8/8 〜 8/14の間、ラスベガスにてBlack Hat USAとDEFCONに参加してきました。

一週間の旅記録を書こうと思うのですが、見る人によってはカンファレンス部分だけでいいという人もいると思うので最初にそこをサラッと書いて、後半を旅記録にしたいと思います(カンファレンス部分は重複するかもですが)。

書いてて思ったんですが、時系列死んでる。記憶が飛んでる。

参加記

Black Hat USA 2023

まず、今回参加した理由は以下の発表をするためでした。

www.blackhat.com

このZ9というツールはセキュリティ・キャンプ全国大会 2022のZ9コースで開発している悪性なpowershell scriptを検知するものです。

※ Z9に関するURL

• Z9 PowerShell Script Analyzer

• GitHub - Sh1n0g1/z9: PowerShell Script Analyzer

基本的に、キャンプ終了後は特に何もないことが多いのですがチーム凌は二週間に一回程度のペースで定例会を行い開発を続けてきました。私の立場はキャンプ時のチューターになります。

チーム凌の構成

• 講師: 凌さん
• 受講生3人
• チューター2人

発表時の様子はこんな感じでした。(れっくすさんのtwitterを引用します)

凌さんとキャンパーのArsenal人いすぎてヤバい pic.twitter.com/3S9ftAdujY

— れっくす (@xrekkusu) 2023年8月9日

現地時間で8/9 14:30 〜 16:00の時間が我々に与えられ、その間に発表を3周しました。
3周全て、聴講者が多かったのでツールというものがあるというインパクトとpowershellの人気？を感じました。
凌さんが発表を行い、私たちは質問に対応するという形でした(2件ほど対応)。

Z9の動画は現在視聴可能です(ログインが必要です)。

https://attend.blackhatevents.virtual.informatech.com/event/black-hat-usa-2023/planning/UGxhbm5pbmdfMTM4NzAxMg==

時間を遡り8/9の9:00に戻ります。Black Hat USA開催です。

最初のKeynoteを聞いた後、DARPAの方から大規模なAIプロジェクト(AIxCC)についての説明がありました。

• https://www.darpa.mil/news-events/2023-08-09

やっぱりAIのセキュリティは熱いですね。Keynoteも今後のAIセキュリティに関する話だったと記憶しています。

Keynoteを聞いた後はBusiness Hallに行きました。最初にjpcertの方の発表を聞きました。次にピッキングをしに行き、発表までは企業ブースをうろちょろしてました。

早口英語が全く聞き取れず、他は聞き取った単語と雰囲気で会話してました。

発表後はNOCブースと販売ブースを回りました。

ディスプレイにリアルタイムの通信の様子が映し出されていました。部屋ごとのルーターの負荷系がグラフ・数値表示されていると一緒に行動していたメンバーと推測しました。意外と大規模な通信でなかったと記憶しています。

販売ブースでステッカー買うのを忘れました。

1日目終了。

2日目も最初はKeynoteを聞きに行きました。このKeynoteは対談形式になっており、スライドがなく英語も聞き取れず辛かったです。

Keynote後は企業ブースのスタンプラリーをやっていました。13:00までに全てのスタンプを集めると豪華景品が当たるチャンスがもらえます。9割集めて終了しました。

午後からは改めてちゃんと説明を聞きに行きました。最近、クラウドセキュリティを始めたので競合のOrcaのツールを触ったり説明を聞いたり、脅威解析を専門にやってるスタートアップの人と話をしたり...。

最後の最後にGithubの2FAに関するBriefingを聞きに行きました。ただ、導入時の話のみでその導入時に面白いことがあったわけではなさそうでした。ちゃんと2FAの設定しときます。

以上がBlack Hat USAの参加体験になります。

また来年ここで写真撮りたいし、Business PassじゃないPassを会社のお金で買いたい。発表するのに自費で来てるのはなんかなという気持ち。

DEFCON 31

まずはバッジ交換です。今年のバッジはプラスチックのやつでした。プラスチックなんにペラペラバッジに変わるのは一瞬だったそうです。

DEFCONの開催セレモニーでプラスチックである理由が説明されましたが、2年連続ピカピカするやつだったからだそうです。来年は元に戻るっぽい。

で、これペラペラバッジからプラスチックバッジになる交換会が2日目に行われていましたが板にDEFCONの刻印がなされていなそうでこれにシールを貼る必要がありました。
自分は1日目にペラペラバッジと知り合いのプラスチックバッジで交換を行なっていたので詳細は知りません。

Hardware Hacking Villageを最初に訪れましたが、準備中なようで何もありませんでした。その後、複数のVillageを訪れましたがほぼほぼ準備中でうーんって感じ。

とりあえず、知り合いのいるDEFCON CTFブースを訪れてSatokiさんとかと対面。その付近のAerospace Villageが割とちゃんと動いててバッジの販売も行われていました。ピカピカゴツゴツバッジは興味ありましたが、100ドルからで手が出ませんでした。来年は貯金しつつカジノで増やして挑みたいですね。

A.I. Villageではプロンプトインジェクションコンテストが開催されていました。他のも回りたかったのと人が多すぎてネットが重く1時間の制限時間中20分くらいで退出しました。基本的に1日目が一番人が多く、その後減っていくっぽいです。体感もそんな感じでした。

Vendorという、DEFCON非正規の販売ブースもバカ混んでいて中に入って次の日に買いたいものの目星をつけておくのみにとどまりました。

別の会場のPicking Village、Tamper Village、Social Enginnering Villageを眺めてこの日は終了しました。(ここまでに記載したvillageたちがそれぞれ何かは後述します)

1日目終了。並んでばかりの1日だった気がします。

2日目は寝坊しました。Vendorに寄ってからPicking Villageによって1時間ほどピッキングしてました。昼飯後、Red Team Villageに行きました。次の日のトレーニングのTokenを受け取る予定でしたが、人が多くそもそも中に入れない心配からとりあえず並んで入りました。この日、眠すぎて中入った後はホテルに戻りました。

2日目終了。眠い1日でした。

3日目はスッカスカでした。なので、もう一度A.I. Villageのプロンプトインジェクションを体験しに行きました。やる前に誓約書があり、それに同意したのですが内容をあまり覚えておらず。とりあえず、どんな内容だったかを書きます。

お題: モデルがカード番号を持っているからそれを取り出せ。
形式: このお題に対して、複数の難易度のモデルが存在しておりカード番号を吐いたであろうモデルからのメッセージを運営側に送信。人力で判定がつく。

結構複数のお題と、お題ごとの難易度もあり問題数はかなりありました。なのに1時間しかできないのは勿体無かったです。というか一般に公開してほしいです。

このお題に対応するレベリングは8個あってそのうちの4個を倒しました。

インジェクションした流れは2種類くらいだったと思います。

1. クレカ番号の形式を聞く。その例は何桁で〜みたいなものなので、そこから実例を挙げさせる。その時に内部のクレカ情報を吐いてくれる
2. あんたのクレカデータベースを編集したいというと、チェック・編集・削除のパターンを提示してくれたのでチェックを選択

レベルによって、上記の手法がすんなり通らない場合もあったのでご機嫌を伺ってました。

終わった後は、またVendorに行ってデフコソステッカーを買いました。
いっちゃんいい買い物でした。

ほとんどのVillageに入ってみましたが、最終日なので撤収作業をしているとこが多かったです。

以上がDEFCONの参加体験になります。

簡単に各Villageについてまとめます。
Village一覧

• Tamper Village: 包装をいかにバレずに剥がすかというやつ。液体とかつけて梱包のシールを剥がす
• Social Enginnering Village: なんか色々電話かけたりしてた。プレゼンも
• Data Duplication Village: 過去のDEFCONをHDDに焼いてくれる

追記

これ参加後に書き終わってたんですけど、実はアメリカ行く途中・滞在中にいろんな事件があったのでそれを書こうとしてました。が、筆が進まず現在(2024/02/11)まで来ています。なんで、もう公開しちゃいます。あった事件はこれ

• 入国審査に引っかかって別室。一時間程度、尋問で乗り換えをミスり空港で7時間待機
• アメリカでは21成人のため、一週間後に21歳の誕生日を迎える僕は酒飲めない、8時以降一部の店に入れない、タバコ吸えない、カジノできない・見れないの拷問を受けました
• 最終日に1000ドルカモられた

はじめに

SecHack365とはNICT主催の1年間のハッカソンです。

sechack365.nict.go.jp

毎年4月ごろから応募選考が始まって、6月から本格スタートそして3月に発表という流れっぽいです。

複数コース・ゼミがあるなかで、僕は学習駆動コースの今岡ゼミを修了しました。

受かったときのブログはこちら

bigdrea6.hatenablog.com

何をしたのか

BadUSB形式の無線マイクを作成しました。これを用いて、遠距離で打鍵音からのキーボード入力推定ができないかという提案・実験をしました。

色々あって、8月(もうちょい遅かったかも)過ぎくらいから取り組んでいた内容なんですがある程度形になりましたし、なにより優秀修了という評価をいただけてとても嬉しく思います。

打鍵音からのキーボード入力推定に関してはhackおなじみというか、昨年のトレーニーも取り組んでいました。先行研究も多数存在します。そのいくつかでオンラインミーティング中にボイスチャットアプリケーション(Discord, Zoom等)からも打鍵音を入手できるかもしれないと言っているのを見て、そりゃきついだろと思ったのがきっかけです。

ノイズキャンセリング最強。

ハードウェアあまり触ったことがないのでこの機会にやろうというのと、なんか簡単そうだと思ったんですよね。
無線マイク作って、攻撃者と被害者が無限遠とかダイレクトに打鍵音を入手できるって当たり前じゃないですか。だからやる人いないだろうなと思って。

いろいろあった

応募課題ではBluetoothのセキュリティ向上を掲げていました。理由は2つありました。

1. 研究でBluetooth Meshをやりそうで、なんかセキュリティ向上させたら研究にも生かせそう
2. Bluetooth接続で使うキーボードってキャプチャできそうじゃね？やったらおもろそう

しかし、すぐ挫折しました。まず、1に関してはいつのまにか研究内容が変わって全く意味をなさなくなったのと、普通に向上させるというのが難しそうでした。

そして、以前からある人の影響でサイドチャネル攻撃に興味が出ていたのと週1でのゼミ会でBadUSBの話が出ていたのもある + こういうときしか悪いことできないので、いっそのこと攻撃者に回って実験してみたいというのが芽生えてきました。

そこで2つ目の内容は超音波でSiriとかGoogle Assistantとか起動できないかなというものです(Dolphin Attackという内容だったかな)。ただ、何でやめたか忘れましたが没になりました。

最後に3つ目が今回のテーマになります。発表会の質問で、「絶対音感だったからこのテーマ始めたんですか？」と聞かれましたが違いますからね。このネタは後日公開されるであろう動画で分かると思います。(みんな一回でいいから発表動画見てね。)

完走した感想

正直、成果が出たのはつい最近というか内部のみの成果発表会直前(1月)でした。成果が出ないと不安になるもので、自分は修了できるのかとかめっちゃ思いましたけど無事に終了できてよかったです。

ラストらへんの集合会ではみんな形がある成果物を作ってくるのでそれが余計焦らせます。第三者だったら見てて面白いんですけどね。

完走できたのはゼミのみんなと同期トレーニーたちのおかげです。感謝です。

一個思うのは、自分が研究駆動いたらどうなってたかなっていうことですね。割と研究ポイアプローチしてたんで。でも、内容的に研究には向いてないか。論文読むのつらいし。

もうじき、2023年度のSecHack365が始まると思います。この記事をきっかけに興味を持った方や、もともと興味を持っていた方は担当トレーナーの特徴やコース・ゼミの特徴を吟味して申し込んでみてください！絶対楽しいです。オフライン会のご飯とかホテル最強です。

はじめに

この記事はSecHack365 Advent Calendar 2022の14日目の記事です。(ここまで穴は開いてるけど)

qiita.com

今回は、NICTに潜入してきたという内容で書きたいと思います。正直、NICTで働いていることは来年まで公にするつもりはなくて悩んでいたんですが書きたいと思います。

また、この記事を書くことを上司に何も言ってないので予告なしに削除される可能性があります。非公開情報には触れないように書くつもりですが。

• はじめに
• NICTとは
• 働かせていただけることになった流れ
• NICTで何をしているのか
  • 軽く説明
  • 今までやってきたこと
  • 勤務形態・中の様子
• 最後に

NICTとは

NICT(エヌアイシーティー)とは国立研究開発法人 情報通信研究機構*1の略です。

いろんな研究所があります。このSecHack365もNICTのサイバーセキュリティ研究所のナショナルサイバートレーニングセンターのもとで行われているプロジェクトです*2。

僕はNICTについてめちゃんこ詳しいわけではないのでこれ以上特筆すべきことが見つからないので、ここで終わり。

僕が所属しているのはサイバーセキュリティ研究所 サイバーセキュリティ研究室*3です。

働かせていただけることになった流れ

きっかけはSecHack365です。第2回イベントで井上さんによる講演でNICTにはリサーチアシスタント(以降RAと表記)という制度があり、言ってみればバイトができるということだったのです。

そもそも、自分はNICTなんてSecHack365通ってもあまりちゃんと知らなかったわけなのでこのオフラインの場では井上さんに声をかけることができず(無知無知の無知ってやつです。)、帰宅しました。

後日、園田さんに「気になるんで、やらせてくれ。スキルセット公開するぜ」的なDMを送り、ああやこうやしてると10月採用ってことで進んで働き始めれることができました。

採用までにいろいろな方に迷惑をおかけしました。この場を借りて謝罪と感謝をさせていただきます。

ではいよいよ、みんなが気になっているであろう業務内容などについて書いていきます。

NICTで何をしているのか

軽く説明

先述の通り、サイバーセキュリティ研究室で勤務をしています。

ここで一番有名そうなのは、定期的にNICTERでの観測統計をツイート(NICTER 解析チーム (@nicter_jp) / Twitter)しているところでしょうか。

自分の業務内容は平たく言えばGhidraにエサやりして、経過観察してます。

これは全然嘘ではなくて、IoTマルウェアの解析を主にしています。上記のNICTER等のダークネット上で観測された検体を見たりしてます。

ただ自分の実態としては次のような感じです。

• エサやるぞー
• おっ。結果出たじゃん
• ふむふむ。なんも分かんねー

世の中ではこういうときにニャーンて言ってたらいいんでしたっけ。

IoTマルウェアを解析して、レポート的にまとめる内容はこれです。

• ファミリ・バージョンは何か、どの亜種か
• 何が従来と同じで、何が異なっているのか

今までやってきたこと

この内容書くの、かなり神経使いますね。

• IoTマルウェアのソースコードを読んで、各特徴を理解した
  • Mirai、Moobot、Fbot等
• DVR見た

  • JVNVU#94514762: ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性

• IoTマルウェアの解析
• emotetの解析

みんながRAをどんな感じでイメージしてるかは分からないですが、あまり「これして」って渡されることは少ないです。基本的に、自分でいろいろ探してやってます。

たまに、自分が持ってるマルウェアネタが切れるんですがその時は気になってるツール使って勝手に理解したり、研究室内であまり使われてないツールだったらまとめて資料公開してます。

ほんとにダメ人間なので、ハニーポッターしてないし、脅威情報まじめに追いかけてないです。そういうところもやって行きたいところ。

今のところ習得したであろうスキル

• 動的アンパック
• 今まで使ったことなかったツールの利用法
• ファームウェアの取扱・解析方法
• Bindiffを使ったファミリ・亜種特定

勤務形態・中の様子

潜入してきました！って言ってるんだからこれ書かないとね。なんならこれが一番重要。

基本的にオンラインで働いてます。勤務は週2で、その日はフルタイムで働いてます。

RAの形態とかは調べてもらえれば出てくると思います。たくさんの研究室・研究分野があるのでいろんなことができると思います。

来るもの拒まず的な風潮があるっぽくて、とりあえず申し込めばいいと思うのですが注意点として所属してる学校の名前を借りて入るので学校側の許可がいります(研究室の教授の許可)。
今回、高専の名前使って入りましたがNICTも高専生の受け入れが初めてだし、高専は高専でバイトの規則等があるのでかなり大変でした。

で、実際に潜入してきたのでその報告をします。今年のsechackでは小金井の見学があったと思うのですがコロナの影響でなくなりました。僕は来年の4月まで入り放題です。

一回行ってきました。

NICTでは、核実験が行われているのではとか猫・犬が大量発生しているのではとか、強面のプロがたくさん働いてるのではとか思っていましたがこんなことは一切ありませんでした。

NICTでは日本標準時が作られていました。

www.nict.go.jp

こちとら標準時子午線から来とるんやぞとか思いましたが、ここでの標準時はまた違うようで...(詳しくは調べて下さい)

強面のプロはいませんでしたが、強々のプロはいましたのでちびりそうになりましたが優しかったのでもらさずに済みました。

色々な方と挨拶をさせていただきました。いい思い出です。

最後に

RAは学生ができるものなので、来年から社会人の僕は3月末まで勤務です。残された時間はかなり少ないですがこれからも精進しようと思っています。

SecHackの進捗については聞かないで下さい。

明日からも続くアドベントカレンダーをまたご覧ください。

リレーブログの続きです。今月で、seccamp2021のkグループのリレーブログは終了します。一年もったのなにげにすごくないですか。リレーブログでフォーラム発表もしましたし、いい経験になりました。

来週の回は、メンバー全員での感想てきなものになります。前回はこちら。

今回のお題はRolling PWN(CVE-2021-46145)ということで、攻撃の細部は公開されていなそうなのでこれに関してと類似するCVEについて、また脆弱性の対応と少しのお気持ち表明という流れで書いていきます。

Rolling PWNの概要

ホンダ車に用いられるリモートキーレスエントリーシステムにある脆弱性の名前。

この攻撃でできること

• 車のロック解除
• エンジン始動

など

リモートキーレスエントリーシステムとは、よくある車のリモコンのやつ。あれで特定のキーを押すと車両のドアロックを解除するなどの機能を持っている。自分は知らなかったけれど、ものによってはエンジンも始動できたり、車両の位置を探せる。

同等の脆弱性について

ホンダ車に関する脆弱性はCVE番号的には前後に発行されている。

• CVE-2019-20626
• CVE-2022-27254

これら2つは、ホンダ車に関する脆弱性というのは同じだが根本的な攻撃方法・脆弱性が異なる。

Rolling PWNについては次項で説明するので、この2つについて書きます。

これらはコードリプレイ攻撃になります。リモートキーから車両に対して送信される信号を盗聴し、改めて攻撃者が送信することで、Rolling PWNで書いたようなことができる。

ただし、これらの攻撃はホンダ車がローリングコードシステムを搭載していないため可能です。現在はローリングコードシステムは大体の車に搭載されているようです。

ローリングコードシステムとRolling PWNについて

前述の通り、ローリングコードシステムが搭載されていない車両にはリプレイ攻撃ができます。ローリングコードシステムとは、一度使ったコード(ID)を使えないようにする(使われたことを記録する)システムです。そのため、リプレイ攻撃が出来ません。

Rolling PWNでは、このローリングコードシステムに存在する脆弱性です。

ホンダ車では、ロック/ロック解除のコマンドを連続して取得するとローリングコードシステムのコードカウンターがリセットされてしまいます。ということは、前回盗聴したコードが使えるようになるわけです。

ホンダの対応とお気持ち表明

この脆弱性を調べる上で一番問題点だと思ったのは、脆弱性対応です。

ホンダはこの脆弱性に対してろくな対応を取っていません。それどころか、気にする脆弱性ではないと発言しているぽい(調査は完全なものではないので、主観的解釈が入っています)。

実際に、同様の脆弱性であげたコードリプレイ攻撃は過去の脆弱性となったと思います(見た文言でそのような表現があった)。それは、ローリングコードシステムを搭載したからです。ただ、今回の脆弱性はこのシステムに存在するのだから無視してはいけないと思うんですよね。

はい。お気持ち表明という表明じゃないですが

最後に

脆弱性対応、まともなところとまともじゃないところって結構差があるんだなと思いました。対応して、発見者に何もないというのもありますが、対応すらしないというのはねどうかと思いますよ。

最後までお付き合いいただきありがとうございました。