株式会社ディアイティはサイバーセキュリティとネットワークの企業
イベントレポート

Tessyの「DEFCON22(2014年)」参加レポート2014.09.01

DEFCON 22に参加しましたので、会場の様子をレポートしたいと思います。

DEFCON 22
期間: 8月7日〜10日
場所: ラスベガス リオ オール スイート & カジノ ホテル
公式サイト: http://defcon.org/html/defcon-22/dc-22-index.html
DEFCON

DEFCONは、大小様々な会場5ヶ所でのセッションの他、CTF、ベンダーブース、その他OpenCTF等のコンテストが行われており、コンテストの中には一風変わったものとしては「野外で如何にビールを冷やせるか?」など、ユニークなコンテストも開催されていました。
今年はセッションに関しては、参加希望人数が多すぎるため、目的のセッションに参加するためには1つ飛びでセッションに参加する(1つのセッションに参加した後、次のセッションの時間枠は並び時間にあてる)というのが通常の感じになっていました。
右記の写真はチケット代わりのバッヂです。14,000個用意されていたようですが、すべて捌けてしまい、以降は紙のチケットが配布されていました。このバッジ自体もコンテストの1つで、隠された暗号を解読するとDEFCON永年無料となる「Eberバッジ(通称黒バッジ)」を手に入れられます。バッジコンテストの模範解答は以下から確認することができます。

http://potatohatsecurity.tumblr.com/post/94565729529/defcon-22-badge-challenge-walkthrough

Wireless Village

DEFCON会場のWireless Villageでは、Wifi CTFとスピーカーによるセッションが行われていました。 Wifi CTFの参加者たちは、各々のHackRF OneやAirPcupNx等の無線を傍受するツールを持ち込み、解析しているようでした。またここでは、事前に話題になっていた、コンシューマー向けの無線LANルーターのハッキング大会なども開催されていました。

Social Engineering Capture the Flag

DEFCON

会場では、ソーシャルエンジニアリング専門のCTFが行われていました。こちらの競技は5年ほど前から開催されており、会場から直接企業のサポート等に電話して、言葉巧みにフラグとなる回答を答えさせることで点数を取っていく競技です。フラグとなる質問には、「VPNはあるか?」「WifiのESSIDは何か?」といったものがあり、難易度によってスコアが決まっているようでした。 日本で開催したら各方面からお叱りを受けそうな競技・・・。今年はDEFCON Kids(12歳以下の参加者)向けにも開催がされていたようです。

各セッション

DEFCONスピーカーにウイスキーをのませる様子

セッションは、大小様々な5つの会場で100以上の講演が行われました。 内容は、実演形式でその場でハッキングを行うもの、研究成果を発表するもの、関連業界の現状に関するもの等様々でした。個人的に興味深かったものとしては、日本でも最近注目されている脆弱性バウンティハンターに関するセッションでした。世界初の賞金?はマグカップでしたが、現在では1つの脆弱性に対して数万ドルの賞金が支払われる場合もあるようです。今後、職業「バウンティハンター」なんて言う人が現れるかもしれません。入場規制により入れませんでしたが、「20種類のデバイスを40分でハッキングする」という内容のセッションがあり、参加した人によるとBDレコーダーやWebカメラ等がその場でハッキングされていたそうです。また、講演中のスピーカーにウイスキーを飲ませる人たちが会場を巡回しており、講演を中断させて飲ませていたり、エンターテイメント性の強いイベントでした。

ベンダーブース

DEFCON DEFCON

ベンダーブースでは、Tシャツからピッキングツール、古いサーバー等怪しいものがたくさん販売されています。また、電気自動車会社のTeslaが初出展!これは「DEFCONで優秀なハッカーを雇いたい」というプロモーションの一環とのこと。近年これらのスマートデバイス類のハッキング大会なども増えており、メーカー側でも対応に力を入れているのです。

Wall Of Sheep

DEFCON DEFCON

Wall of Sheepルームでは、パケットに関するワークショップやCTFのパケット解析版CAPTURE THE PACKETが行われていました。Wall of Sheepは会場内の通信をキャプチャし、脆弱なプロトコルで流しているパスワード(POP3やFTPなど)をさらすという定番のものです。過去にはわざと弱いパスワードを流して喜ぶ運営/参加者を見て楽しむというのが一部の日本人参加者の中で流行っていました。最近はそういうプロトコルの使用機会が減っていますし、どんなものがさらされていたのでしょうか?(詳細は未確認です)あと、どう見ても「パケットをキャプチャすつ」に見える看板もありました。

【CTF】

DEFCON

CTFは、世界の20チームが競い合います。今年は日本からの出場が危ぶまれていましたが、日本の3つのチームからなるチームbinjaが、韓国のSECUINSIDEにて最終出場権を獲得しDEFCONの出場にこぎつけました。準備期間が1か月にも満たない中で、10代〜20代の若手を中心としたチーム構成とし、昨年の環境を踏まえた、NW構成、対応などを行いました。
今年の環境は昨年と同じARMv7のサーバーが提供され、openMSP430を実装したバッジタイプの問題など新しい試みも見られました。3日間合計24時間での競技が行われ、攻撃に手間取ったこともあり、最終順位は13位。優勝は昨年と同じくカーネギーメロン大学のPPP、2位には初出場ながら台湾のHITCONチームが食い込みました。

http://d.hatena.ne.jp/tessy/20140813/1407909648

寺島 崇幸

筆者の横顔

寺島 崇幸 てらしま たかゆき


セキュリティサービス事業部主席研究員。インシデント対応の業務に従事。 その力を生かして、以下のような国内のセキュリティ力向上に貢献。2006年より世界各地のCTFへ参戦し、セキュリティコンテストの最高峰であるDEFCONへチームsutegoma2として2011年より3年連続本戦出場。同チーム代表。「no drink, no hack」をスローガンとするセキュリティイベントAVTOKYO主催。SECCON実行委員。