トップ > HITCON Community 2024 参加記

HITCON Community 2024 参加記

HITCON  Community 2024 参加記


セキュリティ部セキュリティGの小林です。

毎年、台湾で夏に開かれるセキュリティカンファレンスのHITCON  Community 2024に参加しました。 国内でのセキュリティイベントには何度か参加しましたが、海外でのカンファレンスに一人で参加するのは初めての経験でした。台北で開催されたHITCON Community は世界中のハッカー、セキュリティ関係者が集まるイベントであり熱気に圧倒されました。  

初めての海外


私はこれまで海外にいったことがなかったため、不安と期待を抱えながら台湾へ行きました。

8月の台湾はとても暑く北海道に住む私にとってかなり蒸し暑い気候でした。片言の英語と翻訳アプリを使いながらなんとか全日程を終えることができました。

台湾には日本語が話せる方も多くいて宿泊施設や空港では日本語で会話できる機会も多かったです。

台湾の路地裏

宿泊したホテル近くの西門の様子

 

HITCON  Community


HITCON  Communityは台湾のサイバーセキュリティカンファレンスで今年で20周年など長く続いている歴史あるカンファレンスです。

台北から少し離れた中央研究院人文社會科學館という場所で開催され多くの人がカンファレンスに参加してました。

展示ブースも複数あり日本から参加したBSides Tokyoや脆弱なシステムをサイバー攻撃から守るイベントであるZANSINなども開催されており賑わっていました。私は台湾のハッカーコミュニティのブースで色々と質問をしました。コミュニティの方も真剣に受け答えしてくださりとても嬉しかったです。

展示ブースで賑わっている様子

記憶に残った発表

Kimsuky Groupについての発表



HITCON2024でのKimsukyグループの発表は非常に印象深かったです。彼らはChromeの翻訳アプリの拡張機能を悪用には驚かされました。特に、日常的に使われるアプリケーションを経由してターゲットに侵入する点が攻撃の巧妙さを際立たせていました。現実の脅威となりうる手法で日常のセキュリティ意識を再確認する良い機会となりました。

BadUSB Challenge に参加


HITCON では様々なハンズオンセッションやチャレンジも行われており、私はその中でも特に興味を引かれた BadUSB Challenge に参加しました。

会場でやっていたBadUSB Challenge



BadUSBは、USBデバイスのファームウェアを改ざんし見た目は普通のUSBでも、実際にはキーボードとして動作し、PCに不正な操作を行う脅威です。この攻撃はセキュリティ対策ソフトでは検出されにくい点が特徴です。

このチャレンジは、用意された端末へBadUSB機能が搭載された入場バッジを使用してBadUSB攻撃を仕掛けFlagを抜き出すという内容でチャレンジは1~3まであります。 

  1. インターネットに接続されており画面も見える
  2. 画面は見えないがインターネットに接続されている
  3. 画面も見えないしインターネットに接続されていない。

なので最初からインターネットの接続を確保してリバースシェルを貼るというDuckyScriptを書いてチャレンジ1でデバックを行い、チャレンジ3に挑戦するという戦略を取りました。

結果、全てのチャレンジをクリアし景品として名刺入れをもらうことができました。実際にDuckyScriptを書いて実行したのは初めてで非常に良い経験になりました。

BadUSB Challengeでもらった名刺入れとステッカー

まとめ


久しぶりにオフラインイベントに参加することによって自分の興味が薄かった分野に興味が湧いたりなど新しい発見がありました。

また、海外へ行くことによって語学の大事さを再確認することができました。台湾のセキュリティコミュニティの方たちはとても

優しく片言の英語とジェスチャーで会話する私の話を真剣に聞いてくれました。ぜひ、来年も参加したいと思います。