CODE BLUE 2019参加レポート～休む暇なし！講演漬けの充実した2日間

こんにちは。ラック入社1年目、JSOC所属の梶谷章博と古謝秀人です。

私たちは、2019年10月29、30日に東京・渋谷で開催された情報セキュリティ国際会議「CODE BLUE 2019^※1」（以下、カンファレンス）に参加してきました。世界中からトップクラスのハッカーやセキュリティの専門家が集うCODE BLUEについては過去にもラック社員が参加レポートをLAC WATCHで発信していますが、この記事でも、私たちの印象に残った講演をいくつかご紹介します。次回以降のCODE BLUEへの参加を考えるきっかけになれば幸いです。

基調講演

核兵器とハッキング

アンドリュー・ファター氏（オスロ国際平和研究所／英国レスター大学准教授）

オープニングを飾ったのはアンドリュー・ファター氏による基調講演「核兵器とハッキング」で、情報セキュリティと核兵器の観点から平和を維持するためにどのようにすべきかを訴える内容でした。ファター氏はこう述べています。

「サイバー攻撃は"新しく高度な非核兵器であり、戦略的な核レベルの兵器"である。また、核兵器を制御するシステムに攻撃が行われる（あるいは行われている）可能性は十二分にある。システムを開発し運用するのは人間であるため、自動化したとしてもリスクが無くなることはない」

一般的に、システムの自動化は、業務の効率化を図るとともに、人によるミスや判断のぶれなどを排除するために行われますが、その自動化によって「新たなリスクが生まれる」というファター氏の指摘は、これまでにない新たな認識を与えてくれました。

最後に、ファター氏は「核兵器を制御するシステムは、抑止力としていつでも使えなければならないが、ミスを起こしてはいけないため、構成をシンプルにすべきである。また、核兵器についてはネットワーク越しだけでなく物理的にも攻撃されないよう完全に外部と隔離すべきである」と述べ、講演を締めくくりました。

抵抗は無駄―防御できないサプライチェーン攻撃

スンティン・サイ氏（台湾・TeamT5 Research CEO）and リンダ・クオ氏（同 Senior Cyber Analyst）

サプライチェーン攻撃とは、システムやサービスを構成するソフトウェア、ハードウェア、サービスのライフサイクルを侵害し、それを利用する企業や取引先をターゲットとして攻撃する手法です。この講演では、韓国、チェコなどの企業をターゲットにしたサプライチェーン攻撃の詳細とサプライチェーン攻撃から効果的に組織を守るための戦略が紹介されました。

ある事例は、開発用のパソコンが侵害され、バックドア機能を持つマルウェアがインストールされたことにより、正規サイトから悪意あるペイロードを含むプログラムが正式版のファイルとして配布されてしまったというものでした。この攻撃において、マルウェアは複数のC2サーバと定期的な通信を行っていましたが、そのうちの一つの通信先はGitHubのリポジトリだったといいます。この講演を聞き、正規の通信先に見えるものでも、それが攻撃に悪用される可能性があることを念頭に、日々の監視業務に臨む必要があると感じました。

U25枠

次に、満25歳以下の若手研究者を対象に公募されたU25枠から、3講演の内容を紹介します。

私はあなたが昨夜に何をしたかを知っている：最新のIoT Hubの侵入方法

ホンリョル・リム氏 and ジスブ・キム氏（いずれも韓国情報技術研究所）

IoT Hubは、照明やエアコン、電子錠などのIoT機器を一元管理する機器であり、この機器の制御を奪うことは、それに接続されている機器すべての制御を奪うことだという内容の講演でした。この講演中に、サイドチャネル攻撃によりIoT Hubを通して、接続された電子錠にエクスプロイトコードを実行させるというデモも行われました。実際に電子錠がオープンになると会場から拍手が起こりました。

今後、IoT機器の活躍シーンが増えていく中で、攻撃者がIoT Hubをターゲットとすることが多くなると予想されます。攻撃の詳細を事前に知っておくことで、IoT Hubが攻撃されている可能性にいち早く気付き、他のIoT機器への被害を止められるような判断ができるのではないかと考えられます。

アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法

市川 遼氏（CTFチームTokyoWesternsのリーダーおよび設立者）

日本を代表するCTFチーム「TokyoWesterns」のリーダーである市川 遼氏による講演でした。Windows DefenderはWindows環境において50%以上のシェアを持ち、5億台以上の端末で利用されているとされます^※2。市川氏が紹介した攻撃手法は、サーバ内のWindows Defenderの仕様を悪用し、本来は参照できない秘密データの値を処理に利用させることによって、エラー発生時の値からサーバ内の秘密データが推測できるようになるというものです。

現時点で可能な対策はWindows Defenderを無効化することか、任意の文字列と秘密データを同時に処理しないシステム構成に変更することだと市川氏は述べていました。

攻撃が成功するには、条件としてサーバ上のWindows Defenderが有効になっていることが必要な上に、攻撃に使われる任意の文字列と秘密データを指定できるペイロードの形式にも制限があるため、どのようなシステムにもこの攻撃が通用するというものではありませんが、シェアの大きいソフトウェアを利用したインパクトのある攻撃手法だと感じました。

Semzhu-Project - 手で作る組込み向けハイパーバイザと攻撃検知手法の新しい世界

朱 義文氏（セキュリティキャンプ全国大会2017修了生／SecHack365'18 優秀修了生）

Semzhu-Project（センジュプロジェクト）は、NICTが実施する若手セキュリティイノベータ育成プログラムSecHack365^※3において立ち上げられたプロジェクトで、U25枠の3つの講演のうち唯一、防衛面に重きを置いた内容でした。

このプロジェクトにおいて朱氏は、容易に改造できる組み込み向けのハイパーバイザとそのハイパーバイザ上で動作する新たな攻撃検知手法を開発しました。ハイパーバイザとは、コンピュータを仮想化するソフトウェアのことです。
朱氏が開発したこの検知手法の特徴は、アセンブラ命令を疑似拡張し、ゲストOSに手を加えずに攻撃を検知できるようにしたことです。
Semzhu-Projectで得られた知見や技術がどのように活かされていくのか、また、朱氏と朱氏のプロジェクトが今後どのように発展していくのか目が離せません。

U25枠では、最も優秀な講演者に最大250万円の奨学金が給付されることになっており、今回その対象に選ばれたのは市川氏でした。しかし、審査した実行委員会が頭を抱えたというくらい、評価は拮抗していたそうです。

コンテストおよびワークショップ

今回のCODE BLUEでは、5つのコンテストと1つのワークショップが行われました。
以下に、行われた催しを列挙します。

コンテスト1

CODE BLUE CTF

コンテスト2

ICS Cyber Hacking Challenge

コンテスト3

BCM Hacking Art Village

コンテスト4

Hardware Soldering Village

コンテスト5

Capture The Packet

ワークショップ1

「狙われる医療機器 ～リバースエンジニアリングを用いた医療機器の脆弱性の特定～」

コンテスト1のCODE BLUE CTFとコンテスト2のICS Cyber Hacking Challenge以外の催しは当日参加可能で、事前に準備を行わずとも楽しむことができる内容となっていました。

コンテスト4のHardware Soldering Villageは、CODE BLUE仕様のオリジナルバッジを自分自身で作成するという趣旨のコンテストでした。梶谷も参加し、自分でLEDをはんだ付けしてバッジを作成しました。

一部のコンテストに関しては閉会式で表彰が行われ、受賞者には景品やDEFCON（毎年米国で開催されるCTFの国際大会）への出場権が授与されました。「国際会議」というと堅苦しいイメージがありますが、講演を聞くだけでなく、楽しみながら知見を広げる場でもあると捉えることができました。

講演後、CODE BLUEの発起人である篠田佳奈さんにインタビューをさせていただきました。以下はそのやり取りです。

"挑戦を続ける"と言い切った篠田さんのお話を聞き、変化し続けるCODE BLUEの今後に対してこれまで以上に期待が持てました。

CODE BLUEに参加してみて

ここまで紹介した講演以外にもAPT攻撃についての講演では、ターゲットの信頼を得るためにSNSの実際のプロフィールや正規の組織のサイトを利用し、電話会議まで行うといった具体的な攻撃手法を学ぶことができました。

医療機器のリバースエンジニアリングのワークショップではデバイスの開発設計にセキュリティの専門家が関与しておらず、医療に利用されるシステムの特性上、パッチ適用によるシステム停止が許容されず、その結果、脆弱性の放置につながっていることを学びました。また、情報漏えいに対するサイバー空間に関する条約という、エンジニアとして業務を行う中では普段接しない側面から、どこまでの行為を攻撃とみなすのか、防衛手段として報復行為が認められるのかなど、改めて考えさせられました。

サイバー空間における脅威は日々進化しており、それに対峙する私たちセキュリティ企業のエンジニアも日々進化しなければなりません。今回、CODE BLUEに参加することで、最近の攻撃の動向や対応する防御方法を学ぶことができ、一つレベルアップできたように感じます。

今後も挑戦を続けるようにしつつ、業務に励んでいきたいと思います。

（古謝）

---

本カンファレンスでは、普段の業務では知りえないような情報セキュリティに関する技術の話がいたる所で繰り広げられていました。今年はシングルトラックとなったため、聴講したい講演が重なることは無くなりましたが、BlueBoxやOpenTalks等の催しまで含めて見学するには身一つでは足りないと感じました。次回以降の参加を考える方は公式サイトのタイムテーブルを参考にしながら、自分のタイムスケジュールを決めておくことが大切だと思われます。

CODE BLUE 2019を締めくくる最後の基調講演においてCyber Law International所属、NATO アンバサダーのリース・ヴィフィル氏は「サイバー空間に関する国際法がまだ整備されていないため、国際法の面で日本は現在、戦略的な主導権を握ることができるチャンスがある」と述べていました。チャンスを活かすために、他国からの侵害を抑制できるようなあらゆる意見を技術者が主張していかなければならないと感じました。

今後、国際法を制定することによりサイバー攻撃の基準が明確になることで、他国からの攻撃の発生を指摘し、国際法の元で訴えることが可能となります。そのためにも法律の専門家たちと距離を縮め、世界を主導して国際法を制定することが日本における平和の一歩となるのではないかと思います。

（梶谷）

---

• ※1CODE BLUE 2019
• ※2Top Windows Defender expert: These are the threats security hasn't yet solved | ZDNet
• ※3SecHack365