株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年09月28日 | ラックピープル

Black Hat USA 2017とDEFCON 25に参加してきました。(その3)

セキュリティ診断グループの北原です。

前回の「Black Hat USA 2017とDEFCON 25に参加してきました。(その2)」に続き、
今回は私が参加したBlack Hat USA 2017のトレーニング(実習)について紹介します。
今後、Black Hatのトレーニングを選定する際の一助となれば幸いです。

Black Hat 講演会場の様子
Black Hat 講演会場の様子

Black Hat USA 2017で受講したトレーニングについて

Black Hat USA 2017では、以下のトレーニングを受講しました。

このトレーニングは、米国のIoTセキュリティ会社SENRIO社(*1)・Xipiter社(*2)によるものです。 講師には、Wiley社出版の「The Android Hacker's Handbook」の執筆者であるStephen A. Ridley氏と、No Starch Press社出版の「Practical Malware Analysis」の編集者であるStephen C. Lawler氏を迎えて、4日間、開催されました。
Xipiter社のトレーニングの公式Webページによれば、今回のBlack Hat USA 2017が初開催ということでしたが、滞りなく進行し、トレーニングに付随する資料や、ハンズオン演習および自己学習用に配布される仮想マシン等のソフトウェアはとても充実していました。カリキュラムについては、Xipiter社の公式Webページに、より詳細な記載があります。

この中で、トレーニング内容や受講者要件から、ソフトウェア開発やバッファオーバーフローに関する前提知識が必要になることが分かります。実際に受講し終えた感想としても、やはりバッファオーバーフロー等に関する基礎的な知識がなければ、ついていくことが困難であると感じました。

トレーニング(ハンズオン形式)で実施された内容

ARMアーキテクチャに関する基礎知識とバイトコードの作成手順について

トレーニングの名前からも推測できるように、内容はAndroid OS自体に対する攻撃を取り扱うものでした。私達が普段使っているコンピュータの多くはx86というアーキテクチャで構成されていますが、Android OSはスマートフォンやIoT機器に組み込まれることが多いため、ARMというアーキテクチャで構成されており、OSが取り扱うバイトコードが異なります。よって、前半はARMアーキテクチャに関する基礎知識とバイトコードの作成手順に焦点を当てた内容となりました。アーキテクチャは違えど、バイトコードの作成手順に関してはx86アーキテクチャとは大きな差が無いため、x86アーキテクチャでバイトコードを作成した経験がある技術者はあまり苦労せずについていけるでしょう。
また、トレーニングでは全体を通して、攻撃コードの実行時のソフトウェアの挙動を確かめる目的でデバッガを頻繁に用いるため、前半はデバッガの使い方にも焦点が当てられました。デバッガとしてはGDBを用いました。ハンズオン演習では、講師が用意した遠隔の演習サーバで実施され、ARMアーキテクチャでのバイトコードの作成や、デバッガを用いたスタックバッファオーバーフローの攻撃コード作成について触れました。

AndroidのOSの仕組みやそれらの脆弱性を悪用した攻撃について

後半は、AndroidのOSの仕組みやそれらの脆弱性を悪用した攻撃について焦点が当てられました。内容が高度であり、ソフトウェアや脆弱性に関する前提知識のみではなく、OSのカーネルに関する前提知識がある程度無いと、完全に理解してついていくことが難しいと考えられる内容でした。ハンズオン演習は、配布される仮想マシンにて実施され、仮想マシン内に構成された仮想のAndroid端末に対して、Android OSで過去に発見された攻撃コードを実際に作成して実行するものでした。

トレーニング中の醍醐味

Black Hatのトレーニングに限った話ではありませんが、講師の雑談はトレーニングの醍醐味でしょう。トレーニングによっては、最先端の技術者からカリキュラムには記載されていない、技術的な雑談を聴くことができます。私は英会話の能力が及ばずあまりできませんでしたが、講師と直接会話をして交流を深めることができることは魅力の一つと言えるでしょう。今回は、講師と受講者の間で頻繁にやり取りがありました。

さいごに

今回は特にですが、トレーニング内容は受講の場で身に付くということは無く、受講後に復習による鍛錬を重ねることで身に付くものです。私も今回の内容を入念に復習し、技術として身に付けることで、社会に貢献できる技術者を目指したいと考えています。
また、私の英会話力が及ばず、講師や他の受講者とあまり会話ができませんでしたが、海外技術者との交流は海外カンファレンスやトレーニングを受講する価値の一つでしょう。次回の海外カンファレンス参加時は、一人の技術者として海外技術者と対等に話ができる会話能力と技術力を身に付けた上で臨みたいです。

(*1)SENRIO社
(*2)Xipiter社

  • cyber_banner_2017jpn.jpg

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top