを実行できた 10 年前の IoT 機器レベルの脆弱性が、2025 年の農業機械に存在していたのだ。しかし本当の発見はここからだった。
GMOサイバーセキュリティ byイエラエ株式会社は4月16日、「DEF CON Singapore」のAerospace Villageに宇宙セキュリティに関するブースを出展すると発表した。
彼の発表は「いかに AI にマルウェアを書かせるか」それも「なるべく安く簡単に」という点にフォーカスした開発手法を提案するものだった。「なるべく安く簡単に」というのはもちろん法人の予算規模であるはずはなく、あくまで個人のポケットマネーでホストできる規模の AI リソースで、いかにマルウェアコーディングを自動化するかにある。
日本でも「バグバウンティ」という言葉を耳にする機会が増えた。外部のセキュリティ研究者に自社製品の脆弱性を探してもらい報奨金を支払う仕組みだ。一部の先進的な企業では「レッドチーム演習」、すなわち攻撃者を模した専門チームがシステムへの侵入を試みる訓練も実施されるようになった。だが、世界のテック大手はさらにその先を行く。自社内に、自社製品を容赦なく攻撃し欠陥を暴き出す内製攻撃研究チームを抱えているのだ。控えめに言っても凄く面白そうな仕事と言わざるを得ない。
冷戦後、通信衛星や気象衛星など、民間の人工衛星ビジネスが立ち上がったが、軍事衛星を上回るほどではなかった。しかし、2017 年を境に衛星の打ち上げ個数が跳ね上がる。SpaceX や OneWeb が衛星コンステレーション(多数の小型衛星を低軌道に展開し、連携させることで地球全体をカバーする衛星群)を利用した通信衛星網を構築し始めたころだ。2024 年には年間 2,700 基以上の衛星が打ち上げられている。
2025 年夏、Black Hat USA 2025 の基調講演に、元 New York Times サイバーセキュリティ担当記者のニコール・パールロスが登壇した。はっきり言ってしまうと前日に行われたミッコ・ヒッポネンの基調講演と比べると見劣りするキーノートだったとここで正直に書いてしまうことにする。だからこそミッコの講演レポート記事は全文 9,570 文字にもおよぶ興奮を伴った文体ですぐに掲載したが、元 NYT 記者の方はこれだけ日が空いてしまった。
Villageと呼ばれる各専門カテゴリでは、それぞれセッションやハンズオン形式のラボ、そしてCTF(Capture The Flag)競技が開催されます。今回がCloudbaseチームの初参戦。目標は明確でした。Cloud Village CTFでの優勝です。
このように考えると、いますぐにでも起きそうなインシデントは、じつは、EV(電気自動車)の充電器に関するサイバー攻撃(脆弱性攻撃)ではないかと予想できる。EV の充電器にはカードリーダー、RFID、Wi-Fi、Bluetooth といった通信機能があることが多い。充電の課金処理も可能になっている。スマートフォンと連携する製品もあるので、攻撃者にとってはアタックサーフェスのひとつとなる。
もっとわかりやすくいえば、犯罪者の保有するインフラやシステムに対してハッキングを行い、コマンドを実行したりデータを盗んだりのいやがらせ(ハラスメント)の限りを尽くして、それを国際的に注目度の高いカンファレンスで堂々講演したということだ。もはや本誌的には快男児としか呼びようがない。なかなかロックな研究者といえる。
攻撃者が簡単には変えられないものがたった一つだけある。それは攻撃者自身の肉体、攻撃者の身体性、もっといえば脳髄とそれが持つ思考パターンである。末端のオペレーターは別として、指揮命令を行ったり、高度で繊細な作業を実施する者はその実績などによって評価され、プロフェッショナルとして価値を認められ、同一または類似業務に継続して従事する可能性が高い。
自分のところの社員がサイバーセキュリティ技術を競う競技大会 CTF に参加することを企業が推奨することはあっても、たとえば海外大会などで航空券とホテルまで面倒を見るところはほとんどない。
Villageと呼ばれる各専門カテゴリでは、それぞれセッションやハンズオン形式のラボ、そしてCTF(Capture The Flag)競技が開催されます。今回がCloudbaseチームの初参戦。目標は明確でした。Cloud Village CTFでの優勝です。
GMOサイバーセキュリティ byイエラエ株式会社は8月26日、同社に所属するホワイトハッカーチーム「GMOイエラエ」が「DEF CON 33」CTFにおける「Cloud Village CTF」で優勝し、3年連続で世界1位を獲得したと発表した。
ミッコ・ヒッポネンは1991年、21歳の学生時代にプログラマーとしてヘルシンキのスタートアップに入社する。すぐにウイルスのリバースエンジニアリングの仕事を割り当てられたそうだ。当時のウイルスはフロッピーディスクでばらまかれていた時代だ。彼は業務で世界中のウイルスを採取した。その数は150に及ぶ。1枚ずつフロッピーディスクに保存し、個別に解析を行ったという。
これまで ScanNetSecurity は、巷(ちまた)で大声で喧伝される「いわゆる AI のセキュリティへの影響」に対して、一部を除いておおむね半笑いで接してきましたが、その編集方針を変えるかもしれない取材になりました。Black Hat 全体で AI エージェント技術が「コンセプトから実運用へスケールする段階」にあり、本稿ではその具体例を示すいくつかのセッションを紹介します。
GMOインターネットグループ株式会社は7月22日、GMOインターネットグループのホワイトハッカーがセキュリティカンファレンス「DEF CON 33」CTFに参加すると発表した。
はじめに、攻撃者の組織構造を調査研究することが重要です。サイバー犯罪は高度に組織化されており、コミュニティが組織に変貌した際に持つ「役割・役職」「タスク」「規模」などがレジリエンスの要素です。リレーションシップは組織の行動パターンを特徴づけ、犯罪者グループの行動を予測し、防御に役立てる手がかりとなるため、メンバー間の関係性の研究が必要です。
GMOサイバーセキュリティ byイエラエ株式会社は7月24日、「DEF CON 33」の「DEF CON Aerospace Village」で宇宙サイバー領域に関するブースを出展すると発表した。
ランサムウェア攻撃において、「企業のサイバー攻撃被害について詳しい法律事務所のエキスパート」や 「企業側はランサムウェア攻撃の公表についてどんな意思決定を行っているのだろうか」 という点が特に重要です。これは情報システム部門でサイバーセキュリティ管理を担う者にとって、脅迫的な攻撃に直面した際の対策や公表の際の判断材料として、また情報の透明性を確保するために重要です。
子供や無知な人間を騙すことは許される行為ではない。だが詐欺師や犯罪者にとってそれはむしろ正攻法であり目的達成のための正義かもしれない。恐ろしいことに、それは企業にも当てはまることがある。
インシデントが起こるとセキュリティ会社は儲かるが保険会社はカネを失う。保険会社よりモチベーションの高いステークホルダーは当事者以外にいないかもしれない。いや、当事者であるユーザー企業はときに、迫る脅威を何も知らず正常性バイアスに満たされている可能性がある。一方金さえもらえば VPN のクレデンシャルが admin / admin とわかっていても気にしないセキュリティ企業も(日本には)存在する。一番クールに状況を分析し最悪のシナリオを検討しているのは保険会社だったというケースすらありうるかもしれない。
