[編集長セキュリティカンファレンス放浪記] TROOPERS16 ~ ドイツの古城でひとりぼっち | ScanNetSecurity
2020.09.24(木)

[編集長セキュリティカンファレンス放浪記] TROOPERS16 ~ ドイツの古城でひとりぼっち

特に興味を引いた発表としては、『Uber』のタダ乗りとドライバーを追跡するというソーシャルハッキング的なテクニックを組み合わせたものでした。

研修・セミナー・カンファレンス セミナー・イベント
丘の上に見えるのが古城ホテル
丘の上に見えるのが古城ホテル 全 8 枚 拡大写真
日本人が参加したことがないセキュリティ・カンファレンスに行きたい! をスローガンに、世界のセキュリティカンファレンス出席のため地球に股をかける男 ScanNetSecurity 編集長 上野宣。かつては、治安悪化で知られる南アフリカのヨハネスブルグで開催されたセキュリティカンファレンスに出席しようとして予定が合わずに行けなかったという武勇伝を持つ。ビジネスクラスで移動し、宿泊にはドイツの古城を貸し切りにした編集長が訪れたのは、ドイツで開催された『 TROOPERS16 』というカンファレンスだった…

--

日本人が参加したことがないセキュリティ・カンファレンスに行きたい! ということで、今回参加したのは2016年3月16日、17日にドイツ・ハイデルベルクの Print Media Academy で開催された『TROOPERS16』です。

TROOPERS16 は 「 Make the world a safer place. (世界をより安全な場所にしよう) 」 をモットーとしたセキュリティ・カンファレンスで、今回で9回目の開催となります。

もちろん今回も海外カンファレンスを満喫するために、特別イベントからパーティーまで参加してきました。

●ドイツ・ヒルシュホルン古城ホテルで一国一城の主

私、ScanNetSecurity 編集長 上野は、せっかく海外カンファレンスに行くならということで、ほぼ毎回のように観光を兼ねて行きます。今回はハイデルベルクから電車で 30 分ほど行った『ネッカー渓谷の真珠』と呼ばれるヒルシュホルンという街に2泊してきました。『シュロスホテル・ヒルシュホルン』という古城を改装したホテルに宿泊です。

泊まった時期が閑散期だったせいか宿泊客は私 1 人で、夜はホテル内のレストランを貸し切り状態です。食事が終わるとスタッフから「明日の夜はホテルのドアを閉めるから、出掛けるなら部屋の鍵を忘れるなよ」と一言。このときは一時的に閉めるぐらいだろうと軽く考えていました。

2 日目の夜。夕食をとりに出掛けようとしたら、ホテルの人たちが何やら帰り支度。まさかスタッフ全員が本当に帰宅するとは…。予想外にドイツの古城ホテルに一人っきり、一国一城の主となるという貴重な体験をしてきました。

そのときのツイートが 7,000 RT 超で私の書く記事よりすごい勢いでバズりました。

ドイツの古城のホテルに泊まったら他に客がおらず、お留守番まで任されちゃったお話「羨ましいけど怖い」 - Togetterまとめ

●参加者との距離が近い TROOPERS16
カンファレンスは「アタック&リサーチ」、「ディフェンス&マネージメント」のメイントラックの他に、「 組み込み 」やドイツらしい「 SAP 」トラックで構成されています。流行りの車のセキュリティや医療機器のセキュリティなどの発表もあり、他のカンファレンスでは聞いたことがない発表内容や、かなり攻めている発表内容なども多くありました。

●Uberをほぼタダ乗り

特に興味を引いた発表としては、『 Uber 』のタダ乗りとドライバーを追跡するというソーシャルハッキング的なテクニックを組み合わせたものでした。Uber は車の配車サービスで、アメリカを中心に世界中(日本以外)で流行っていて、私も海外に行くとよくタクシー代わりに使っています。

Graeme Neilson 氏と Vladimir Wolstencroft 氏の2人の研究者によるこの発表は 『 Cloud Seeding or Finding weird machines in the cloud crowd sourced economy. 』 というタイトルで行われ、内容を聞くまでは Uber についての発表だとわかりませんでした。

Uber の(ほぼ)タダ乗りに利用したのはプロモーションコードでした。Uber は初回利用ユーザー向けに、$22 (日本だと 2,000 円分)のプロモーションコードが提供されています。Uber の利用者は電話番号に紐付いていて、1 つの電話番号に付き 1 回までしかこのプロモーションコードは使うことができません。

新しい電話番号があればいくらでも使えるわけですが、Skype だと高価すぎてコストが見合いません。そこで彼らが利用したのが 『 Twilio 』という API 経由で利用する電話のクラウドサービスで、$1/月で電話番号が取得でき、さらに SMS なども利用することができます。

このサービスを利用し、Uber の新規登録まで完了しプロモーションコードを発行するというスクリプトによって(ほぼ)タダ乗りを行うというものでした。発表によるとこの手法で約 20,000 アカウントも生成したそうです(使用したかどうかは定かではありません)。

●もちろんパーティーにも参加

ドイツと言えば、ビール! カンファレンス初日の終了後、参加者は用意されたバスに乗りハイデルベルクの小さなクラフトビール醸造所に移動し、美味しいドイツ料理と飲み放題のドイツビールを堪能しました。

カンファレンスの参加者全員が参加できるパーティーで、そこそこの広さがあるレストランも満員となり熱気が終始冷めませんでした。

●特別イベントにも参加

2 日目の早朝には特別イベントとして 10 km チャリティー・ランが催されました。趣味が走ることと飲むことしかない私としては参加必須。パーティー明けの体を引きずりながらハイデルベルクの丘陵を 10 km 走るという健康的なのか体に悪いのかわからない体験もしてきました。

●来年もハイデルベルクで開催予定

今回初参加した 『 TROOPERS16 』 は、参加者と登壇者、そして運営者と距離が近い規模のセキュリティ・カンファレンスでした。スタッフたちの参加者をもてなす気持ちが相当伝わってくるイベントで、ランチはもちろん、合間にはハイデルベルクで一番美味しいアイスクリームや、なぜかマティーニまで提供されました。

毎年ラスベガスで開催される BlackHat のような超巨大なカンファレンスも楽しいですが、こういった規模のものは自分も TROOPERS の一員になったような気分になり、終始楽しむことができました。

日程は決まっていませんが、来年もハイデルベルクで開催されるようですので、是非とも参加しに行きたいと思います。

《上野宣》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

    事務局のパソコンが「Emotet」感染、パスワード付きZipファイル添付に注意呼びかけ(日本医師会)

  2. 社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

    社内パソコンがEmotet感染、取引先でも不審メールを確認(山一商事)

  3. まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)

    まさに「おつかれさま」9万件のPDFの次は工事図面の全庁調査実施(新潟県)

  4. Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)

    Active Directoryの認証コンポーネントに、管理者権限を窃取される脆弱性(JVN)

  5. パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

    パスワードリスト型攻撃のフォレンジック調査で新たな不正ログイン判明(三越伊勢丹)

  6. 10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)

    10月13日でMicrosoft Office 2010のサポート終了、移行を呼びかけ(IPA)

  7. 「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)

    「ひでじビールオンラインショップ」に不正アクセス、カード決済停止後も決済情報流出(宮崎ひでじビール)

  8. わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)

    わかりやすさ重視、テレワークセキュリティのチェックリスト公開(総務省)

  9. LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE)

    LINEアカウントへ不正ログイン試行、日本が41,204件でTOPに(LINE)

  10. 開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)

    開発者がセキュリティの責を負う時代到来か、セキュアコーディングのSaaS型eラーニングサービス開始(Flatt Security)

ランキングをもっと見る