Registration and doors open

Opening remarks

Pavan Karthick M

CloudSEKの脅威リサーチャーとして、私は脅威インテリジェンスの自動化に深くコミットし、新たな脅威のハンティングに熱中しています。私の広範な研究と実践的な経験は、重要な発見と複数の自動化プロジェクトの作成に結実し、私とサイバーセキュリティ分野の仲間の両方に利益をもたらしています。私の専門知識は、調査に対する生得的な才能と相まって、デジタル脅威の理解と対策に専念し、サイバーセキュリティの最前線に私をしっかりと位置づけています。仕事以外では、FIFA仮想領域で、観戦者としてもプレーヤーとしても、熱狂的なサッカー愛好家である。

ゼロデイ攻撃？ Googleアカウントを悪用するマルウェアを発見

今日のデジタル環境において、Googleアカウントは私生活や仕事の中心的存在であり、悪意のある攻撃者にとって格好の標的となっています。このプレゼンテーションでは、Googleの意図された機能を操作してアカウントを乗っ取るマルウェアについて調査します。マルウェアは当初、ゼロデイ脆弱性を悪用すると誤ってラベル付けされていました。

Cookieやパスワードの盗難は一般的な脅威ですが、通常、Google の堅牢なセキュリティがアカウントを保護します。しかし、2023年10月に最初に確認されたマルウェア株は、運用上のセキュリティのためにGoogleのエコシステムの文書化されていない側面を活用し、パスワードのリセット後でも持続性を維持することを可能にしています。この初期株が発見されると、少なくとも8つの異なるマルウェアファミリーが同じ機能を悪用していることが確認されました。OSINT、HUMINT、リバースエンジニアリングを通じて、この悪用の起源をChromiumのソースコードまで追跡し、そのテクニックを明らかにしました。

本プレゼンテーションでは、不正利用やアカウントの乗っ取りを防止するためのグーグルのアップデートに対するマルウェア戦術の継続的な進化と、オープンソースソフトウェアの依存関係の中で文書化されていない機能を悪用することから生じる脅威を認識し、緩和することの重要性を強調します。

Aapo Oksman

Aapo Oksman は起業家であり、技術的な IoT サイバーセキュリティに焦点を当てているサイバーセキュリティ会社 Juurin Oy の創設者です。彼の経歴は電気工学、組み込みデバイス、テスト自動化です。彼の経歴とハッキング趣味を組み合わせることで、産業用 IoT に重点を置いたサイバーセキュリティのキャリアが生まれました。

バグ報奨金とセキュリティ調査により、Aapo のモチベーションと学習が維持されています。彼の PKI と TLS の取り組みにより、Microsoft、Apple、Samsung などのベンダーから複数の CVE が提供されています。仕事や研究以外でも、Aapo の情熱はコミュニティにあります。彼は地元のセキュリティ集会を主催し、毎年開催されるヨーロッパ サイバーセキュリティ チャレンジ コンテストでフィンランドの全国青少年 CTF チームを指導しています。

TLSを破り、すべてをハッキングする

TLSは、あらゆる電話、ラップトップ、サーバー、あるいは電灯のネットワーク接続を保護する事実上の方法です。TLSは安全ですが、そうでない場合もあります。

長年にわたり、私はあらゆるもののTLSトラフィックに侵入してきました。全てではありませんが、想像しうるあらゆるものの脆弱性を見つけてきました。私はあなたのオペレーティング システム、電子メール、企業の資格情報をハッキングして、あなたの人生をコントロールできたかもしれません。

昨年のDEF CONで、私はTLS実装の脆弱性を自動的に検出するツールをリリースしました。certmitm は、私の仕事や他の無数の研究者からの情報を通じて、TLS の脆弱性を発見し続けていることを証明しています。

この研究の背後にある調査により、15 万ドルを超えるバグ報奨金、Apple、Microsoft、Samsung からの 10 件を超える CVE、および 150 件近くの固有の脆弱性が生み出され、その多くはまだ 0day です。

本講演では、あなたの生活に欠かせないものの多くが、あなたが使っているソフトウェア・ライブラリやアプリケーションのコード1行のセキュリティに依存していることについて説明します。このような間違いが、攻撃者がどのようにして最も貴重なデータを復号化できるかの例を見ていきます。脆弱性の一部は初めて公開されます。

Norihide Saito / Azara

学生時代より、開発やセキュリティに関する業務に携わり、2020年 株式会社Flatt Securityに入社。 現在はセキュリティエンジニアとして、主にWebアプリケーションやパブリッククラウドを対象としたセキュリティ診断を担当。ISOG-J WG1などの外部団体での活動も行っている。

Eiji Mori / ei01241

鹿児島大学大学院修了後、2021年4月に株式会社Flatt Securityに入社。セキュリティエンジニアとして、主にWebアプリケーション診断とスマートフォンアプリケーション診断を担当している。

過去にセキュリティキャンプ関連イベントに関わっていたため、ハードウェアからソフトウェアまで幅広く興味がある。趣味は脆弱性調査と筋トレ。

XSS using dirty Content-Type in cloud era

現代のWebアプリケーションはパブリッククラウドを利用することで、迅速にサーバーを管理することなく開発を行えることが可能になった。 そのような昨今、ファイルのアップロードや配信においても同様に言え、Amazon S3に代表されるオブジェクトストレージにおいて、面白い動作を見つけた。それはメタデータにおける、Content-Typeなどの値を自由なものに設定が可能な点である。 本講では、本研究を通して発見した、ライブラリの脆弱性や実装におけるRFCや仕様の解釈の違いによる問題点を紹介すると同時に、この機能を通して発生しうる脅威についても紹介する。

Lunch

Daniel Frank

Daniel Frankは、10年以上の経験を持つパロアルトネットワークスの主任脅威研究員です。脅威リサーチャーとしての主な役割には、新たな脅威のリサーチ、マルウェアのリバースエンジニアリング、脅威ハンティング、脅威インテリジェンスなどがあります。Frank は情報システムの学士号を取得しています。

ヒクイドリの巣の上で - TurlaによるKazuarバックドアの最新リビジョンを解剖する

世界で最もエリートなAPTグループの1つによるものとされる、めったに見られないマルウェアが、ウクライナとロシアの紛争という「サイバー戦場」の真っ只中に再び現れたらどうなるでしょうか？

2023年7月、ウクライナのCERTは、2022年からウクライナの防衛部門を標的にしたTurlaとされる活動に関する勧告を発表し、とらえどころのないKazuarバックドアの新バージョンについて簡単に言及しました。この新バージョンはVirusTotalやその他のコミュニティリポジトリでは見つかりませんでしたが、私たちの遠隔監視では発見されました！

2017年に発見されて以来、Kazuarバックドアはサイバー戦争の分野で最も先進的かつ包括的な国家スパイツールの1つとして悪名を馳せています。

本講演では、まずその起源と帰属をTurlaまで遡り、主要なバージョンを重ねるごとにステルス性と能力を向上させながら、長年にわたってどのように進化してきたかを説明します。

第2に、Kazuarの最新バージョンについて、徹底的かつ詳細な技術的マルウェア分析を行います。このバージョンには、これまで公開されていなかった大幅なアップグレードと新機能が含まれています。

第3に、Kazuarの作者がレーダーをかいくぐるためにとったSecOps対策に踏み込み、暗号化の実装、パッキング、コードの難読化など、コードと機能を厳重に保護するための詳細な分析を行います。

最後に、Kazuarのバックドアを見つけるための実践的な方法を紹介します。講演が終わる頃には、聴衆は文書化されていない最新バージョンのKazuarを通して、最高レベルのサイバー戦争の内部構造を垣間見ることになるでしょう。

Tripp

15年以上の経験を持つレッドチーマーでありハッカーであるTrippは、TenguSecの創設者であり、近日発売予定の「Pentesting With Kali Nethunter」（2024年第2四半期発売予定）の著者でもあります。過去には2017年のCarolinaCon（A Pentester’s Intro to ICS/SCADA）や2023年のAV Tokyo（Hacker EDC/Intro to Bluetooth and Wifi hacking）で講演しました。

遊園地ハッキング入門

遊園地は、高度なネットワーク、制御システム、データ分析によって駆動される複雑なエコシステムであり、サイバーセキュリティを探求する格好の場となっています。このプレゼンテーションでは、遊園地のハッキングという比較的未知の世界を紹介し、遊園地を存続させている運用技術（OT）セキュリティ、無線通信プロトコル、IoTデバイスの複雑さをナビゲートします。オープンソースインテリジェンス（OSINT）とネットワークシミュレーションツールを活用し、遊園地のインフラ内の脆弱性を理解し、悪用する可能性について掘り下げます。チケット発券システムやRFIDリストバンドから、モバイルアプリや乗り物そのものを制御するSCADAシステムまで、参加者は非伝統的なIT環境におけるサイバーセキュリティ・リスクの特定と評価の基本を学びます。

古市昌弘（D）

YamatoSecurityメンバー。HayabusaとTakajoのContributor。SECCON2023スピーカー

高橋福助（@fukusuket）

NTTDATA-CERT所属。YamatoSecurityメンバー。HayabusaとTakajoのContributor。SECCON2023スピーカー

VelociraptorとHayabusaで学ぶスケーラブルなDFIR by YamatoSecurity

DFIR担当者は多様なアーティファクトの解析が必要であり、網羅的に知見を蓄えておくことは難しい。 本セッションでは、OSSのVelociraptor/Hayabusaの仕組み、それらを使いコミュニティナレッジを活用したDFIRを解説する。

上記OSSの仕組みを紐解き、アーキテクチャー理解を深めた後に、 Velociraptor + Hayabusa + コミュニティナレッジで実現するDFIR環境構築を解説する。

Velociraptorはエンドポイント配布/収集が容易にでき、 加えてコミュニティナレッジを取り込むことで、環境/知識の両面でスケーラブルなDFIR環境ができる点を紹介する。

Break

Ryan Williams

激動するサイバーの世界で、D8RH8Rはミステリアスかつ魅力的な人物として登場しました。かつて音楽シーンの脈打つリズムの住人であったRyanは、運命の気まぐれな手によってデジタル・フロンティアへと進路を変えられました。かつての人生の残骸から、Ryanは今や慣れ親しんだコードのリズムの中に聖域を見出し、悪意ある人々のためのツールを作り出しました。彼のスキルはダイヤルアップとBBSのるつぼで磨かれました。 陰謀と危険の糸で織られたタペストリーのような彼の旅は、BASICとマンデルブロ・コードの催眠術のような魅力にとりつかれた幼少期から始まりました。Ryanの1と0への執着に火がつき、2進数で書かれた運命へと突き進んでいきました。 啓蒙への抑えがたい渇望と、啓示を分かち合いたいという不屈の衝動に駆られ、RyanはHVCKを誕生させました。多くの信奉者を従え、HVCKは商業主義の束縛から解き放たれた、まぎれもない真実の拠り所となっています。 彼の旅はまだ始まったばかりであり、前途は危険であると同時に魅惑的であります。

シムボックスと詐欺：SS7への長い道のり

この議論の主な焦点は、世界中でスミッシング キャンペーンの延縄トロール業者である SIM バンクとも呼ばれるシム ボックスの不正利用です。シム ボックス犯罪で逮捕されたのは、まさに非常によく組織され、技術的に有能な氷山の一角です。私を発見に導いた SS7 の謎を解き明かすための、コード、不気味さ、複雑さのめまぐるしいツアーに参加してください。

Dennis Kengo Oka

Dr. Dennis Kengo Okaは、自動車業界で15年以上のグローバル経験を持つサイバーセキュリティの専門家。自動車セキュリティの博士号を取得。 自動車セキュリティの博士号を取得。Synopsysのシニア・プリンシパル・オートモーティブ・セキュリティ・ストラテジスト兼エグゼクティブ・アドバイザーとして、自動車向けソフトウェア開発ライフサイクルとサプライ・チェーン向けのセキュリティ・ソリューションに注力。会議論文、雑誌記事、書籍など70以上の著書があり、自動車やサイバーセキュリティに関する国際会議やイベントで頻繁に講演を行っています。最新の著書は「“Building Secure Cars： Building Secure Cars: Assuring the Automotive Software Development Lifecycle”" (Wiley, 2021)があります。

自動車産業におけるAIとSDVのサイバーセキュリティ・リスクを評価する

自動車業界は現在、AIやSDV（Software-Defined Vehicle）といった新技術の導入による変革期を迎えています。自動車はよりスマートになっており、自動車メーカーは独自のOSやアプリケーションを開発し、サプライヤーと協力して、より多くのAI技術を使用して、これらのスマートなソフトウェア駆動車に複雑なソフトウェアを統合しています。例えば、VWは最近、ChatGPTを車両に統合すると発表しました。

自動車業界で採用されるAI技術が増えるにつれ、考慮すべき新たな脅威が出現しています。これらの脅威のいくつかをよりよく理解するために、OWASPはLLM（大規模言語モデル）に対する様々な脅威について記述した「大規模言語モデル・アプリケーションのトップ10」を発表しました。

このプレゼンテーションでは、以下の内容をかばーします。まず、自動車業界における特定のユースケースに焦点を当て、AIとSDVに関する多くのサイバーセキュリティ上の課題を分析しました。さらに、OWASP Top 10 for LLMに基づき、SDVに対するこれらの脅威のリスク評価を実施しました。この評価は、共通脆弱性採点システム（CVSS）に基づいており、SDV のユースケースの例にマッピングされています。評価結果は、自動車関連企業がこれらのリスクに対処するための優先順位付けに役立てることができます。

CK, Chung-Kuan Chen

現在、CyCraftのセキュリティ・リサーチ・ディレクター、リサーチ・チーム編成責任者、台湾Soochow大学非常勤助教授。国立交通大学（NCTU）でコンピューターサイエンスとエンジニアリングの博士号を取得。研究テーマは、サイバー攻撃と防御、機械学習、ソフトウェアの脆弱性、マルウェア、プログラム解析。機械学習を利用してマルウェア解析や脅威探索を支援し、自動攻撃・防御システムを構築しようとしています。デジタルフォレンジック、インシデントレスポンスからマルウェア解析まで、多くの大規模研究プロジェクトに携わっています。セキュリティ教育にも力を注いでいます。NCTUハッカー研究クラブの創設者であり、世界レベルのセキュリティコンテストに参加する学生を育成し、DEFCON CTFへの参加経験もあります（2016年はHITCONチーム、2018年はBFSチームのコーチとして参加）。BambooFoxチームを組織し、いくつかのバグ報奨金プロジェクトに参加し、COTSソフトウェアのCVEや学内ウェブサイトの脆弱性を発見しました。また、BlackHat、HITCON、CHITB、RootCon、CodeBlue、FIRST、VXCONなどの技術カンファレンスで技術発表を行う。台湾のセキュリティコミュニティで活動するメンバーとして、HITCONのレビュー委員長、Association of Hacker In Taiwanのディレクター、台湾のトッププライベートハッカーグループであるCHROOTのメンバーを務めます。

言語モデルを使用して CTI コックピットを作成する

サイバー脅威インテリジェンス（CTI）の管理は、大量の非構造化データと自動分析の必要性から、複雑で困難なプロセスです。自然言語処理（NLP）技術の出現、特にChatGPTやその他の言語モデルの導入は、CTI処理に革命をもたらす可能性を秘めています。発表の最初に、言語モデルの基礎を紹介し、その能力を理解します。

その後、収集・分類、分析、正規化、レポート生成の4つのステップからなるCTIワークフロー全体において、MLベースのツールを開発した経験を共有します。トピック・モデリング、SecBERT 言語モデル、名前付き固有表現認識（NER）、ChatGPT などの NLP 技術は、関連する脅威の特定と優先順位付けから、CTI フィードからの主要情報の抽出、要約レポートの生成まで、これらのプロセスを合理化するために活用できます。さらに、非構造化脅威レポートをSTIXやMITRE ATT&CKのような構造化された普遍的なフォーマットに変換するCTI2STIXおよびCTI2MITREATT&CKツールの開発にも取り組んできました。これらのツールは、サイバーセキュリティ領域におけるシームレスな情報交換と標準化に貢献します。さらに、フィッシング攻撃への対処という観点から、複数のオープンソースインテリジェンス（OSINT）ソースを使用した早期発見のためのシステムと手順が開発されました。このシステムには、機械学習アルゴリズムと公開言語モデル・モデルを活用し、フィッシング・スコアを特定しドメインに割り当てるための監視、迅速なトリアージ、調査、追跡の段階が含まれます。

機械学習と言語モデルはセキュリティ分野で大きな可能性を秘めていますが、AIを日常業務に統合することの良い点、悪い点、醜い点をまとめ、プレゼンテーションを締めくくります。

Break

Mars Cheng

Mars Chengは、TXOne NetworksのPSIRTおよび脅威リサーチチームを率い、脅威リサーチマネージャーとして、製品のセキュリティイニシアティブと脅威リサーチ活動をコーディネートしています。また、台湾ハッカー協会（Association of Hackers in Taiwan）のエグゼクティブ・ディレクターとして、サイバーセキュリティの強化に向けた企業と政府のコラボレーションを促進しています。さらに、台湾政府のサイバーセキュリティ監査役も務めます。専門分野はICS/SCADAシステム、マルウェア分析、脅威インテリジェンスとハンティング、企業セキュリティなど多岐にわたります。サイバーセキュリティ・コミュニティに多大な貢献をしており、10以上のCVE-IDのオーサリングや、応用暗号学に関する3つのSCIジャーナルでの論文発表があります。また、Black Hat USA/Europe/MEA、RSA Conference、DEF CON、CODE BLUE、SecTor、Troopers、FIRST、HITB、ICS Cyber Security Conference Asia and USA、HITCON、NoHat、ROOTCON、SINCON、CYBERSECなど、数多くの著名な国際サイバーセキュリティ・カンファレンスで講演やトレーナーを務めています。HITCON CISO Summit 2024の総合コーディネーターとして活躍。HITCON CISO Summit 2023、HITCON PEACE 2022、HITCON 2021、HITCON 2020など、過去のHITCONイベントを成功させ、サイバーセキュリティ分野の発展に尽力しています。

2024年の重要インフラにおけるサイバーセキュリティの現状トップ10を解剖する

近年、重要インフラを狙った新しいタイプの攻撃が次々と出現しています。重要インフラの定義は国によって異なりますが、その多くは石油、ガス、水力発電、製造業などの産業を対象としています。しかし、各国の重要インフラや産業制御システムに対するサイバーセキュリティの規範や強化点、ペインポイントはほぼ同じです。本セッションでは、世界の重要インフラ企業を詳細に分析・調査した結論を紹介します。サイバーセキュリティの現状とジレンマのトップ10と詳細な説明を提示し、聴衆が全体的な現状とこれらのジレンマを克服し、安全な重要インフラ環境を構築する方法を理解できるようにします。

吉田ひろかず

Japan AWS User Groupのセキュリティ専門支部「Security-JAWS」の運営メンバー

実装できる・運用できるセキュリティの実現をライフワークとして、日々情報発信やコミュニティ活動を行っています

普段は、株式会社クラウドネイティブでセキュリティエンジニアとして、情報システム部門を中心にしたコンサルティングをしています

AWSセキュリティのベストプラクティスに関する利用実態調査レポートの紹介

AWSからセキュリティのベストプラクティスは数多く公開されていますが、利用者からはAWS環境にビジネスワークロードを実装する上でセキュリティのベストプラクティスを求める声がよく聞こえてきます。

Japan AWS User Groupのセキュリティ専門支部「Security-JAWS」では、日本国内で自社業務において、何かしらの形でAWSの利用に関与している人（業種・職種・役職・会社規模・雇用形態問わず）を対象に、AWSセキュリティのベストプラクティスの利用実態をアンケート形式にて調査しました。

本セッションでは、アンケート調査結果と韓国で行った同様のアンケート結果を紹介します。

Closing remarks

After Party