Black Hat USA 2019 & DEF CON 27 に参加してきました

Satoshi Tajima
Aug 20, 2019 · 10 min read

こんにちは。Finatextでエンジニアをしている @s_tajima です。

先日、ラスベガスで開催された Black Hat USA 2019 と DEF CON 27 に参加してきました。
今回のブログでは、現地の様子をお伝えしようと思います。


Black Hat USA 2019

会場はMandalay Bay Resort and Casinoで、今回が22回目とのことです。
日程としては 8/3 ~ 8/8 の6日間にわたって開催されていました。
私は、後半2日間に参加し、BRIEFINGS, BUSINESS HALL, ARSENAL等を中心に見てきました。

BRIEFINGS

BRIEFINGS

様々な企業のセキュリティエンジニアやセキュリティリサーチャーの方々が25分 or 50分の枠で発表をしていました。尚、Black HatのBRIEFINGSは、参加人数に対して用意されている席数にかなり余裕があったので、快適に見ることができました。
聞いてきたセッションをいくつか簡単に紹介します。

Monsters in the Middleboxes: Building Tools for Detecting HTTPS Interception

HTTPリクエストのUser-Agentと、TLSのClient Helloのフィンガープリントから、Proxy等の中間者が存在するかをサーバサイドにて検知するという話。
検知のための ライブラリ や、 実際にCloudFlareがトラフィックを集計した 結果 が詳解されていました。

資料はこちら

元となった内容は、こちらの記事でも紹介されています。
Monsters in the Middleboxes: Introducing Two New Tools for Detecting HTTPS Interception

Dragonblood: Attacking the Dragonfly Handshake of WPA3

WPA3のハンドシェイク方式である、「Dragonfly」に対する「Dragonblood」という脆弱性について、発見者のMathy Vanhoefさんのトーク。

Dragonblood自体はしばらく前に発表があってその存在自体は既知のものだったのですが、その内容についての詳しい解説がありました。

資料はこちら

Infiltrating Corporate Intranet Like NSA — Pre-auth RCE on Leading SSL VPNs

有名なアプライアンスが提供するSSL-VPNの脆弱性を付き、不正に社内のネットワークに侵入するデモ。
最後には、SSL-VPN利用者のクライアント端末へのRCEまで実行していた。

資料はこちら

詳細な解説ブログもありました。
Attacking SSL VPN — Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
Attacking SSL VPN — Part 2: Breaking the Fortigate SSL VPN

Internet-Scale Analysis of AWS Cognito Security

Amazon Cognitoの権限設定の不備により、インパクトのある悪意のある操作が成功してしまうidentity poolがどれくらい存在するかを調査したという話。

資料はこちら

Reverse Engineering WhatsApp Encryption for Chat Manipulation and More

メッセージングサービスのWhatsAppの通信内容をリバースエンジニアリングし、メッセージの内容を改ざんする手法を紹介するセッション。

「他人のメッセージを引用する際、(通常は変更できない)その引用したメッセージを任意のメッセージに書き換えて送信する」「グループメッセージで、特定の人だけにメッセージを送信する」といった攻撃が可能であることが紹介されていました。

いずれも、いわゆる中間者攻撃のような第三者によるメッセージの書き換えではなく、正規のメッセージ送信者・受信者がメッセージを改ざんすることができるという類の話ではありましたが、昨今はWhatsAppのメッセージ改ざんによる情報操作の影響はとても大きいものになっているとのことでした。

資料はこちら

Denial of Service with a Fistful of Packets: Exploiting Algorithmic Complexity Vulnerabilities

Algorithmic Complexity (アルゴリズム的複雑性)を利用したDoSの手法についての話でした。

資料はこちら

以下のAC Vulnerabilitiesに関するデモも行われました。

また、AC Vulnerabilitiesを突くペイロードを生成する ツール も公開されていました。

API-Induced SSRF: How Apple Pay Scattered Vulnerabilities Across the Web

Apple PayのMerchant Validationの仕様により、多くのSSRF脆弱性が生み出されてしまっていることを指摘するトーク。
また、Webhook受信時にも、それが正しい送信元からのリクエストかどうかを検証しましょうという話も。

資料はこちら (DEF CONでも発表があったようでその時のもの)

Practical Approach to Automate the Discovery and Eradication of Open-Source Software Vulnerabilities at Scale

Netflixがどのようにオープンソースソフトウェアの脆弱性の検知と撲滅を自動化しているかという話。
オープンソースソフトウェアは、その複雑な依存関係により、サプライチェーンアタックを仕掛ける余地が大いにあり、それをどのように防ぐかは非常に重要な課題となります。

資料はこちら

A Compendium of Container Escapes

コンテナエスケープの手法を紹介するトーク。
コンテナのデプロイ設定の不備をつくもの、コンテナエンジンの脆弱性をつくもの、カーネルのExploitを利用するもの。

資料はこちら

How to Detect that Your Domains are Being Abused for Phishing by Using DNS

DNSやメールの設定を適切に行い、フィッシング攻撃の検知しましょうというトーク。
MTA-STSや、DMARCのレポートの解析の話がありました。

資料はこちら

BUSINESS HALL

BUSINESS HALL

企業が、自社のセキュリティ製品の紹介をしている展示会のようなエリアです。
日本でもよく見かける企業はやはり大きなブースを出していました。
個人的には、日本ではまだあまり耳にしないよさげな会社・製品を見つけられたら良いなと小さめのブースを中心に見ていました。

ARSENAL

セキュリティ関連ツールの開発者が、そのツールの紹介をするエリアです。BUSINESS HALLの一角にありました。
BRIEFINGSと違い、ツールのデモが中心で、かつ聴講者がどんどん質問をしてインタラクティブな発表形式でした。多くが(もしかしたらすべてが?)OSSで公開されているので、良さそうだと思ったツールはとりあえず手元で動かしてみるというのができるのが良かったです。

DEF CON 27

会場はParis Las Vegas, Bally’s, Flamingo, Planet Hollywoodの4つのホテルで、タイトル通り27回目のようです。
日程としては、8/8 ~ 8/11の4日間開催されていました。
私は、8/9の1日だけ参加し、VILLAGESとVENDORSのブースを中心に見てきました。

VILLAGES

Wireless Village

様々なジャンルのハッキングに関する展示が、VILLAGESという単位で行われていました。
VILLAGESの種類は本当に様々で、Webエンジニアにとって身近なAppSec Village, Cloud Villageをはじめ、Internet of Things Village, DroneWarz Village, Car Hacking Village といった近年重要性がましてきているハードウェアに関するハッキングの展示などがあります。
各Villageでは、単に展示物を見るだけでなく、CTFが行われていたり、ハンズオンとして実際にそれぞれのターゲットに対する攻撃をトライすることもできました。

最も衝撃的だったのはBio Hacking Villageで、医療機器のハッキングに関する展示が行われていたのですが、こんな警告がありました。

Bio Hacking Villageの入り口の警告

VENDORS

VENDERS

売店のような形で、様々なハッキング用ツールを販売しているエリアでした。
サイバーセキュリティレッドチーム実践ガイド」で紹介されている、Hak5 の製品も売っていました。

物理的な鍵のピッキング工具等も販売しているのですが、これらを日本に買って帰ってきてしまうと、特殊開錠用具の所持の禁止等に関する法律(いわゆるピッキング防止法)によって罰されてしまう可能性があるので注意です。

最後に

Finatextではエンジニアを募集しています!
もちろん、Finatextでは勉強会やカンファレンスの参加は業務の一環として扱われています。
Black Hat USA 2019 / DEF CON 27 に参加した方も、参加したかったけど機会が得られなかった方も、これらのカンファレンスで発表されるような内容をもとに、金融サービスのセキュリティ改善をしていくことに興味がありましたらぜひTwitter等で一度ご連絡ください!

Finatext

THE Finatext Tech Blog

Satoshi Tajima

Written by

Finatext

Finatext

THE Finatext Tech Blog

More From Medium

More on Fintech from Finatext

More on Security from Finatext

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade