[編集長セキュリティカンファレンス放浪記] TROOPERS16 ~ ドイツの古城でひとりぼっち | ScanNetSecurity
2024.03.28(木)

[編集長セキュリティカンファレンス放浪記] TROOPERS16 ~ ドイツの古城でひとりぼっち

特に興味を引いた発表としては、『Uber』のタダ乗りとドライバーを追跡するというソーシャルハッキング的なテクニックを組み合わせたものでした。

研修・セミナー・カンファレンス セミナー・イベント
丘の上に見えるのが古城ホテル
丘の上に見えるのが古城ホテル 全 8 枚 拡大写真
日本人が参加したことがないセキュリティ・カンファレンスに行きたい! をスローガンに、世界のセキュリティカンファレンス出席のため地球に股をかける男 ScanNetSecurity 編集長 上野宣。かつては、治安悪化で知られる南アフリカのヨハネスブルグで開催されたセキュリティカンファレンスに出席しようとして予定が合わずに行けなかったという武勇伝を持つ。ビジネスクラスで移動し、宿泊にはドイツの古城を貸し切りにした編集長が訪れたのは、ドイツで開催された『 TROOPERS16 』というカンファレンスだった…

--

日本人が参加したことがないセキュリティ・カンファレンスに行きたい! ということで、今回参加したのは2016年3月16日、17日にドイツ・ハイデルベルクの Print Media Academy で開催された『TROOPERS16』です。

TROOPERS16 は 「 Make the world a safer place. (世界をより安全な場所にしよう) 」 をモットーとしたセキュリティ・カンファレンスで、今回で9回目の開催となります。

もちろん今回も海外カンファレンスを満喫するために、特別イベントからパーティーまで参加してきました。

●ドイツ・ヒルシュホルン古城ホテルで一国一城の主

私、ScanNetSecurity 編集長 上野は、せっかく海外カンファレンスに行くならということで、ほぼ毎回のように観光を兼ねて行きます。今回はハイデルベルクから電車で 30 分ほど行った『ネッカー渓谷の真珠』と呼ばれるヒルシュホルンという街に2泊してきました。『シュロスホテル・ヒルシュホルン』という古城を改装したホテルに宿泊です。

泊まった時期が閑散期だったせいか宿泊客は私 1 人で、夜はホテル内のレストランを貸し切り状態です。食事が終わるとスタッフから「明日の夜はホテルのドアを閉めるから、出掛けるなら部屋の鍵を忘れるなよ」と一言。このときは一時的に閉めるぐらいだろうと軽く考えていました。

2 日目の夜。夕食をとりに出掛けようとしたら、ホテルの人たちが何やら帰り支度。まさかスタッフ全員が本当に帰宅するとは…。予想外にドイツの古城ホテルに一人っきり、一国一城の主となるという貴重な体験をしてきました。

そのときのツイートが 7,000 RT 超で私の書く記事よりすごい勢いでバズりました。

ドイツの古城のホテルに泊まったら他に客がおらず、お留守番まで任されちゃったお話「羨ましいけど怖い」 - Togetterまとめ

●参加者との距離が近い TROOPERS16
カンファレンスは「アタック&リサーチ」、「ディフェンス&マネージメント」のメイントラックの他に、「 組み込み 」やドイツらしい「 SAP 」トラックで構成されています。流行りの車のセキュリティや医療機器のセキュリティなどの発表もあり、他のカンファレンスでは聞いたことがない発表内容や、かなり攻めている発表内容なども多くありました。

●Uberをほぼタダ乗り

特に興味を引いた発表としては、『 Uber 』のタダ乗りとドライバーを追跡するというソーシャルハッキング的なテクニックを組み合わせたものでした。Uber は車の配車サービスで、アメリカを中心に世界中(日本以外)で流行っていて、私も海外に行くとよくタクシー代わりに使っています。

Graeme Neilson 氏と Vladimir Wolstencroft 氏の2人の研究者によるこの発表は 『 Cloud Seeding or Finding weird machines in the cloud crowd sourced economy. 』 というタイトルで行われ、内容を聞くまでは Uber についての発表だとわかりませんでした。

Uber の(ほぼ)タダ乗りに利用したのはプロモーションコードでした。Uber は初回利用ユーザー向けに、$22 (日本だと 2,000 円分)のプロモーションコードが提供されています。Uber の利用者は電話番号に紐付いていて、1 つの電話番号に付き 1 回までしかこのプロモーションコードは使うことができません。

新しい電話番号があればいくらでも使えるわけですが、Skype だと高価すぎてコストが見合いません。そこで彼らが利用したのが 『 Twilio 』という API 経由で利用する電話のクラウドサービスで、$1/月で電話番号が取得でき、さらに SMS なども利用することができます。

このサービスを利用し、Uber の新規登録まで完了しプロモーションコードを発行するというスクリプトによって(ほぼ)タダ乗りを行うというものでした。発表によるとこの手法で約 20,000 アカウントも生成したそうです(使用したかどうかは定かではありません)。

●もちろんパーティーにも参加

ドイツと言えば、ビール! カンファレンス初日の終了後、参加者は用意されたバスに乗りハイデルベルクの小さなクラフトビール醸造所に移動し、美味しいドイツ料理と飲み放題のドイツビールを堪能しました。

カンファレンスの参加者全員が参加できるパーティーで、そこそこの広さがあるレストランも満員となり熱気が終始冷めませんでした。

●特別イベントにも参加

2 日目の早朝には特別イベントとして 10 km チャリティー・ランが催されました。趣味が走ることと飲むことしかない私としては参加必須。パーティー明けの体を引きずりながらハイデルベルクの丘陵を 10 km 走るという健康的なのか体に悪いのかわからない体験もしてきました。

●来年もハイデルベルクで開催予定

今回初参加した 『 TROOPERS16 』 は、参加者と登壇者、そして運営者と距離が近い規模のセキュリティ・カンファレンスでした。スタッフたちの参加者をもてなす気持ちが相当伝わってくるイベントで、ランチはもちろん、合間にはハイデルベルクで一番美味しいアイスクリームや、なぜかマティーニまで提供されました。

毎年ラスベガスで開催される BlackHat のような超巨大なカンファレンスも楽しいですが、こういった規模のものは自分も TROOPERS の一員になったような気分になり、終始楽しむことができました。

日程は決まっていませんが、来年もハイデルベルクで開催されるようですので、是非とも参加しに行きたいと思います。

《上野宣》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  9. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る