「Black Hat USA 2019」トレーニング参加者インタビュー

広報の馬場です。
アメリカ・ラスベガスにて開催された「Black Hat USA 2019」において、イエラエセキュリティのメンバー5名がトレーニングを受講してきました。
Black Hatは、毎年アメリカ、ヨーロッパ、アジアで開催され、IT大手やセキュリティ企業、政府機関、大学関係者、著名な研究者が参加する世界最大の情報セキュリティイベントです。ここでは100を超える様々なテーマのトレーニングコースが開催され、最新のペネトレーションやWebアプリケーションの活用などについて、攻撃や防御の手法を実践的に学ぶことができます。トレーニングの他にもBlack Hatでは、最新の技術動向やトレンドが聴講できるブリーフィング、先進的なセキュリティのツールや製品などを紹介するアーセナル、ベンダーの展示などが見られるビジネスホールがあります。
今回のブログでは、トレーニングに参加した5名にどんなトレーニングに参加したのか、その感想についてインタビューしました。

Advanced Hardware Hacking - Hands-on Power Analysis and Glitching with the ChipWhisperer

内容：

ChipWhispererという解析機材を利用して、解析対象（ARMマイコン）の電力消費量から内部状態を推定したり、解析対象のクロック信号や電力供給に異常な変動を与えることで予期しない挙動を引き起こしてセキュリティ機構を回避したりする実習です。

感想：

単純電力解析や電力差分解析などを実際に手元のARMマイコンに対して行い、実習環境下では確かに攻撃が成立することを確認できました。実習環境はこの攻撃のためにお膳立てされた理想的なセットアップであり、一般に流通しているデバイスに対してそのような攻撃を試みる場合には考慮すべき事や注意すべき事が増えますが、その場合の注意点などについてもいくつか説明があり、理解が深まりました。

Assessing and Exploiting Control Systems and IIoT

受講者：

白木 光達さん

内容：

制御システムへの攻撃や診断についての手法を学べるトレーニングでした。LD言語やSFC言語といった制御系(PLC)特有のプログラミング言語からはじまり、制御系で利用されるネットワークプロトコル、またSDRを利用した無線の解析やデバッグポート探索やI2C/SPIを通じたフラッシュダンプ等のハードウェア解析についても触れる幅広い内容でした。

感想：

今回のBlackHatのトレーニングの内、唯一のICS系のトレーニングであったため受講しました。ハードウェアの解析等に関しては普段から業務や趣味で扱っていることもあり既知の内容も多かったですが、制御系の診断に関して自分の中で具体的なイメージに落とし込むことが出来たのが非常に有意義でした。トレーニングでは学習用にPLCやフラッシュ等の解析対象デバイスと共にRTL-SDRやロジアナ等の解析ツールが配布されトレーニング期間中はそれらを利用して手を動かして学習することができ、ツールへの習熟につながりました。今回のトレーニングでは、それぞれの内容はそこまで深掘りせずに高速に流していたため、参考資料を元に復習や項目の深掘りをして普段の業務に役立てていきたいと思います。

Adversary Tactics - Red Team Ops

受講者：

ルスラン・サイフィエフさん

内容：

本トレーニングの講師であるSpecterOps社の皆さんが、普段どのような流れでRed Teamをやっているのか、というところから始まり、侵入パターンや世界中で最も多く使われているActive Directory環境における現状の攻撃パターンについて紹介してくれました。そして、侵入後の、Post Exploitation、権限昇格、横展開(Lateral Movement)、ドメインやフォレスト信頼関係などによる、子/親ドメインや外部フォレストの乗っ取りについて教えてくれました。また、トレーニングは全ての攻撃を実験できる素晴らしいラボ環境が用意されており、攻撃の実験だけでなくCTFにも使われていました。
※ラボでは、全ての攻撃にc2フレームワークとしてCobalt Strikeを使いました。

感想：

世界中で有名なSpecterOps社の皆さんが、どのようにRed Team/Penetration Test案件をやっているかとても興味があったので、とても良い機会になりました。以前からActive Directory環境のテストをしているため、今まで知らなかった攻撃パターンや最新の情報を聞くことができ、これからの診断に役立てたいです。中でもとても感動したことはラボ環境で、今まで触ったことのない規模のラボ環境でした。また、Cobalt Strikeも1年以上使っていますが、こちらも今まで知らなかった使い方を教えていただけ、とても充実したトレーニングになりました。最後に、トレーニングの中で開催されたCTFですが、誰にも解けてほしくない問題以外は全てクリアでき、2位で終わりました。
Active Directory環境の攻撃方法やCobalt Strikeの使用方法を習いたい方にとてもオススメのトレーニングです。

Ability Driven Red Teaming

受講者：

安里 眞夢さん

内容：

Red Teamに必要なことを体系的に学べるようなトレーニングでした。Red Teamのための環境構築から始まり、OSINT、Webアプリケーションやクラウド環境などへの攻撃、Post Exploitation、Metasploit Moduleの作成などについて、ラボを通して学びました。

感想：

これまで英語でのe-learning(OSCPやPTPv5など)を受講することはありましたが、今回のような海外のトレーニングに参加するというのは初めてでした。トレーニング期間は4日間で、当然ながら全て英語で行われるので講師や周りの方の英語を聞き取るのが一番大変でした。OSINTやクラウド環境などへの攻撃の話は聞けて良かったと思います。またラボが用意されており、手を動かして実際に試せてためになりました。後、軽いCTFもあり半分以上はずっとキープできていましたがそこそこ難しくて苦戦しました。もう少し各項目ごとに深く学べる部分があればなと感じましたが、トレーニングを受けて良かったとは思います。4日間は一瞬でした。

受講したトレーニングと感想

Data Breaches - Detection, Investigation and Response

受講者：

三村 聡志さん

内容：

企業の情報漏洩について、どういう所から漏れる可能性があるかや、技術的に調査・発見する方法 (DFIR) 、企業としてどのように対処すれば良いかについて全体を包括的に学ぶ内容です。

感想：

技術的なログ解析やイメージの解析に留まらず、企業のセキュリティ担当としてどういう対処を、どのような人たちとすればよいかという範囲まで全て触れていたため、とても濃く早く進行するトレーニングであり、正直とても疲れました。ですがリアリティのある全体像を講義中に見ることが出来たため、自分の関わっている業務が今後どういう風に活用されるかのイメージを持つことが出来、より良いサービスの提供に活かすことが出来ると感じられました。

 
参加したメンバーに話を聞いたところ、講義は全て英語のため苦労したという意見もありました。また、トレーニングの受講料は高いもので5,000ドルを超えるものも。しかし、日本ではなかなか受講できないトレーニングばかりですので、もし興味のある方は機会があれば受講してみてはいかがでしょうか。
 
※関連記事
・DEFCON 27 現地レポート