大和総研デジタルソリューション研究開発部の山崎です。
大和総研では近年のセキュリティリスクの高まりを受け、セキュリティ専門のチームを設置し、セキュリティ関連の技術検証や、最新のセキュリティ関連ニュースをまとめたレポートを発信しています。
2024年11月18日、19日に、国際的なセキュリティカンファレンスイベントCODE BLUE 2024に参加しました。
この記事では、CODE BLUE 2024のイベントの概要とイベントに参加した目的、当日の様子や参加した感想を紹介します。
CODE BLUEとは?
CODE BLUEとは、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議です。(CODE BLUE公式ページより引用) 2013年から毎年開催しており、今回で12回目となる歴史と実績のあるセキュリティイベントです。2024年は11月18日、19日にベルサール高田馬場で開催されました。
CODE BLUE 2024は、下記の4つのセクションに分かれていました。
| セクション | 内容 |
|---|---|
| Main Track | セキュリティ専門家のトークセッション(同時翻訳付き) |
| Open Talks/U25 | スポンサー企業のセッションや25歳以下のトークセッション |
| Bluebox | 少人数向けのツール紹介やトークセッション |
| Contests/Workshops | CTF(注1)や机上演習を行えるセッション |
出所:大和総研作成
Main Trackの参加にはカンファレンスチケットの購入が必要です。それ以外のセクションはビジターチケットの購入で参加できます。
(注1): Capture The Flagの略。システム内に意図的に隠された答え(FLAG)をセキュリティに関する知識を使い、何らかの手法で取得し競い合うコンテストのこと。
参加した目的
現在、私はセキュリティに関する調査・研究・開発を担当しており、LLMやSBOMなどの国内外のセキュリティに関する最先端の取り組み、最新のフィッシングに関する脅威情報、地政学リスクに関する情報を収集したいと考え、CODE BLUE 2024に参加しました。
また、先日のブログ(前編・後編)でも取り上げたHardening競技会の参加者などセキュリティイベントで面識がある方々と交流することも目的の一つでした。
印象的だった講演・セッション
次に、印象に残った講演・セッションを紹介します。
Googleをハッキングする 社内レッドチームの運営と成長の教訓
まず、Google Inc.(以降、Google)のセキュリティレベル向上のための取り組みに関する講演を紹介します。Googleのレッドチーム(注2)を率いている方によるレッドチームの運用に関する講演でした。
Googleはさまざまな新製品の開発などの機密情報を保持しており、レッドチームはその機密情報が本当に守られているかを検証するため、プレゼントを装ってUSBキーロガーが仕込まれたギフトを送っていたそうです。 検証の結果、実際には機密情報を盗むことが可能であったり、攻撃の経路として考えられたりすることが分かり、セキュリティチームの対策につなげることができたとのことです。
講演の中で、レッドチームはペネトレーションテストとは異なり、脆弱性を発見すること自体が目的ではないという話がありました。これはセキュリティ対策や運用を行う、ブルーチームとタッグになって何ができていて、何ができていないのかを明らかにすることが重要だということです。レッドチームはブルーチームと敵対関係になることが多いと言われますが、それはバッドケースであり、Googleではブルーチームと信頼関係を築くことでうまく機能するようになったと言います。
また、レッドチームのバーンアウトに関する話もありました。レッドチームの活動がうまくいくと、ブルーチーム側の対策レベルが上がり攻撃が成功する"成果"が見えにくくなり、バーンアウトするとのことです。 この話で印象的だったのは、この"成果"をKPIにするのではなく、どれだけインサイトが得られるかをKPIにすべきということです。つまり、うまく防御が機能しているということを観測できるだけでもレッドチームの活動意義があるということです。
(注2): 組織のセキュリティを強化するため、実際のサイバー攻撃を模倣した手法を使うなど、攻撃者の視点からシステムやネットワークの脆弱性を発見・検証する専門のチームのこと。
敵陣の内部へ:ランサムウェアWebパネルへの介入と妨害
次に、技術的に関心を持った講演を紹介します。
セキュリティ関連企業のCTOをされている方による、ランサムギャング内部に侵入して得られた知見に関する講演で、DEFCON(注3)というセキュリティイベントで講演した内容をさらに詳細にした内容とのことでした。
マルウェアやランサムウェアを解析したり、公開されたリークサイトの情報を検索したりすることで、対向となる攻撃者のC2サーバー(注4)のWebパネル(制御画面)に侵入しており、その取り組みについての紹介でした。
Webパネルにアクセスできたサイトについて、2つの事例が紹介されました。
- BlackCAT ユニコーン企業を狙ったランサムギャングの事例。 C2サーバーは攻撃を行っている時間帯のみ起動されているタイプであり、起動するまで待ち続けた。 C2サーバーが狙っているユニコーン企業が確認できたため、直接連絡を取り、結果として攻撃をテイクダウンすることができた。
- Everest WordPressで構築されたC2サーバーの事例。 レンタルサーバーの初期ID/パスワードで稼働しており、アクセスすることができた。 この事例をDEFCONで紹介後、情報が変わっていた。
講師の方は、こうした活動はグレーゾーンであるため、政府機関と連携を取って活動していると話していました。
(注3): 毎年、ラスベガスで開催される世界最大とも言われるハッカーのための国際会議。
(注4): Command and Controlサーバーの略。侵害されたコンピュータを遠隔からコマンドを実行する形で制御する際に、コマンドを発行するサーバーのこと。
おわりに
今回紹介した講演以外にも、さまざまな実際の攻撃手法の紹介や地政学に関する講演があり、セキュリティに関する調査・研究・開発を担当している私にとって非常に刺激的な内容でした。 講演の後に開かれたネットワーキングパーティでは、Hardening競技会で一緒になった方とも交流し、さまざまな講演の内容について情報交換ができました。 今回CODE BLUE2024に初めて参加し、CODE BLUEはセキュリティに関する情報収集や新たな知見の獲得をすることができるイベントであると感じました。自社のセキュリティ人材育成に活用してみてはいかがでしょうか。
大和総研では、国内大手証券会社のサイバーセキュリティ対策支援で培った実績をもとに、お客様の体制の構築・運用を支援します。ご要望・ご不明点などがありましたら、ITソリューションサービスサイトよりお問い合わせください。
