私はこう見た、Black Hat Japan 2008(前編)
日本から世界へ広がれ、
セキュリティエンジニアの輪
金子博一
三和弘典
株式会社ラック
2008/12/4
日本人も多数登壇したBlack Hat Japan2008。専門性の高いイベントは、参加する人の立場や経験によって、見えてくるものが異なるはずです。そこでコラムでのレポートに引き続き、セキュリティエンジニアという立場で「Black Hat Japan」を見たイベントレポートを2回に分けてお送りします(編集部)
2008年10月8、9日に東京・新宿の京王プラザホテルで行われた「Black Hat Japan 2008」に参加しました。本記事ではこのイベントのレポートの前編として、1日目の講演や会場風景を紹介します。
Black Hat Japanをおさらい
Black Hat Japan(以下、BHJ)は世界的に有名なセキュリティの国際会議「Black Hat」の日本版であり、今回で5回目の開催となります。RSAカンファレンスやセキュリティテクニカルセミナーのPacSecなどに並ぶ、セキュリティに関連するエキスパートが数多く参加する国際会議の1つです。自由に意見を交換しあい、互いの知識と交流を深めるために設けられたセキュリティに関する交流会といってもよいでしょう。
講演内容はソフトウェアやWebアプリケーションの脆弱(ぜいじゃく)性、リバースエンジニアリング、最近のサイバー攻撃の動向、ソーシャルエンジニアリングなど、多岐にわたる発表が行われます。今回はDNSキャッシュポイズニングの脆弱性を発表したダン・カミンスキー(Dan Kaminsky)氏の基調講演をはじめ、見どころのある講演が多数行われました。
BHJは、講演内容はもちろんのこと、講演中の通訳がていねいで質が高く、講演を終えたスピーカーと通訳付きで話す機会が設けられていることが特徴の1つとして挙げられます。外国人のスピーカーと交流しやすいため、語学力に自信のない筆者でもコミュニケーションを図ることができました。
いざ、会場へ
本来ならばスムーズに参加するために事前登録を行うべきですが、筆者たちは事情により事前登録ができず、当日登録を行うことになりました。BHJの当日参加の受付スタッフは外国人であり、基本的に日本語は通じません。そのため、当日参加者の登録には、英語(ローマ字表記)の名前と会社名が必要でした。
 |
| 写真1 受付の様子。スタッフに日本人の姿が少ないのが新鮮。 |
筆者は日本語の名刺しか所持しておらず、その結果、登録に手間取ってしまいました。筆者と同じ失敗をしないように、受付を速やかに終わらせたい方は事前登録を済ませた方がよいでしょう。当日登録になるのであれば、英語の名刺を準備しましょう。
登録を済ませると、5枚のチケットとパスケースが配られました。チケットのうち4枚は入場チケット、1日目、2日目の昼食チケット、イベント記念バッグとの交換チケットです。残りの1枚は最後まで用途不明でした。次回参加する機会があれば、ナゾのチケットについて明らかにしたいと思います。
バッグとの交換チケットを使うと、小さい手提げバッグがもらえました。いただいたバッグの中身は、インターネット決済システムのPayPalの封筒にBlack Hatのバッジ、ボールペン、今回の講演資料の入ったCDとスポンサー企業のカタログと、BHJ 2008のアンケートが入っていました。
 |
| 写真2 今回配布されたバッグとその中身 |
講演資料の入ったCDの外見は実は2種類存在していました。表側は一見するとまったく同じCDに見えますが、注意して見ると文字や中心付近が違っています。裏側はさらに顕著に差が現れ、一方は真っ黒でした。きっと「Black」 Hatにかけたしゃれなのでしょう。
 |
| 写真3 “ブラック”な配布CD |
講演会場の共有スペースにはスポンサー企業、団体のブースが設置されています。特に情報処理推進機構(IPA)のブースには、セキュリティ啓発活動の一環として、「安全なウェブサイトの作り方」といった冊子や「安全なウェブサイト入門」というロールプレイングゲームが設置され、多くの参加者の目を引いていました。
| 【関連記事】 Security&Trustウォッチ(53) 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」 http://www.atmarkit.co.jp/fsecurity/column/ueno/53.html |
IPAブースのスタッフにお話をうかがってみると、最近IPAではDNSキャッシュポイズニングの脆弱性の届出が増えているため、カミンスキー氏の講演を注目されているとのことでした。
IPAの方を含め、ほかのブースでもセキュリティに関するさまざまなお話をうかがうことができました。講演前の展示ブースでも大変充実した時間を過ごすことができたことは大きな収穫です。
1/3 |
 |
| Index | |
| 日本から世界へ広がれ、セキュリティエンジニアの輪 | |
 |
Page1 Black Hat Japanをおさらい いざ、会場へ |
| Page2 IT社会の根本にかかわる脅威、カミンスキー氏による基調講演 「きっかけは思いつきや興味本位」長谷川陽介氏の講演 |
|
| Page3 つながり重要! 交流を深められるレセプション 講演は質問のチャンス、積極的に交流の輪を広げよう |
|
| 関連記事 | |
| 技術は言葉の壁を越える! Black Hatレポート(前) | |
| 技術は言葉の壁を越える! Black Hatレポート(後) | |
| レッツ、登壇――アウトプットのひとつのかたち | |
| 日本から世界へ広がれ、セキュリティエンジニアの輪 | |
| あの人、あの技術に会いたい、ただそのために | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
