Black Hat今年もハッカー サマー キャンプが開催されます。これは、BSidesLV、Black Hat、DEF CON の総称で、伝統的に毎年この時期にラスベガスで開催される情報セキュリティ カンファレンスの 3 部構成です。
今週、猛暑のアメリカ、ニューヨークに推定4万人が集まり、今年のコンピュータセキュリティの失敗と成功について語り合う予定です。番組の取材はこちらでご覧いただけます。
1993年6月にラスベガスのホテルで開かれたパーティーから始まったこのイベントは、今では世界最大規模のITセキュリティ関係者の集まりとなっています。カジノにとっても厳しい週です。ストリップの従業員の一人が「君たちはポーカーマシンに賭けたりしないじゃないか」と言ったところ、「我々のほとんどは数学を勉強したんだ」という返事が返ってきました。
参加者が期待できることは次のとおりです。
一週間かけて掘り下げる
最初の数日間は、トレーニングセッションや授業にどっぷりと浸かる人もいるでしょう。周りのラスベガスの観光客と同じように、ほとんどの人はメインイベント、つまりBlack Hat USA 2023とDEF CON 31を楽しみに来ています。
これら2つのイベントでのセッションは重要ですが、より小規模なBSidesLVでは、役立つヒントや業界情報を入手できます。当初はカンファレンスで取り上げられなかった講演を募る場として始まったこのイベントは、今では挑戦的な議論が活発に行われる場へと成長しました。中には掘り下げる価値のあるプレゼンテーションもあれば、少しニッチな内容のものもありますが、セキュリティ分野に携わっている方であれば、ぜひ参加してみる価値があります。
セッションはここからストリーミングできます。また、ここにはすべてを網羅したガイドがあります。
たとえば、火曜日には食品サプライチェーンの IT セキュリティに関する講演がいくつかありました。
水曜日には、「英国人がやってくる」という適切なタイトルの講演で、英国政府科学技術イノベーション省のソフトウェア サイバー レジリエンスのリーダーであるチャーリー グラッドストーン氏が、デビッド ロジャース MBE およびピーター スティーブンス氏とともに、モノのインターネットのセキュリティ、デジタル インフラストラクチャの保護などについて講演します。
PwCのサイバーセキュリティおよびデジタルトラストチームのDavid Stocks氏とJulia Wighton氏が、セキュリティインシデントへの対応方法と根本原因の追跡方法について詳細に解説します。PwCのMOVEit関連の問題を踏まえると、Wighton氏は内部情報を持っている可能性があります。
BSidesLVでは、質の高いブリーフィングが受けられるだけでなく、参加者もフレンドリーで、同じ志を持つ技術者と人脈を広げ、交流するのに最適な場所です。さらに、BSidesのパーティーは、2004年頃のDEF CON以来最高のものです。
ステージ上…DEF CONとBlack Hatの創設者ジェフ・モス
Black Hatでは、数日間のトレーニングセッションの後、水曜日から実際のブリーフィングが始まり、その後2日間にわたり、最新のセキュリティ問題と課題に関する講演が行われます。これは、誰もが参加できる範囲をはるかに超える内容です。今年の基調講演のトピックも興味深いものです。
水曜日午後の基調講演は必見です。米国政府のサイバーセキュリティ機関CISAのジェン・イースタリー長官と、ウクライナの国家特別通信情報保護局副長官ヴィクトル・ゾーラ氏による対談です。戦争の現状を考えると、ジャーナリストのリリー・ヘイ・ニューマン氏が司会を務め、興味深い議論が展開されるでしょう。
水曜日の午前の基調講演は異例のものです。Arm CPUスペシャリストであり、Azeria Labsの創設者でもあるマリア・マークステッター氏が、AIがセキュリティに及ぼす可能性のある影響について考察します。これは今回のイベントの中心テーマとなり、このテーマに関する複数の講演が予定されています。
最後に、米国がサイバーセキュリティを強化するために何をしているのか最新情報を知りたいという人のために、木曜日の基調講演では、大統領府の米国国家サイバー局長代理のケンバ・ウォールデン氏が登壇し、その戦略のより詳細な点について説明する予定だ。
IoTセキュリティに関するセッションも多数予定されており、サイバー保険の危険性とメリットについて多くの議論が交わされます。その好例として、水曜日の午後に行われる、元FBIのジョン・カラザース氏による講演が挙げられます。
過去には、インターネットの遮断に悪用される可能性のある DNS レベルの脆弱性を発見した経緯を語った故ダン・カミンスキー氏による 2008 年のプレゼンテーション、現金を吐き出す ATM のバーナビー・ジャック氏によるデモンストレーション、それほどスマートではない自動車への侵入に関するチャーリー・ミラー氏とクリス・ヴァラセク氏による講演など、注目すべきセッションがいくつかありました。
残念ながら、すべての講演が質の高いものというわけではなく、スケジュールが非常に多いため、時間の使い方には注意が必要です。それでも、がっかりすることもあるでしょう。2012年にAppleが初めてBlack Hatに登壇した時は、入場待ちの長い列ができていましたが、実際の講演は公開されたホワイトペーパーの焼き直しに過ぎず、期待外れでした。それでも、何かに賭けるのもラスベガスの楽しみの一つです。
さらに、エキスポフロアもあります。例えばRSAカンファレンスのような規模よりも小さいですが、一般的に興味深いブースが並んでいます。アメリカ政府も多数参加しており、国のために尽くしてくれる人材を募集しており、時折、非常に率直な意見を述べることがあります。
DEF CONで盛り上がる
Black Hatにはスーツ姿の人がたくさんいますが、DEF CONではスーツ姿の人はほとんどいません。ずっとリラックスした雰囲気のイベントです。Tシャツやカーゴショーツの方が一般的で、コスチューム姿の人も見かけます。
一つアドバイスをするとすれば、赤いTシャツは着ないということです。これは伝統的に、DEF CONのショーでガイド役を務めるグーン(Goons)が着ているもので、このハゲタカが今まで見た中で最もフレンドリーで親しみやすいカンファレンス代表者と言えるでしょう。赤いTシャツを着ると、グーンと間違われて参加者にしつこく話しかけられるかもしれません。
DEF CONの講演は、Black Hatの講演よりも少し実践的で、政策論争の要素は少なめです(ただし、少なくとも今年は少しだけです)。講演は複数のトラックに分かれており、通常20~45分のプレゼンテーションが木曜日から日曜日にかけて行われます。人気の講演は行列が長すぎて、がっかりすることもあるので、確実に席を確保したい場合は早めに会場に到着しましょう。
DEF CON創設者のジェフ・「ダーク・タンジェント」・モス氏が、金曜日の基調講演を再び担当します。彼は、国土安全保障省のアレハンドロ・マヨルカス長官と共に登壇します。このカンファレンスではかつて、「Spot the Fed」(時折Spot the Journalist)というコンテストを開催し、会場で身元を隠している政府職員を見つけ出そうとしていました。今では、このカンファレンスに多くの連邦職員が参加するようになっています。法執行機関は、問題解決にはセキュリティ担当者と協力する方がよいと判断したからです。
1997年、初開催のDEF CONから4年後にBlack Hatを創設したモス氏が、他の講演者と競い合うことは、このイベントがいかに平等主義的であるかを示すものだ。著名なハッカー集団「カルト・オブ・ザ・デッド・カウ」のメンバー数名が、安全なピアツーピアの分散型システム「Veilid」について講演する。VeilidはTorと同等のプライバシーを提供するとされ、最先端の暗号化メッセージングアプリを搭載している。
また、Moss と競合するのは、DEF CON 31 で開催される今年の AI ハッキング チャレンジ (同種のものとしてはこれまでで最大規模) に関する講演です。Anthropic、Google、HuggingFace、Meta、Nvidia、OpenAI、Stability が調査対象のモデルを提供しています。
プレゼンテーションは比較的カジュアルな雰囲気です(DEF CONで初めて講演する方は、開始前にアルコールを一杯飲むことをお勧めします。緊張を和らげるのに役立つかもしれません)。講演後には通常、質疑応答セッションが行われ、聴衆のレベルを考えると、非常に有益な情報が得られることが多いです。
- ウクライナのサイバー責任者がブラックハットに突然訪問
- スターリンクの衛星アンテナがブラックハットのステージ上で割れる
- 墜落事故を避けるために、セキュリティは航空業界から学ぶ必要がある
- ブラックハットの開幕に伴い、米国政府はセキュリティ人材の採用に関するメッセージを受け取り始めている
しかし、DEF CONの真価はメイントラックの講演会ではなく、村のイベントで開催される点にあります。セキュリティ関係者が集まり、衛星ハッキング、産業用制御システムの破壊工作、鍵開けから高度なソーシャルエンジニアリングまで、多岐にわたるテーマに取り組みます。お子様連れの方にはキッズコーナーもあり、40種類以上のテーマに挑戦できます。
衛星ハッキング村は特に興味深い。米宇宙軍は今年の「Hack-a-Sat」コンテストのために、実際に衛星を打ち上げ、どのチームが最も興味深い方法で衛星を破壊できるかを競う予定だ。
これらの村の多くは、独自のトレーニングトークセッションを開催しています。こうした集まりの最大のメリットは、同じ志を持つ、気軽に話せる人たちに囲まれることです。興味のあるトピックについて専門家のアドバイスを受けたり、同じ情熱を持つ友人を作ったりするのに最適な方法です。
最後にセキュリティについて一言。DEF CONは、3つの展示会の中で唯一、誰かがあなたの機器に侵入しようとする可能性が高い展示会です。まず、パケットハッキング集団が運営する「Wall of Sheep」があります。これは通常、会議ネットワーク上で暗号化されていないログイン試行やその他の保護されていないアクティビティを検知し、これらのミスの詳細を隠して巨大スクリーンに表示するものです。もし自分がそこにいるとしたら、個人のセキュリティについてもう一度考え直した方が良いでしょう。
しかし、中には恥知らずな人もいます。DEF CONは、誰かが私のデバイスにリモートで積極的に侵入しようとしているのを目撃した唯一のショーです。使い捨てデバイス、あるいは機密性の高い情報や興味深い情報が入っていないデバイスを使い、完全にアップデートされ、適切なファイアウォールで外部サービスに接続できないデバイスを使いましょう。接続が必要になるまでは機内モードにしておき、公共のネットワークは避けましょう。Wi-Fiは使わず、携帯電話回線で安全なVPNを使用すれば、簡単に侵入されるようなことはなくなるでしょう。
機器から目を離さないでください。また、不審な行動やポートにケーブルを差し込もうとする人物がいないか注意してください。これはラスベガスの婉曲表現ではありません。
その他のヒントとコツ
今年の高温を踏まえると、ラスベガスの夏の一般的なルールは、常に水分補給をすることです。水です。ほとんどの時間をエアコンの効いた部屋で過ごすので、体が乾燥してしまいます。あるいは、もっとひどいことに、外に出ることになります。脱水症状の観点から言えば、どちらも理想的とは言えませんが、至る所にウォーターサーバーがあります。いつでも補充できる水筒を持参し、できるだけたくさん飲みましょう。
履き心地の良い靴も必須です。セッションの合間にはたくさん歩き、列に並んで待つ時間も長いので、足に負担がかかります。ブラックハットをハイヒールで最後まで歩き切ったという勇敢な人を知っていますが、ハイヒールはおすすめできません。
どのカンファレンスでもマスク着用は推奨されていますが、必須ではありません。この規模のイベントでは、国内外から飛行機で人が集まるため、咳が出ることは常に問題となってきました。COVID-19の影響で、状況はさらに深刻になっています。個人の判断で自由に行動してください。
ストリップでの会議での食事は、選択肢が二つあります。一つはリーズナブル、もう一つは質が良い、そしてもう一つは会場内で食事ができる、というものです。これらの選択肢の中から二つを選ぶことになります。時間に余裕があれば、最初の二つの条件を満たす場所までタクシーで行くのも良いでしょう。ラスベガスには、メインストリートから少し離れれば、素晴らしい食事の選択肢がたくさんあります。
3つのカンファレンスはすべて分散して開催されます。Black Hatはストリップの端に位置し、DEF CONとBSidesLVはそれぞれ少し離れた場所にあります。タクシーを利用する場合は早めに予約し、地図機能の所要時間は信用しないでください。Black Hatの場合は、ホテルではなくコンベンションセンターを指定してください。モノレールはマンダレイベイまで運行していませんが、ストリップから外れた場所にバスが運行しており、少なくともラッシュアワー時は車とほぼ同じ速さです。
最後に、楽しむことを忘れないでください。Black Hatは主にネットワーキングが目的ですが、楽しいパーティーもいくつかあります。DEF CONとBSidesはもっとリラックスした雰囲気で、長続きする友情が生まれたこともあります。®
