プロダクトセキュリティチームの小竹です。普段は炭酸水(ソーダ)を飲んで忠誠心を示しながらセキュリティのお仕事をしています。
先日、台湾で開催されたセキュリティカンファレンス「HITCON 2025」に参加しました。本記事ではHITCON 2025の会場の様子や印象に残った発表を紹介します。
HITCONとは
HITCONは台湾で毎年開催されている歴史あるセキュリティカンファレンスです。中央研究院という台湾の最高学術研究機関で開催されました。メインのカンファレンス以外にも毎年いろんなイベントが開催されており、今年はCTFやHITCON CISO Summit 2025というCISO向けのカンファレンスが開催されます。
食べ物がいっぱい出てきてうれしい
ランチタイムには参加者全員にお弁当が支給されます。3種類くらいある中から選べる形でした。
ランチタイムの他にティータイムがあり、スイーツをバイキング形式で食べることができます。
どれも美味しいのですが、ランチタイムが終わってから1時間40分後に開催されるので、お腹が空いておらずあまり食べることはできませんでしたw
テトリスとスネークゲームでバトル
会場に入場時に参加証としてバッジがもらえます。このバッジにはテトリスとスネークゲームゲームが搭載されており、他の参加者のバッジと接続することで対戦ができました。レクリエーションに良かったです。会場ではバッジに機能を追加するためのワークショップも開催されていました。
会場の裏に登山道
休憩時間に台湾五色鳥を探しに外に出てみたところ、会場の裏に広場があったので立ち寄ってみました。台湾五色鳥は台湾でしか見れないカラフルな綺麗な鳥です。
広場にはWindowsXPの壁紙のような綺麗な草が生えていましたが、すぐ横に登山道があり驚きました。結構大変そうだったので登山は見送りましたが、後から調べたら標高65mの小さい山だったようで今度行ったら登ってみたいです。
気になった講演
聴講していて印象に残った講演を紹介します。英語、日本語、台湾華語の3カ国語で講演が行われました。AIによって日本語/英語へ自動翻訳した字幕を出す仕組みが導入されており、言語の壁を乗り越えて楽しむことができました。
Hidden Pitfalls of FQDN-Based Filtering in Modern Firewalls
この講演では、ネットワーク機器(ファイアウォール)が、プロトコルをそれぞれ独自に解釈することにより、フィルタリングの意図しないバイパスが生じる可能性について検証が行われました。
検証のために各社のネットワーク機器を実際に購入し、実験を行っていました。ベンダが提供するドキュメントには全ての仕様が記載されているわけではなく、ドキュメントと実際の動作との間に存在するギャップをユーザ自身が発見し、対策を講じる必要があるという課題が示されました。発表資料が公開されたら改めて熟読してみたいと思っています。
Shocking Internal Fraud in Japanese Financial Institutions: Ongoing and Rising
この講演では、日本の銀行で発生した貸金庫からの利用者の資産を窃盗する内部不正の事例とその対策について解説されました。登壇者であるAIDO氏がラブプラスのヒロインの1人である共同登壇者のManaka氏を連れてくるシーンは初日1番の盛り上がりを見せていました。
Donald R. Cresseyが提唱した不正のトライアングル(動機、機会、正当化)に基づき、内部不正が発生するメカニズムが説明されました。例えば、貸金庫の監視カメラが出入りの様子を意図的に分かりにくくしている(著名人の出入りがあるため)ことや、入室ログを管理者が無効化できるといった状況が「機会」を与えていたと指摘されています。事件後の対策として、スペアキーを本店で、金庫の管理を支店で行うといった権限分散が有効な対策として紹介されました。
現代の働き方における課題として、フリーアドレスやテレワークの普及により従業員の行動が見えにくくなり、異変の察知が困難になっている点や、私物デバイスの業務利用、雇用の多様化といった変化が、内部不正対策を複雑化させていると述べられました。対策としては、特定の個人に高い権限を集中させないことや、リスクの事前分析が挙げられました。一方で採用時のバックグラウンドチェックでは個人の財政状況が分からないので、バックグラウンドチェックはあまり意味をなさないとの見解も示されました。
Beyond OSxP: Real-World Red Team Operations with Badge Cloning, Malicious Hardware Implants, and GitHub-Based Lateral Movement
この講演では、実際のペネトレーションテストで用いられた攻撃シナリオと具体的なテクニックが紹介されました。過去のセキュリティインシデントを参考にシナリオが設計されており、物理侵入のフェーズが特に面白かったです。
物理侵入のフェーズでは、社員の服装やIDカードを模倣するための情報収集(周辺のレストランでの張り込みやインターネット上のインタビュー記事の活用)、清掃員の作業中や他の社員に追従する「共連れ」による侵入手法、Flipper Zeroを用いたカードキーのスキャンなどが解説されました。また、OMG CableやScreen CrabといったHak5製のデバイスを設置し盗聴する手法も紹介され、後でデバイスを回収するためにUVペイントでマーキングする工夫なども共有されました。私は以前、OMG Cableを利用したテストを検討した時に回収困難になるということで実施を見送ったことがあるのでとても興味深かったです。物理セキュリティへの意識が高い企業では盗聴器が発する電波を検知する仕組みが導入されている話には驚きました。
The Art of PHP — My CTF Journey and Untold Stories!
この講演では、著名なセキュリティリサーチャーであるOrange Tsai氏が、PHPのセキュリティとCTF(Capture The Flag)がいかにして相互に影響を与え合い、進化してきたかを自身の経験に基づき解説したものです。
CTFが単なる競技ではなく、知識を伝承し、楽しみを共有するハッカー文化の根幹であり、それが次第に高度化し、多くの革新的な攻撃手法を生み出す「eスポーツ」へと進化したと述べられました。いろんなCTFの紹介やPHPがある脆弱性を修正した際、その修正自体に不備があり、かえって新たな脆弱性を生んでしまった事例などが紹介されました。CTFの問題を紹介する中でSECCON 2014 Qualsで出題されたQR問題(SECCON Wars: THE Flag Awakens)に触れられました。この問題はYouTube上の動画からQRの画像を切り出す迷問で、動画を流しながら紹介された時はかなり会場が湧いていました。
Orange氏は、CTFコミュニティがこうした「忘れ去られた昔のバグ」や「奇妙な仕様」にフォーカスを当て、創造的な攻撃手法を編み出す原動力となってきたと結論付けています。CTFの問題作成者と参加者の間で繰り広げられる絶え間ない攻防が、PHPの脆弱性研究を前進させ、現実世界のセキュリティ向上にも大きく貢献してきたと述べられました。ベースはPhrack Magazineの記事のようで詳細が気になる方は読んで下さい。
まとめ
運営のホスピタリティをすごく感じたカンファレンスでした。また、AIDO氏が共同登壇者のManaka氏を連れてくる場面やOrange氏がSECCONのQR問題を紹介する場面といった日本産のコンテンツ?で盛り上がっていたシーンが印象的でした。AIDO氏がManaka氏を連れて登壇する様子は高校生の頃にハッカー・ジャパンという雑誌で見たことがあり、伝説の漢の発表を見れて良かったです。
台湾にはSODAに入社する前に前職の有給休暇で行ったことがあるのですが、パスポートを紛失し、旧正月だったので1週間の延泊を余儀なくされた思い出があります.... 今回はパスポートを無くさずに帰って来れてよかったです。
私はコロナ禍にBlack Hat Arsenalでリモートで登壇したことがあるのですが、実際に海外のカンファレンスには行ったことがなく、発表したことはあるけど参加したことがないコンプレックスを抱えていたので、今回HITCONに参加できたのはとても嬉しかったです。外国なのに日本語で登壇でき、登壇者にはCity Tourも開催されるようで、海外カンファレンスで今後登壇するならHITCON一択だなと思いました。再び海外カンファレンスで登壇できるよう研鑽を積んでいきます。
株式会社SODAの開発組織がお届けするZenn Publicationです。 是非Entrance Bookもご覧ください! → recruit.soda-inc.jp/engineer
Discussion