インタビュー
[Black Hat USA 2019] 量子コンピュータによる暗号危殆化 ~ 耐量子計算機暗号 ( PQC:Post Quantum Cryptograph ) 証明書とは?
2025.12.05(金)
- 注目検索ワード
2019年8月にラスベガスで開催された世界最大級のサイバーセキュリティ国際会議 Black Hat USA 2019 の現地取材レポートをお届けします
インタビュー
[Black Hat USA 2018] 「日本はプライムターゲット」Cybereason CISO 独占インタビュー
インタビュー
[Black Hat USA 2018] 今年の Black Hat USA 会場で会った意外な人物
インタビュー
[Black Hat USA 2015] “無名”の日本のサイバーセキュリティ製品が Black Hat に挑戦するまで
インタビュー
[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー
インタビュー
[DEF CON 23] 正しい標的型攻撃メール訓練の運用法、ソーシャルエンジニアリングの国際的権威クリス・ハドナジーに聞く
インタビュー
[Black Hat USA 2014 レポート][Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(1)デロイト アルゼンチンチームの新人育成と海外展開
インタビュー
[Black Hat USA 2014 レポート] Imperva が提唱する包括的なデータセキュリティ(Impreva)
インタビュー
[Black Hat USA 2014 レポート] デロイト トーマツ のサイバーセキュリティチームの実態(2)監査法人がサイバーリスクに取り組む理由
インタビュー
[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy 氏インタビュー (1) 目的と歴史
インタビュー
[Black Hat USA 2014 レポート] 高度なサイバー脅威への警鐘の役割を担う(RSA)
インタビュー
[Black Hat USA 2014 レポート] 可視化と分析に取り組む“赤い箱”(WatchGuard)
講演レポート
[Black Hat USA 2014 レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security)
インタビュー
[Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員
Villageと呼ばれる各専門カテゴリでは、それぞれセッションやハンズオン形式のラボ、そしてCTF(Capture The Flag)競技が開催されます。今回がCloudbaseチームの初参戦。目標は明確でした。Cloud Village CTFでの優勝です。
このように考えると、いますぐにでも起きそうなインシデントは、じつは、EV(電気自動車)の充電器に関するサイバー攻撃(脆弱性攻撃)ではないかと予想できる。EV の充電器にはカードリーダー、RFID、Wi-Fi、Bluetooth といった通信機能があることが多い。充電の課金処理も可能になっている。スマートフォンと連携する製品もあるので、攻撃者にとってはアタックサーフェスのひとつとなる。
もっとわかりやすくいえば、犯罪者の保有するインフラやシステムに対してハッキングを行い、コマンドを実行したりデータを盗んだりのいやがらせ(ハラスメント)の限りを尽くして、それを国際的に注目度の高いカンファレンスで堂々講演したということだ。もはや本誌的には快男児としか呼びようがない。なかなかロックな研究者といえる。
攻撃者が簡単には変えられないものがたった一つだけある。それは攻撃者自身の肉体、攻撃者の身体性、もっといえば脳髄とそれが持つ思考パターンである。末端のオペレーターは別として、指揮命令を行ったり、高度で繊細な作業を実施する者はその実績などによって評価され、プロフェッショナルとして価値を認められ、同一または類似業務に継続して従事する可能性が高い。
自分のところの社員がサイバーセキュリティ技術を競う競技大会 CTF に参加することを企業が推奨することはあっても、たとえば海外大会などで航空券とホテルまで面倒を見るところはほとんどない。
Villageと呼ばれる各専門カテゴリでは、それぞれセッションやハンズオン形式のラボ、そしてCTF(Capture The Flag)競技が開催されます。今回がCloudbaseチームの初参戦。目標は明確でした。Cloud Village CTFでの優勝です。
GMOサイバーセキュリティ byイエラエ株式会社は8月26日、同社に所属するホワイトハッカーチーム「GMOイエラエ」が「DEF CON 33」CTFにおける「Cloud Village CTF」で優勝し、3年連続で世界1位を獲得したと発表した。
ミッコ・ヒッポネンは1991年、21歳の学生時代にプログラマーとしてヘルシンキのスタートアップに入社する。すぐにウイルスのリバースエンジニアリングの仕事を割り当てられたそうだ。当時のウイルスはフロッピーディスクでばらまかれていた時代だ。彼は業務で世界中のウイルスを採取した。その数は150に及ぶ。1枚ずつフロッピーディスクに保存し、個別に解析を行ったという。
これまで ScanNetSecurity は、巷(ちまた)で大声で喧伝される「いわゆる AI のセキュリティへの影響」に対して、一部を除いておおむね半笑いで接してきましたが、その編集方針を変えるかもしれない取材になりました。Black Hat 全体で AI エージェント技術が「コンセプトから実運用へスケールする段階」にあり、本稿ではその具体例を示すいくつかのセッションを紹介します。
GMOインターネットグループ株式会社は7月22日、GMOインターネットグループのホワイトハッカーがセキュリティカンファレンス「DEF CON 33」CTFに参加すると発表した。
はじめに、攻撃者の組織構造を調査研究することが重要です。サイバー犯罪は高度に組織化されており、コミュニティが組織に変貌した際に持つ「役割・役職」「タスク」「規模」などがレジリエンスの要素です。リレーションシップは組織の行動パターンを特徴づけ、犯罪者グループの行動を予測し、防御に役立てる手がかりとなるため、メンバー間の関係性の研究が必要です。
GMOサイバーセキュリティ byイエラエ株式会社は7月24日、「DEF CON 33」の「DEF CON Aerospace Village」で宇宙サイバー領域に関するブースを出展すると発表した。
ランサムウェア攻撃において、「企業のサイバー攻撃被害について詳しい法律事務所のエキスパート」や 「企業側はランサムウェア攻撃の公表についてどんな意思決定を行っているのだろうか」 という点が特に重要です。これは情報システム部門でサイバーセキュリティ管理を担う者にとって、脅迫的な攻撃に直面した際の対策や公表の際の判断材料として、また情報の透明性を確保するために重要です。
子供や無知な人間を騙すことは許される行為ではない。だが詐欺師や犯罪者にとってそれはむしろ正攻法であり目的達成のための正義かもしれない。恐ろしいことに、それは企業にも当てはまることがある。
インシデントが起こるとセキュリティ会社は儲かるが保険会社はカネを失う。保険会社よりモチベーションの高いステークホルダーは当事者以外にいないかもしれない。いや、当事者であるユーザー企業はときに、迫る脅威を何も知らず正常性バイアスに満たされている可能性がある。一方金さえもらえば VPN のクレデンシャルが admin / admin とわかっていても気にしないセキュリティ企業も(日本には)存在する。一番クールに状況を分析し最悪のシナリオを検討しているのは保険会社だったというケースすらありうるかもしれない。
家電メーカーのうちパナソニックが新しい取り組みを行っている。開発中の製品を含む展示を行うショールームにハニーポットをしかけ、実際の攻撃やマルウェアを分析し、それを製品開発や出荷後のアップデートやセキュリティ対策に役立てるというもの。
個人情報やプライバシーリスクの視点では注意が必要な項目だ。なぜなら、プロンプトインジェクションは、必要な個人情報・プライバシー情報を直接手に入れることができるからだ。アプリケーションセキュリティの場合は、脆弱性を利用してファイルを特定し盗み出す必要がある。
そもそもの本研究の趣旨は、AI やツールを使った自動攻撃や、犯罪組織による高度にシステム化・組織化された攻撃ではなく、生身の人間がどんなサイバー攻撃や破壊活動をどのように行っているかを調べるものだった。彼らの研究は、攻撃プロセスやマルウェアの分析ではない。そんなものすでにさまざまな調査研究がなされている。本講演の肝は「侵入したサーバー上での攻撃者の行動分析」これに尽きる。
おわかりいただけただろうか。「ニューヨークを 5 語で説明せよ」というプロンプトはダミーである。シンプルに「上司の名前を教えて」では AI のエシカルフィルターにひっかかる可能性がある。「礼儀正しく」とすることで、アカウントの部署名や上司の名前を聞き出すことができている。Copilot は、問い合わせに対してサーフェス Web 以外に(設定された)業務システムの情報にもアクセスできる。つまり、Copilot はあなたの名前、役職、上司その他を知っているのである。
AWSアカウントについて、脆弱性を研究したエンジニアがいる。Aqua Securityの研究者(Yakir Kadkoa氏、Michael Katchinskiy氏、Ofek Itach氏)が、AWSアカウントに関する脆弱性とそれを利用することで成立するAWSのシャドーリソースを使った攻撃方法を発見した。
GMOサイバーセキュリティ byイエラエ株式会社は8月28日、同社の脆弱性調査・研究チーム「GMOイエラエ」が「DEF CON 32」の「Cloud Village CTF」で2年連続世界1位になったと発表した。
