ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」 | ScanNetSecurity
2024.04.16(火)

ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。

特集 特集
facebookLINE
HITCON(Hack In Taiwan Conference)会場風景
HITCON(Hack In Taiwan Conference)会場風景 全 2 枚 拡大写真
毎年夏に台湾で開催されるHITCON(Hack In Taiwan Conference)に参加してきました。すでに概要のレポートは本誌に掲載されているけれど、体当たりで楽しんできたので、今後興味を持つ方の参考になるよう突撃レポートを還元します!

●海外カンファレンスの魅力

遠く海外まで行ってカンファレンスに参加する、日数も費用も掛かる。上司の説得も大変だ。帰ってからの報告書も面倒だ。それを押しても余りある魅力があるから、海外に行くのさ。

どうしても国内では、攻撃に悪用される恐れのあるグレーな話は避けられ、スポンサー企業や政府には配慮し、特定企業をネタにすることもしない。無償の啓発セミナーはこれからセキュリティ対策を整備しようというユーザー企業担当者には福音だけど、日ごろから高い問題意識でサイバー攻撃に立ち向かう最前線の人は、もっと新しくて深いネタに飢えている。

最先端の技術トピックや国内では未発表のネタ、国によって違う考え方を体感するには、やっぱ行くっきゃない。脆弱性なら見つけた人から直接聞きたいよね。まだ裏が完全に取れていないネタなんて最高のご馳走だ。

日本でも海外から第一人者を招いているカンファレンスとしてCodeBlue、PACSEC、AVTOKYOがある。そこで海外スピーカーの魅力に取りつかれたら、もうこちらから海外に出て行くしかない。今年のHITCONへの日本からの参加者は、筆者が把握している限りで20人を超えていましたよ。

●海外カンファレンス参加の注意事項

あらかじめ言っておくけど、上司は決して以下のようなことを部下に言ってはいけないよ。

「会社の費用で参加してきたんだ、向こうで学んだことが皆にわかるように報告書を書きなさい」とか、「会社に還元しなさい」とか。

何を学んだかは言えるけど、学んだことを参加していない人にわからせるのは、無理!無理!無理ゲー! 絶対無理ゲー!

体験を他人に理解させるのは無理です。それができたら、その人は講演者を超えています。

これから書く内容からもわかるように、報告書よりも事前準備をしっかりやらせた方がいい。成果は、参加した人が成長したってことでいいじゃない!

●HITCONの人気がある理由

講演者には、過去のBlackHatスピーカー経験者も多い。つまり内容のレベルの高さはBlackHatに匹敵する。開催メンバーによるCTFチームは世界最高レベルのDEFCON CTFに初参加ながら、米国の強豪PPPに次いで2位になるなど、世界的にも躍進が注目されている。

そんなHITCONには、遠くアメリカまで行かなくても、たった3時間半のフライトで台北に着きます。シェラトン・ホテルで開催のEnterpriseが10,000台湾ドル(2014年9月1日為替レート3.48円で換算し約35,000円)、Playgroundの2日間だけだったら参加費用は2,000台湾ドル(約7,000円)と、国際カンファレンスの相場からみると、かなり安い。

講演は英語か中国語で、中国語の時は英語の通訳の音声が付きます(Enterpriseはレシーバー、PlaygroundはメイントラックのみでStreaming配信)。多くの国がこの2か国語でカバーできるのと、地理的にも来やすいことから、韓国、香港、マレーシアなどからカンファレンスでの講演やCTFでおなじみの著名人が多く参加していたよ。

●事前の情報収集が大事

どれだけ成果を持って帰れるかは、どれだけ準備していくかにかかっている。Enterpriseは2トラック(2本同時)、Playgroundは3トラック(3本同時)のプログラムだったけど、どれを聞くかあらかじめ見当をつけておいた。もちろんその場になって変更は有りだけど、全容を把握していないと、期待した内容と違っていたり、隣の会場でどよめきが起きて隣へ移動するなんてできないからね。

それに毎年トレンドがあって、2年前はAPTやサイバー・テロといった話題が多かったけど、今年はAndroidやフォレンジックの話にシフトしてきている。旬なネタは人気があるので、早めに席を確保した方がいい。

●そして全力で楽しもう

会場のIRCでリアルタイムの呟きが掲載されていたので、面白い講演は後ろのドアからどんどん聴講者が入って増えていく。私も何度か荷物とノートPCを抱えて別会場へ移動しました。
講演が終われば挙手による質問の時間があるけど、それでも聴き足りない人達は前に押しかけて講演者を囲んで質問攻めにしていました。日本だと列に並んで名刺交換という風景が多いけど、こっちは熱い議論ですよ。

この議論を聴きたい人がさらに周囲を囲んで、講演以上に盛り上がっちゃう。スピーカーが英語だと、通訳を交えて中国語と英語がゴッチャになって飛び交っちゃう。聞いているだけじゃない、積極的に楽しむのが一番面白いのさ。

●英語が苦手でも大丈夫

参考までに筆者のTOEICの最高スコアは675、全然大したことはない。でもスライドを読むのと話を聞くのは何とかなる。英語が苦手でも質問したい、議論したいことがあれば、公開されているAGENDAをもとに聞きたい論点を整理して英語に訳しておくといい。パソコンの画面でも印刷した紙でもいい、こうしておけば発音がおかしくても、だいたい大丈夫だ。

後半では主に講演内容を紹介しますよ!

《2次元殺法コンビ》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  6. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

  7. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  8. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  9. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

    チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  10. マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

    マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

ランキングをもっと見る
ホーム 特集 特集 記事
TOP