-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
セキュリティ診断グループの北原です。
前回の「Black Hat USA 2017とDEFCON 25に参加してきました。(その2)」に続き、
今回は私が参加したBlack Hat USA 2017のトレーニング(実習)について紹介します。
今後、Black Hatのトレーニングを選定する際の一助となれば幸いです。
Black Hat USA 2017で受講したトレーニングについて
Black Hat USA 2017では、以下のトレーニングを受講しました。
このトレーニングは、米国のIoTセキュリティ会社SENRIO社*1・Xipiter社*2 によるものです。
講師には、Wiley社出版の「The Android Hacker's Handbook」の執筆者であるStephen A. Ridley氏と、No Starch Press社出版の「Practical Malware Analysis」の編集者であるStephen C. Lawler氏を迎えて、4日間、開催されました。
Xipiter社のトレーニングの公式Webページによれば、今回のBlack Hat USA 2017が初開催ということでしたが、滞りなく進行し、トレーニングに付随する資料や、ハンズオン演習および自己学習用に配布される仮想マシン等のソフトウェアはとても充実していました。カリキュラムについては、Xipiter社の公式Webページに、より詳細な記載があります。
この中で、トレーニング内容や受講者要件から、ソフトウェア開発やバッファオーバーフローに関する前提知識が必要になることが分かります。実際に受講し終えた感想としても、やはりバッファオーバーフロー等に関する基礎的な知識がなければ、ついていくことが困難であると感じました。
トレーニング(ハンズオン形式)で実施された内容
ARMアーキテクチャに関する基礎知識とバイトコードの作成手順について
トレーニングの名前からも推測できるように、内容はAndroid OS自体に対する攻撃を取り扱うものでした。私達が普段使っているコンピュータの多くはx86というアーキテクチャで構成されていますが、Android OSはスマートフォンやIoT機器に組み込まれることが多いため、ARMというアーキテクチャで構成されており、OSが取り扱うバイトコードが異なります。よって、前半はARMアーキテクチャに関する基礎知識とバイトコードの作成手順に焦点を当てた内容となりました。アーキテクチャは違えど、バイトコードの作成手順に関してはx86アーキテクチャとは大きな差が無いため、x86アーキテクチャでバイトコードを作成した経験がある技術者はあまり苦労せずについていけるでしょう。
また、トレーニングでは全体を通して、攻撃コードの実行時のソフトウェアの挙動を確かめる目的でデバッガを頻繁に用いるため、前半はデバッガの使い方にも焦点が当てられました。デバッガとしてはGDBを用いました。ハンズオン演習では、講師が用意した遠隔の演習サーバで実施され、ARMアーキテクチャでのバイトコードの作成や、デバッガを用いたスタックバッファオーバーフローの攻撃コード作成について触れました。
AndroidのOSの仕組みやそれらの脆弱性を悪用した攻撃について
後半は、AndroidのOSの仕組みやそれらの脆弱性を悪用した攻撃について焦点が当てられました。内容が高度であり、ソフトウェアや脆弱性に関する前提知識のみではなく、OSのカーネルに関する前提知識がある程度無いと、完全に理解してついていくことが難しいと考えられる内容でした。ハンズオン演習は、配布される仮想マシンにて実施され、仮想マシン内に構成された仮想のAndroid端末に対して、Android OSで過去に発見された攻撃コードを実際に作成して実行するものでした。
トレーニング中の醍醐味
Black Hatのトレーニングに限った話ではありませんが、講師の雑談はトレーニングの醍醐味でしょう。トレーニングによっては、最先端の技術者からカリキュラムには記載されていない、技術的な雑談を聴くことができます。私は英会話の能力が及ばずあまりできませんでしたが、講師と直接会話をして交流を深めることができることは魅力の一つと言えるでしょう。今回は、講師と受講者の間で頻繁にやり取りがありました。
さいごに
今回は特にですが、トレーニング内容は受講の場で身に付くということは無く、受講後に復習による鍛錬を重ねることで身に付くものです。私も今回の内容を入念に復習し、技術として身に付けることで、社会に貢献できる技術者を目指したいと考えています。
また、私の英会話力が及ばず、講師や他の受講者とあまり会話ができませんでしたが、海外技術者との交流は海外カンファレンスやトレーニングを受講する価値の一つでしょう。次回の海外カンファレンス参加時は、一人の技術者として海外技術者と対等に話ができる会話能力と技術力を身に付けた上で臨みたいです。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR