Black Hat USA でトレーニング講師になってみた

2018年08月28日 火曜日

「Black Hat USA でトレーニング講師になってみた」のイメージ

IIJ セキュリティ情報統括室 鈴木です。8月に弊社セキュリティエンジニアのチーム(鈴木博志、梨和久雄、六田佳祐)は、世界最高峰の国際カンファレンスの一つである Black Hat USA 2018 において講師に選ばれ、”Practical Incident Response With Digital Forensics & Malware Analysis”の内容で4日間のトレーニングを提供しました。Black Hat USAで日本人がトレーニング講師を務めるのは初めてのことです。また今回はそれと同時に、Briefingでも発表(小林稔、鈴木博志)してまいりました。

トレーニングルーム前の看板にて。左から梨和、筆者、小林、六田

(1)Black Hatとは

まずITセキュリティエンジニアではない方のために、Black Hatとは何かという説明をさせてください。Black Hatは1997年から続くITセキュリティの国際カンファレンスで、現在USA、EU、Asiaの3箇所で行われています。Black Hat USAはその中で最も歴史が古く、最大規模のカンファレンスで、今年は世界各国から17,000人以上のセキュリティエンジニアや研究者が参加しました。毎年米国ラスベガスにて開催されおり、例年7月末から8月初旬の間に計6日間開催されます。今年は2018年8月4日より開催されました。前半4日間は、ITセキュリティエンジニア向けに実習を行う「トレーニング」、後半2日間は最新の攻撃手法や先端技術などの研究発表を中心とする「Briefing(カンファレンス)」が行なわれます。

17,000人と聞くと、もっと参加者の多いカンファレンスはあるのでは?と思われる方もいると思います。しかしながら、注目すべきはその参加費にあります。2日間のBriefingの参加費は一番安い時期でも約24万、直前の一番高い時期だと約30万円かかります。それを考慮した上でこの人数というのは驚くべき数字ではないでしょうか。もちろんトレーニングは別料金で、コースによって異なりますが1日あたり約12万から20万円が追加でかかります。つまりはそれだけの金額(最大約100万円前後)を払ってでも参加したいカンファレンスであるとITセキュリティ業界で認知されていると言えます。

世界中の多くの研究者がこのカンファレンスで発表するために日々研究を行っており、ここで初めて全貌が明かされる研究も少なくありません。また昨年今年のUSAのBriefing採択率が約1割程度であることや、日本人スピーカーが数年に一人しか出ないことからも、その競争率やレベルの高さがうかがえます。

(2)講師をすることになった経緯

なぜ私がこのようなカンファレンスにトレーナーとして応募するに至ったかというと、IIJ、ひいては日本のセキュリティ技術や事案対応能力が世界でもトップクラスであることを証明したかったということが一番の動機です。私はデジタルフォレンジックやマルウェア解析といった分野における日本のトッププレイヤーたちは世界でも一線級であると考えており、それを客観的に証明する手段を模索してきました。そして現場の人間である私がそのことを証明するためには、自分が今まで培ってきた分析ノウハウや実践的な技術力を、トレーニング講師としてトップカンファレンスでコース提供するのが最適ではないか、という結論に至りました。

私はこれまでにIIJ社内向けのトレーニング、もしくは国内外の外部組織向けのトレーニングを提供してきていたため、経験もあり、コンテンツとしても多くのトピックはすでに整備されていました。これらを加筆修正し、日本語しかないものについては英語化すれば、包括的かつ実践的な技術を誰もが体系立てて学ぶことができるはず、という信念のもとにコース開発を行いました。

(3)講義概要

トレーニングコースの内容は、ITセキュリティにおけるインシデントレスポンス(事案対応)に関するものになります。特に標的型攻撃事案への対処に焦点を当てています。主にデジタルフォレンジックとマルウェア解析技術を組み合わせ、いかに事案に対処していくかということを、100を超える演習を通して習得していきます。詳しくは、Black Hat USA 2018のトレーニング募集ページや、弊社ブログをご覧ください。

(4)トレーニングの様子

当初、30名を想定して募集を行いましたが、ご好評いただき無事売り切れたため、追加募集を掛け、当初の募集人数を上回る33名の受講者にIIJの事案対応技術のすべてを体験していただくことができました(当日キャンセルが1名出たため、最終ステータスはSold outにはなっていませんが)。

参加者についてですが、米国の方はもちろん、ヨーロッパや中東、アジアなど、世界中から幅広い人々に参加いただきました。また日本からも数名の方にお越しいただきました。

実際のトレーニングルーム内部。ここがほぼ満員となった

熱心に質問される方も多く、時には想定外の質問に四苦八苦しましたが、鋭い質問の数々に教える側もやりがいを感じました。例えば今回は幅広い方々に受講してもらうため、殆どはフリーソフトウェアやオープンソースソフトウェアなど、なるべく高額なソフトウェアを用いずに対応していけるようにトレーニングを構成しましたが、有償ソフトウェアは使ってないのか?といった質問や、普段どういうソフトウェアを使っているのか?というような質問を複数の方から頂いたのが印象的でした。各ソフトウェアは一長一短あるため、IIJではどちらも組み合わせて使っていることや、無償のソフトウェアを用いても、多くのツールを組み合わせていくことで有償ソフトウェアと同様の結果が得られることなどを説明しました。

また想定外だったこととして、技術者というより上流で管理を行っていると思われる数名の方にも受講いただき、演習よりも理論的なところに重きをおいて聴講されていたのも印象的でした。

始める前は受け入れられるか期待半分、不安半分でしたが、アンケート結果は概ね好評価をいただくことができ、ホッとしています。

(5)トレーニングこぼれ話

ここでは、トレーナーになってみて初めて気づいた点などを何点かご紹介したいと思います。

トレーニング名称

何度かBlack Hatのトレーニングを受けられた方はなんとなく認識されているかもしれませんが、「Advanced」とか、「A 〜」から始まるトレーニング名が多いことにお気づきでしょうか?世界中から選りすぐりのコースが揃うため、どれもAdvancedであることは明白なはずですが、なぜあえてこの単語や冠詞から始めるのでしょうか。実は、これは上位に表示させるためのテクニックなのです。特に冠詞については、著名なonline shoppingサイトなどでは本のタイトルや曲のタイトルなどを表示する場合、冠詞を除いてからソートすることが多いのですが、Black Hatの仕様はそうなっていません。したがって冠詞から始めることで、最上位に表示される可能性が高いのです。感覚的にですが、やはり上位に表示されるコースのほうが早く売りきれるように見えるため、次回応募の際に、自分たちのコース名を変更するかどうか、現在思案しています。

国際トレーニング講師

冒頭で「日本人で初めて」とお伝えしましたが、どうやらそれだけでなく、米国人以外がトレーニング講師を務めるのは世界的に見ても珍しい事例のようです。以下はTrainerとBriefing Speakerの航空運賃補助の待遇を比較したものです。

スピーカーに対する航空券補助

Cap of $1,000 USD domestic travel and $1,300 USD international travel

トレーニング講師に対する航空券補助

Black Hat will ONLY reimburse for one round trip, coach airfare (not to exceed $1,000 for the U.S. event and $1,500 for international events).

Briefing Speakerは、国際カンファレンスであることからInternational Speakerも比較的多いため、移動距離を考慮され、Domestic Speakerよりも多い1,300ドルの補助が出ます。これに対し、Trainerの規定は米国内のイベント(つまりBlack Hat USA)の場合は1,000ドルの補助、それ以外の国際イベント(EUやAsia)の場合は1,500ドルの補助、となっています。つまり米国人、もしくは米国に居住しているトレーニング講師が海外(EU、Asia)に移動する場合はお金がかかるだろうから多く補助を出すけど、Black Hat USAは国内移動だから一律1,000ドルね、と米国人のことしか想定されていないのです。

私もすべてのトレーニングコースを把握しているわけではないのでわかりませんが、私の知る限りでは米国外在住でトレーニングを実施していたのは、ドイツ在住のHalver Flake氏だけです。とにかく、待遇面やトレーナーの国籍などからも、今回のケースが珍しいと言えるのではないかと思います。

記念品

今回、スピーカーやトレーニングの講師を務めたところ、Tシャツやコインをいただくことができました。私が前回Black Hat Asia 2014で話した際にはこのようなものは提供されていなかったので、いつから始まったものかはわかりませんが、良い記念になりました。

(6)BriefingとVip Party

トレーニング講師はBriefingへの参加も無料で許可されます(Briefing Passが無料で発行される)。今回は3名ともBriefing Passをもらうことができたため、各々最新の研究を無料で聴講することができました。これもトレーナーの特権の一つであると言えます。他にも、Trainer, Briefing Speaker, Arsenal Presenter合同のVIPパーティや、Trainerのみが参加可能なVIPパーティ(the Trainer Reception)にも参加することができ、豪華な講師陣とともにお酒を飲みながら生演奏を聴くといったこともできました。これらも非常に貴重な経験となりました。

“the Trainer Reception”の様子。軽食と酒が提供され、談笑しながら時に生演奏を楽しんだ

また今回、私はトレーニング講師だけではなく、同僚の小林とともにBriefing Speakerとして、Windows標準のバックアップ機能であるVSS(Volume Shadow Copy Service)に関連した「vss_carver」というツールの発表をしてまいりました。これは例えばRansomwareなどの被害にあった場合に、以前ならば諦めざるを得なかったファイルの復元に貢献できる可能性があるツールです。この種のマルウェアはユーザにとって重要なファイル(例えば文書や写真など)を暗号化して人質に取り、復号するための鍵を渡す代わりに金銭を要求します。さらにファイルを暗号化する前にVSSの管理領域を削除してしまいます。従来はこの状態になった場合、暗号化前のファイルを復元することはほぼ不可能でしたが、我々はVSSの管理領域をCarvingと呼ばれる手法を使って「発掘」することで、感染前に管理していたファイル群にアクセスできる可能性を高めることに成功しました。この研究成果の資料ツールはすでに公開済みです。これは我々のトレーニング内容にも関わるツールであったため、トレーニング受講者の何名かの方も聴講してくれました。

(7)終わりに

今回Black Hatでトレーニング講師を経験して改めて感じたのは、自分の持っているノウハウや技術を余すことなく伝えれば、日本人も十分に世界でトップクラスのカンファレンスで通用するということです。元来日本人の作るコンテンツのクオリティは非常に高いため、トレーニング講師に向いているのではないかと私は考えています。言葉の壁にひるまず、ぜひ様々な方にこうした挑戦を行ってほしいです。思い切って飛び込んでみれば世界との距離は意外に近いと思います。

昨今、サイバー攻撃は日々高度化、複雑化しており、それに対応するセキュリティ人材不足が深刻化していると言われています。IIJでは、20年以上にわたって取り組んできたセキュリティ対策の知見をもとに、複雑化するサイバーリスクに備えられるセキュリティ人材の育成を推進しています。

IIJは今後も、インターネットを誰もが安心して安全に使える社会インフラへと発展させるべく、このような活動を継続してまいります。また、その技術をもってお客様の環境を守ってまいります。

鈴木 博志1

鈴木 博志

2018年08月28日 火曜日

セキュリティ本部 セキュリティ情報統括室。大学を卒業後、メーカ系ISPにてFirewallやIDSを用いたネットワークの構築、運用業務に従事。通信系研究所におけるハニーポットシステムの運用、構築、マルウェア解析業務を経て2008年にIIJ入社。 IIJのCSIRTチームであるIIJ-SECTのメンバーであり、社内、顧客のインシデント対応に従事。主にマルウェア解析とフォレンジック調査を担当。そこから得られた知見を元に、Black Hat、FIRST TCなどの国際カンファレンスや、内閣サイバーセキュリティセンター(NISC)、総務省、法務省、IPA、産総研などで講演を行う。また、FIRST TC、MWSやセキュリティキャンプ全国大会など、国内外のカンファレンスでの専門家向けのトレーニング講師も兼ねる。今年は日本人として初めてBlack Hat USAでトレーニング講師に選ばれ、インシデントレスポンス、マルウェア解析、フォレンジック調査に関するトレーニングを実施。マルウェア解析は12年を越える経験を有する。