DEF CON 31に参加しました


開発本部セキュリティ部診断チームの髙村と覚張です。
本記事は、8月9日から13日まで開催されたDEF CONの参加レポートです。

DEF CONとは
アメリカのラスベガスで毎年開催される、コンピュータや情報セキュリティに関係した世界最大規模のイベントです。このイベントは、企業・ 研究機関・政府関係者など情報セキュリティを整えシステムやネットワークを守る人々から、不正プログラム作成者まで、セキュリティに関する専門家が一堂に会します。
また、ハッキングに関連した講演やイベントをはじめ、コンピュータセキュリティのコンテストが開かれます。ハッキングに関係した競技大会が有名なことから、ハッカーの祭典ともよばれています。なかでも、CTF(Capture The Flag)というハッキングのコンテストが有名です。

DEF CONへの参加
朝、ホテルからUberで移動します。日本ではまだまだ普及しそうにないライドシェア (最近国会でも議論されているアレ)ですが、全てがアプリで完結できるのがとても便利。
乗り場と目的地を指定すると料金が表示されるので、地の利がない外国人観光客にとっては安心な仕組みだと感じました。また、ドライバーと乗客が双方評価する仕組みがある為、評価の低い相手を避けることも出来そうです。Uberは、値段もお得、位置情報で乗る車の把握が楽、決済も簡単、ただ乗って降りるだけのスキーム、と至れり尽くせりでタクシーより断然使い易かったです。日本でも是非導入して欲しいですね(※Uberの回し者みたいみたいですが違います)

会場に着くと既に長蛇の列。列に並んでる間、DEF CONのスタッフがビーチボールを何度も投げ込んでいました。並んでる人達も割と楽しそうにボールを上に打ち返し並んでるみんなでラリーをしてる、そんな和やかな雰囲気の中、チケット売り場まで進みます。
チケットを買う手前で、あることに気づきました。なんとチケット購入は現金のみ!!
カンファレンス費は$440でしたが、このキャッシュレス社会において、アメリカなんだからクレジットカード持ってればなんとかなるっしょ、と高を括って現金なんてほとんど持ってなかった私達は大慌て。USのATMでは日本のキャッシュカードでは引き落とせず。(カード契約にもよると思いますが事前準備が甘かった)

現金がない、お金足りないですやん、やばい!!

ここから、日本のキャッシュカードで現金引き落とせるATMをラスベガスの町中探し回る旅が始まるのでした。 ※セブンイ⚪︎ブンのATMで無事現金GET!ありがとう、セブンイ⚪︎ブン。
もし、DEF CON行かれる方おりましたら、少し多めの現金持参をお忘れなく。

午前中は、ATM探しで時間を丸々使ってしまいましたが、気を取り直して無事チケット購入。
パスバッジを首から下げ、いざDEF CON潜入です。

カンファレンス
カンファレンスは、大きな会場で人が入りきらないぐらい大盛況なブースばかりでした。
全てを紹介することはできないので、いくつかピックアップしてみたいと思います。

まず、戦争関連のテーマがいくつかありました。
ロシアや中国のサイバー活動に触れつつ、攻撃が半自動化されている実情について説明していたセッションに軽く触れてみます。
・オートメーションにインフラ収集&エクスプロイトの実行
・情報操作(ツイートの変更やなりすましで会話に影響を与える)、ソーシャルメディアなどの収集プラットフォーム
通信ストリームをキャプチャして処理できるらしいです。他人のサーバに侵入し、OPSECメカニズムとしてトラフィックをトネリングして、組織の痕跡を残さないようにしているとのこと。
また、例えばC2サーバ上でハッキングを実行するとそれが大学のアプリサーバだった場合など、様々な種類のネットワークが踏み台として脅威アクターによって武器化され続けています。
対策としては、防御する側はテストするだけはなく、攻撃者が行なっていることに類似したトラフィックやアクションなどのアクティビティを模倣し学び、適応させて公理的な解決策を見つけ続ける必要があるとのまとめで話を締めていました。

また、ルンバなどのIoT機器や車、駅の改札など様々な分野でのハックが話題に取り上げられていました。
駅の改札ハックでは、モバイル決済後チケットのQRコード解析に関してはハックがうまくいかなかったものの、ゲートの分析を行い最終的にハックできた事例を紹介していました。
流れとしてはこんな感じです。

入場と退場は同じQRコードチケット:
・入場直前でチケットをキャンセルしゲートに読み込ませると通れた(ゲートとMaaSオペレータの間にリアルタイム通信が存在してなかった)
・キャンセルされたチケットで出口も開いた。これで無銭乗車成功。
・ただし1週間後にMaaSオペレータは、入場と退場のログによって料金が請求されてない乗車があることに気づく

そこで気づかれないようにこんな工夫をしたそうです。
・入場直前でチケットをキャンセル。もう一度チケットを取り、退場前で再度チケットをキャンセルしゲートを通過。
これでMaaSオペレータが確認可能な乗車は、完全になくなります。
上記で紹介した事象とは異なりますが、他にもチケット購入アプリの脆弱性を利用し、
他人の決済で購入したチケットでゲートを通過できたり、と。

挙げたのは一例ですが、どの分野でも「これ、やばくないですか?」って手法の紹介が満載で
危険な香りがプンプンしてる発表が多かったですね。(私達はとても楽しめました!)



Village CTF
会場では、カンファレンスとは別に、多数のVillage CTF会場が隣接していました。
Villageとは、カテゴライズされたテーマに対して、実際にハッカーに侵略された際のリスク・影響を模擬環境で体験したり、ハッキングの手法を聞いた上で実際にハックしてみたり、といった挑戦が可能なコーナーです。
宇宙、インフラ(ダムや街丸ごと)のような大きなテーマから、車、自動販売機に至るまであり、皆熱心に説明を聞いたり、実際にハッキングに挑戦していました。特徴的だったのは、やはり投票集計機器のハックでしょうか。アメリカならではのテーマだと感じましたね。無線ハッキングやRFIDのハッキング、ピッキング体験なんかもありました。

● CAR HACKING VILLAGE
ハッキング専用の車(テスラ)が用意されており、ランプの点灯、トランクの開閉などのハッキングを行っていました。


● PASSWORD VILLAGE


CTFは、やはり盛り上がってましたね。
どこの会場に行っても、椅子に座ってチームで取り組んでる方々や、地べたに座り込んで各々でラップトップ開いて集中してプレイしてました。周りと意見交換しながら談笑して挑戦してる方もいれば、黙々と取り組んでる方もいたり、挑戦してる方々は基本何時間もそこでずっとPCいじって問題解いており、挑戦者の熱の高さを感じました。


中でも面白い試みだなと思ったのが、次に紹介するハッキングeスポーツです。
これは、FPSゲームで実施していましたが、Playerは通常通りプレイしながら、ハッカーがハッキングによって、プレイを援護。相手を倒してポイントをGetしていくのですが、当然相手Playerもハッカーが援護するため、ダメージやエイムなどを操作して応戦しているのが特徴的でした。ポイントを競い合い、優勝を競うのですが、Playerが真剣なのはもちろんのこと、裏で解読&ハッキングしてるチームもみなすごい熱量を感じましたし、勝利した瞬間大盛り上がりでした。
 ※ヘッドフォンしてるのがPlayer、その後ろでハッカーチームがゲームハックしながらPlayerを援護しています。


その他にも作りましたシリーズ(バッジ、LANケーブルetc)も盛り上がっていましたね。
みんなハンダゴテを手に黙々と作ってました。作ったLEDバッジは、DEF CONのパスタグに組み込み、オシャレにカスタマイズできるらしく、LEDピカピカさせたナウいタグをぶら下げていましたよ。



お土産/食事
お土産は、大行列過ぎて、並んでしまったらカンファレンス講義を全く聞くことができないぐらいの大盛況だったため断念。
最終日に入れた時は、ほぼほぼ売り切れ。Tシャツの3XLとかぐらいしか売れ残ってませんでした。
初日に覗いた時は、バッグ、帽子、バッジ(Raspberry Pi 搭載?)の基盤とかも売ってました。もちろん、ここも現金のみ。
そう言えば、例年売ってると聞いてたピッキングツールは見当たらなかったです。。。。売り切れちゃったのかな(※そもそも日本への持ち込みは禁止されてるので購入する気はないですが...こういうの販売しちゃうところがDEF CONぽいですよね)

食事コーナーもありました。が、、、、全て現金購入。
DEF CONだけにカードの不正使用等を防ぐための対策か何かなのでしょうか。とにかく現金がない私達は外に出て、ほぼバーガー生活でした。
それにしても、アメリカは高い!!
アメリカ経済のインフレと円安の影響が相まって、マックのセットが2000円超、ピザと缶ビールだけで4000円越え、こんな感じです。水ですら高い!あまりに高くて気軽に買えないので、DEF CON参加中は、各会場わきにある給水機での水筒生活でした。海外の方も水筒持参でみんな使ってましたね。


全体を通して
やはりアメリカ、スケールがでかいというかテキトーというか。
接客一つとってもここはアメリカ、といった感じ。
ホテルのカードキーは設定ミスで直ぐ使えなくなり部屋のドア開かなくなるし(4回ぐらい設定し直してもらう)、お店の店員はフレンドリーな人もいるんだけど、基本めっちゃ雑だし結構そっけない。
日本のおもてなし精神が海外で賞賛されている理由が何となく分かりました。

気候は、日差しが痛く、日焼け止め & サングラス が必須レベルだけど、乾燥してる分快適でした。土地も広大で、google mapで直ぐの距離に見えても1時間以上歩くこともしばしば。

後、気になったのは以前よりちょっと治安が悪くなったかも。
大通りは観光客も多く華やかなイメージがありましたが、路地に入ると浮浪者や天に向かって叫んでる人なんかも多く見かけましたね。
また、大麻が合法で大麻店もあり、改めて日本の治安の良さ、衛生観念の高さを感じました。

あ、カジノは当然負けました(笑)
ご利用は計画的に。。。。


まとめ
DEF CONは、サイバーセキュリティの世界で最も著名なカンファレンスの一つであり、私達の参加体験は非常に興奮と学びに満ちたものでした。世界中から集まったセキュリティ専門家、ハッカー、研究者が一堂に会する場であり、最新の脅威、攻撃手法、セキュリティの最前線の情報を共有する貴重な機会となりました。

日本では考えられない規模で、会場は圧巻でした。セキュリティに関する展示ブース、セキュリティツール、デモンストレーションが数多く設置され、私達は興味津々で駆け回っていました。また、ハッカーたちが手掛けたセキュリティの脆弱性を実演するセッションや、CTFコンテストなど、観戦すること自体が非常に刺激的でした。

さらに、講演やワークショップ、パネルディスカッションなど、多彩なプログラムで構成されており、著名なセキュリティ研究者や企業のリーダーたちが、最新の脅威についての深い洞察を提供し、私達は彼らの経験と知識から多くを学びました。

今回のDEF CONへの参加は私達にとって非常に有意義で実りある経験でした。最新の技術や攻撃手法に触れることで、セキュリティに対する新たな視点を得ると共に、自身のスキルを向上させ、将来のキャリアに役立つつながりを築くことができたと感じます。