コメントハッキング界のサマーキャンプが終了しました。Black Hat USA、BSides Las Vegas、DEF CONの参加者と主催者全員が、1週間にわたる講義、ネットワーキング、そしてパーティーを終え、ラスベガスを後にしました。
この7日間ほどの間に起こった出来事は、今後何年にもわたって連鎖的な影響を及ぼすことになるだろう。それは、この会議3部作で得られた新たな内部情報やツール、スキルを悪用した研究者や悪党による影響だけでなく、ホテルのポリシーが適切に実行されなかったことによる影響でもある。
ラスベガスは、昨年8月の今頃と比べて、小さな変化と大きな変化が一つずつ、大きく様変わりしました。小さな変化の一例として、ネバダ州ではマリファナが合法化され、街中のサワーディーゼルの臭いはトラックやバスからだけではないことが挙げられます。
大きな修正点は次のとおりです。昨年10月、ラスベガス・ストリップで開催された音楽フェスティバルで発生した大量殺人事件を受け、人々は当然ながら依然として緊張状態にあります。銃撃犯は、武器で溢れかえったマンダレイベイ・ホテルの部屋の窓から、数百人のコンサート参加者に向けて発砲し、58人が死亡、851人が負傷しました。
この緊張は週の半ばに顕在化し、その後 DEF CON の主要な話題の 1 つにまで発展し、ショーのセキュリティ責任者が辞任し、一部の参加者がボイコットを脅かすことにつながりました。
順調なスタート
BSides Las Vegasは火曜日、脆弱な技術への侵入方法に関する一連の講演で幕を開けました。講演の多くは高度な技術を扱っており、様々な脆弱性のある技術への侵入方法についてのものでした。BSidesは、ますます企業向けになりつつあるイベントへの代替として誕生したため、講演の質は、より大規模なBlack Hatで開催される多くの講演よりも優れていました。もっとも、この拙いハッカーはBSides LVで共同講演者を務めたため、偏見があるかもしれません。
BSidesのもう一つの強みは、ネットワーキングの機会です。ファームウェアやインターネットを繋ぎ止める接着剤に深く関わる人々と知り合いたいなら、ぜひ足を運んでみてください。3つの展示会の中で最も規模は小さく、私の考えでは、セキュリティ脆弱性の研究者や脆弱性を悪用する人の割合が最も高く、さらに学者の参加も増えています。
ここ数年、Black Hat USAは企業色が強すぎるため、ブラックジャックと売春婦を扱うRSAと化してしまうのではないかと懸念されていました。しかし、今年は多くの素晴らしいコンテンツがあり、その多くは斬新で真剣なもので、ショーの運営も全体的にはるかに良くなりました。
x86プロセッサやデータセンターサーバーのバックドア、いや、機能、自動運転車のハッキング、衛星通信のハイジャック、機械学習がマルウェア作成に与える影響など、コンテンツの質は高かった。水曜夜に開催されたセキュリティ・アカデミー賞、Pwnie賞でのジョン・マカフィーの最新の宣伝活動さえも揶揄された。
木曜日の講演も盛況でしたが、日が進むにつれて、多くの人がシーザーズ・パレスで開催されるDEF CONへと流れていきました。ハッカーショーではすでにいくつかの講演が始まっており、ドリンクも用意されていたため、Black Hatはあっという間に空になりました。
あなたを知る
DEF CONに殺到する理由の一つは、在庫がなくなる前に、今や伝説となった参加者バッジを確実に手に入れることです。名前とバーコードが印刷された単なるプラスチックのバッジではなく、このカンファレンスパスは、ライト、センサー、マイクロプロセッサなどのキットを搭載した実際に動作する回路基板であり、ハッキングしたり探索したりすることができます。
今年のDEF CON 26バッジ…ゲームと社交の潤滑油
今年はまさに天才的なアイデアでした。バッジにはレトロなロールプレイングゲームが内蔵されており、USB、30個のLED、その他のIOポートを介してアクセスできました。バッジを他の種類のバッジ(人間、押す、スピーカーなど)に接続すると、新しいRPGレベルがアンロックされ、接続が成功するとライトが点灯して知らせてくれました。
その結果、誰もが電子的に他の参加者と繋がろうとしており、それは自己紹介や会話をするのに最適な方法でした。木曜日の夜のDEF CONでは、主にチルアウトゾーンとプライベートパーティーが盛り上がっていました。
その夜、カンファレンスのためにその週に滞在していたGoogleのシニア社員マット・リントン氏が、シーザーズ・ホテルの部屋から深夜0時頃に無礼にも追い出され、敷地内への立ち入りを禁じられたという情報が入りました。リントン氏はその週の初め、SpectreとMeltdownのCPU設計上の欠陥に対する緩和策の開発と展開について詳細に説明したパネルディスカッションで講演した後、インタビューを受けていました。
物事は奇妙になる
リントン氏はラスベガス市警の警官から訪問を受け、Twitterで会議参加者を攻撃するという下品なジョークについて軽く尋問されていたことが判明した。攻撃とはハッキングを意味し、理論的な意味でもそうだった。しかし、ラスベガスで発生した銃乱射事件の記念日が近い時期に、ラスベガスで人々を攻撃するのではないかと公に推測したことは、まるで本番shutdown -h now環境のデータベースで議論されているかのように受け止められた。
問題となっているツイートを以下から自分で読んでみてください...
— マット・リントン 🐦👨💻⚕️⚒️🥋🎻 (@0xMatt) 2018年8月8日もしラスベガスで本当に良い攻撃を仕掛ける時間、予算、動機があったら、私はこうするでしょう。
❌ おそらくほとんどが金欠で無力な、ランダムなDefconオタクを攻撃する
✔️ チケットに💰を投じることで、どこかで権力の座に就いている可能性が高い BlackHat の人々を攻撃する
LVPDがこの種の行為を監視するためにソーシャルメディア監視ソフトウェアを運用している可能性はありますが、誰かがそれを見て警察に通報したと聞いています。いずれにせよ、この男はリントン氏と会話をするために立ち寄り、会話は短く友好的なものだったようです。問題は友好的に解決され、リントン氏はその後のツイートで謝罪し、一件落着となりました。
しかし、シーザーズのスタッフはツイートと警察の捜査を察知し、リントン氏を追い出しました。その夜、彼が部屋に入ろうとしたところ、キーカードが使えなくなり、ホテルの警備員が現れ、荷物をまとめるように言われ、縁石まで連れて行かれました。ホテルから出入り禁止になったことは、彼に二重の迷惑をもたらしました。泊まる場所がないだけでなく、今年のDEF CONはシーザーズが主催していたため、事実上イベントへの参加も禁止されていたのです。
DEF CONのスタッフは追放から数時間後にこの件に取り組み、リントンを復帰させるには番組の創設者ジェフ・モス(別名ダーク・タンジェント)の介入が必要だった。これはシーザーズの高圧的な対応に対する苦情の始まりに過ぎなかった。
その後まもなく、このホテル大手の従業員の行動に関するさらなる報告が浮上した。情報セキュリティジャーナリストのキム・ゼッター氏、Luta SecurityのCTOケイティ・ムソリス氏、そしてGoogleのリバースエンジニアであるマディ・ストーン氏は、従業員証をほとんど、あるいは全く持たないホテルの警備員が客室のドアを叩いたり、予告なく部屋に入ってきて、客室を捜索する権利を要求したりしたという。
ハッキングカンファレンスのシーズンということもあり、男たちは部屋に侵入しようとしていた、あるいはもっとひどいことを企んでいた可能性も十分にありました。身分証明書も持たず、許可なく突然部屋を捜索しようとした明確な理由もなかったため、恐ろしい体験でした。
押しの強いスタッフに関する報告が増加しました。DEF CONのハードウェアハッキング村では、はんだごてを没収された人がいました。プログラマーからリクルーターに転身したキルステンという女性は、バスルームで裸になっていたところ、予告なしに部屋を検査されたと語りました。また、多くの人が持ち物を物色されたと主張しています。一部の参加者はスイートルームに監視カメラを設置し、ホテルの警備員が参加者の部屋で撮影した写真をSnapchatで共有しようとする様子を撮影したとされています。
政策の衝突と失策の重なり
DEF CONは、シーザーズホテルのポリシー変更に真っ向からぶつかったようだ。マンダレイベイの殺人犯のように、スイートルームに武器を備蓄する者がホテルを再び無意味な殺人事件の舞台に使う可能性を懸念したこのホテル大手は、宿泊客のドアに数日以上「Do Not Disturb(起こさないでください)」の札がかかっている場合は、必ず捜索を行うと決めた。つまり、メイドが部屋に入って清掃やアサルトライフルや手榴弾の発見をできない場合、宿泊客の有無に関わらず、警備員が代わりにその作業を行うということだ。
これにはいくつかの問題がありました。まず、ホテルはチェックイン時に、環境に優しい選択肢としてメイドサービスを省略することを推奨しています。そのため、人々は資源を節約し、クレジットを獲得するためにハウスキーピングを制限するよう促されています。次に、私を含め多くの人がプライバシーを重視するため、メイドサービスを頻繁に断ります。さらに、ハッカーイベントの参加者は世界で最もセキュリティ意識の高い人々であるため、部屋に見知らぬ人が放置された荷物を預ける機会を最小限に抑えようとします。そして最後に、身分証明書を持たずに部屋に飛び込むことは、このポリシーの実施方法ではありません。
驚くべきことに、会議参加者たちは身元不明の人物が部屋に押し入って物色するかもしれないという可能性に非常に動揺した。武器の備蓄を確認するのは別として、2018年のアメリカではそれが現実だ。しかし、事前の警告もなく、身分証明書も提示せずに突然押し入ってくるのは、セキュリティを強化し、人々の安全を守る方法としては、かなりまずい。もちろん、コンピューターハッキングと比較するべきではない。
金曜夜のパーティーが始まると、この方針をめぐって激しい議論が巻き起こった。騒動に拍車をかけるように、Twitterで規則や検査について不満を訴える人々を、ネット上の荒らしたちが攻撃し始めた。
シーザーズは声明を発表し、客室の捜索ポリシーは今年1月から実施されており、警備員による検査は単なる目視によるものだと説明した。しかし、スタッフが客の所持品を触っていると思われるビデオ映像は、その逆を示唆している。
このホテル大手は、DEF CONのチームには会議開催に先立ち、新ルールについて十分事前に通知し、イベント主催者もその規則に同意したと述べた。しかし、DEF CONで20年間セキュリティ責任者を務めてきたマーク・ロジャーズ氏は、新ポリシーについては知らなかったと述べ、もし知っていたら参加者に明確に説明していただろうと語った。ロジャーズ氏は、ホテルスタッフが客室を点検する必要があることは認めつつも、より安全な方法で行うべきだと述べ、自身の職務を怠ったと批判した。
「だから私は辞任を申し出ます」と彼はコミュニティへの公開書簡に書いた。
シーザーズの声明を知らなかったことで、私は皆さんを失望させてしまいました。二度とこのようなことはさせません。しかし、もし私が皆さん、そして私のコミュニティを守るべき人物ではないと感じていただけるなら、私は去ります。私のチームの多くも去るでしょうが…それは変化のためです。
ビジネスには悪い
ロジャーズ氏は多くの支持を受け、留任を強く求められました。しかし、何かを変えなければならないのは明らかです。そうでなければ、来年は人々がラスベガスとそのホテルを避けるようになるでしょう。WordPressセキュリティ企業DefiantのCEO、マーク・マンダー氏は、土曜日の夜に女性チームメンバーが厳重な警備員に訪問されたことを受け、5万ドル相当の事業を他社に移すと述べました。
DEF CONが近いうちにシーザーズから移転する可能性は低いでしょう。ロジスティクスが複雑すぎるからです。とはいえ、ショーにはもっと広いスペースが必要です。NSAのロブ・ジョイスは5,000席のプレゼンテーションを行いましたが、数分で満席となり、さらに半数の人が入場待ちのままでした。
シーザーズ・ホテルのセキュリティ・シアターがショーを影で覆い隠したことで、一部の来場者の関心が薄れたのは明らかです。他のホテルチェーンはこのような徹底的なチェックを行っていませんが、ブラックハットの本拠地であるマンダレイ・ベイはチェックイン時に一部の長尺荷物の検査を求めていると報じられています。®
