Black Hat のNeil "Grifter" Wyler 氏は、今週、「針の山から針を探す」ことに時間を費やす予定だ。同氏はこの作業を、ラスベガスで開催される Black Hat セキュリティ カンファレンスを支えるネットワーク オペレーション センター (NOC) から行う予定だ。
レジスターはそれをチェックするために立ち寄りました。
NOCはマンダレイベイホテルの奥深くにある、何の変哲もない会議室にありました。ボランティアたちがテクノとメタルをミックスした音楽を流し、バックグラウンドのスクリーンにはミュートされたハッキング動画が映し出されていたため、会話は静かでした。このハッカーが訪れた時は『キャッチ・ミー・イフ・ユー・キャン』でした。
私たちは針山の中の針を探しています
ソファ、ビーズクッション、ぬいぐるみマスコット(猿とインフレータブル羊)が休憩場所として用意されています。ボランティアたちは5~6時間のシフト勤務で、休憩時間には研修や説明会に参加したり、専用の仮眠エリアで休んだりできます。
猿のライルと雌羊のヘルガ - クリックして拡大
ボランティアはネットワークオペレーションセンター(NOC)の構築に3日間を要しました。今年はTwitchで配信し、視聴者が視聴して質問を送信できるようにしました。配信は番組中も続きます。
Black Hat NOC はホテル独自の NOC とは完全に独立していますが、これは Black Hat の NOC が標準以下だからではなく、Black Hat のようなカンファレンスの要求が非常に大きく、参加者が (通常) セキュリティ意識が非常に高いため、主催者は、問題が拡大する前に迅速に発見して阻止できる、最新のキットにアクセスできる専門家が必要だと考えているからです。
「攻撃を察知した場合、あるいはネットワークの安定性や参加者の安全に悪影響を与える可能性のある何かが起きた場合に、緩和策を講じることができます」と、普段はセキュリティベンダーのCoalfireで防御サービス担当副社長を務め、Black Hat NOCに20年近く携わっているグリフター氏は述べた。
「チケットを発行して、ホテルの担当者が来て何が起こったのか尋ねるまで90分も待つわけにはいきません。すぐに対応しなければなりません。」
だからといって、ホテルやその他の関係者が役に立たないというわけではありません。実際、「ハッカーサマーキャンプ」として知られるこの1週間は、ライバルホテルチェーン(8月に開催される3つの情報セキュリティコンベンションのいずれにも参加していないホテルチェーンも含む)、地元警察、そしてFBIが定期的にブリーフィングを行い、悪意のある活動への対応策を練ります。幸いなことに、主催者がFBIの出動を必要としたのは一度だけでした。NOC(National Commission on the Office of the Office)が参加者の身体的危険を示唆する兆候を捉えた時でした。
「ある男のナンバープレート、車、自宅や妻、子供たちの写真など、ネットワーク上で平文のまま送信されていた文書がありました」とグリフター氏は述べた。「警鐘が鳴らされ、通報しました」
その後の調査で、データの出所は、製薬会社を最近退職し、企業秘密を盗んだ疑いのある出席者を追跡していた、やや無能な私立探偵だったことが判明した。
Black Hat NOC の作業風景 - クリックして拡大
展示会開催期間中、ネットワーク上では悪意のあるアクティビティが数多く発生しています。その多くは、特に攻撃的・防御的なハッキング手法とその対策を学ぶトレーニングセッションの参加者によって発生しています。こうしたスキルを駆使したいという誘惑に抗いがたい衝動に駆られることは少なくありません。
グリフターは、番組開始当初、ネットワーク全体がダウンした際に発生した重大なアラートを思い出した。犯人は、番組で使用されていたシスコのネットワークキットにゼロデイ脆弱性を発見し、クラスで実演していた講師の一人だったことが判明した。
こうしたケースやその他のケースに対応して、チームはトレーニング セッションに使用されるネットワークをサンドボックス化しました。
こうした予防策にもかかわらず、問題は依然として解決されていない。ある学生は、習得したばかりのエクスプロイトを使って地元の警察署をハッキングしようと試みた。
「ネットワーク上で悪意のある人物を探すのは、干し草の山から針を探すようなものです」とグリフター氏は述べた。「私たちは針山から針を探しているのです。」
NOCボランティアは、クラス内で悪質な行為が行われているのを見つけると、生徒に「Black Hatで違法行為をすることは違法です」と注意喚起します。さらに深刻なケースでは、NOCの担当者がクラス内で行われている行為を具体的に伝え、その行為をやめるよう指示します。
セキュリティカンファレンスの参加者はリスクを熟知しており、危険な行動には手を出さないだろうと思われるかもしれません。しかし残念ながら、そうではありません。多くの人がデバイスにマルウェアをプリインストールした状態で会場にやって来ます。NOCチームは、こうしたマルウェアを頻繁に発見しています。
グリフター氏は、新しいマルウェアの亜種を見つけることは仕事の楽しい部分だと語った。何か新しいものが現れると、チームは「興奮し」、すぐにコードサンプルを解析し、その仕組みとブロック方法を調べ始める。
ハードウェア、ソフトウェア、ウェットウェア
NOCで使用されるすべてのハードウェアはベンダーから寄付されます。主催者は、作業に最適なツールを選択します。
「約10年前、オープンソースのスクリプトと隅に置かれた小さなベンダーボックスでは、番組の規模が大きすぎると判断しました」とグリフター氏は思い出した。
「私たちは展示会場に行き、協力したいベンダーに歩み寄り、『私たちはNOCを運営している者です。ハードウェアを貸してもらって、ウェブサイトにロゴを掲載してもいいですか?』と言いました。」
無線の状況はどうですか? - クリックして拡大
ほぼすべての有名ベンダーが参加に熱心でした。カンファレンス主催者は、適切なツールを選ぶという課題に直面しました。現在では、ベンダーが自社のツールを披露し、チームが「CISOのように」使用するツールを決定するテストデーを開催しています。
選定基準は厳格で、ベンダーは金銭的な手段でNOCに加入することはできません。ベンダーは自社のキットがセンターに選ばれたことを他社に伝えることはできますが、選ばれた他のすべてのサプライヤーの名前も公表しなければならず、特定のベンダーだけが自慢できる権利を得ることはできません。
「ベンダーから『小切手を切ります。いくらになりますか?』とオファーを受けたことがあります。私たちは『そのお金で製品に投資して、より良い製品を作りましょう。そうすれば、次回もそれを選ぶかもしれませんよ』と言います。」
ベンダーは、自社のスタッフをボランティアとしてNOCに派遣するケースが多く見られました。今年の施設では、ライバルであるパロアルトとシスコの担当者がネットワークの問題解決にあたり、直接顔を合わせる様子を目にしました。しかし、100名を超えるスタッフの大部分は、有給休暇を利用してNOCでボランティア活動を行っている技術者です。主な目的は、楽しみのためだけでなく、学習の機会を得るためです。
グリフター氏は、場合によってはベンダーがショーで特定された問題を修正すると述べた。
- 今すぐパッチを適用: Broadcom チップを搭載した Dell PC 数百万台が攻撃に対して脆弱
- パロアルトネットワークスの幹部、ブラックハットのブースでランプに扮した「ホステス」について謝罪
- ソフトウェアのイノベーションは以前とは違っており、モクシー・マーリンスパイクはアジャイルのせいだと非難している。
- Copilotに権限を与えれば、秘密が漏れても驚かないでください
- CISA長官は、米国の選挙はかつてないほど安全になったと語る
NOCは商用ソフトウェアを使用していますが、ボランティアのスタッフは独自のコードも作成しています。Grifter氏は、問題のあるネットワークトラフィックをより簡単に特定できるように開発された新しいネットワーク可視化画面を披露しました。以下をご覧ください。
自社開発のNOCネットワーク画面 - クリックして拡大
アプリの開発者は、まずバイブコーディングツールを使用し、その後、世界中の過去のブラックハットイベントのデータを活用してコードを改良しました。
「私たちはこれに多大な労力を費やしています。本当に大変な仕事です」とグリフター氏は語った。「しかし、やりがいを感じるからこそ、私たちはこれを続けており、この活動に参加するためだけに、皆が休暇を取ってくれるほどです。」®
