出典:Nico El Nino(Alamy Stock Photo経由)
BLACK HAT USA — ラスベガス — 水曜日、8月6日 – 大規模なイベントのセキュリティを確保するのは一つのことですが、そのイベントがハッカーであふれるテクノロジーカンファレンスであり、彼らがセッションやトレーニングで学んだ新しい研究――例えばウェブサーバーの侵害方法――を試している場合は、また別の難しさがあります。
Corelightのテクニカルマーケティングエンジニアリングディレクターであり、Black Hat SOCマネージャーでもあるJames Pope氏を含む経験豊富な専門家チームが、今年のBlack Hat USAネットワークオペレーションセンター(NOC)を運営しました。その間、映画「キャッチ・ミー・イフ・ユー・キャン」がバックグラウンドで流れていました。同映画は、カンファレンスでの彼らの重要な役割――ネットワーク上で発生する悪意ある活動を監視し、捕捉する――を象徴しています。NOCと呼ばれる理由は、まずインターネットを機能させ、その後にセキュリティを確保する必要があるからです。そして、守るべきものはたくさんあります。
「私は、登録が安全であること、アクセスポイントの切り替えが安全であること、ネットワークに参加する人々が安全であること、そしてネットワークに参加して支払い処理業者や政府機関、警察署などを攻撃するような悪いことをしている人々――それはBlack Hatでも違法です――がいないことを確認したいのです」とPope氏はDark Readingに語っています。
悪意ある活動を見逃しても大丈夫
Black Hat USA 2025のNOC準備は3月に始まりました。その後、アジアやヨーロッパで開催されたBlack Hatイベントで得た教訓をラスベガスのカンファレンスに活かしました。チームは独自のISP、ファイアウォール、スイッチを持ち込み、さまざまな状況に備えてアクセスポイントを展開します。
NOCチームは、ネットワークが他の場所へのキャンペーンや攻撃に使われていないことを確認しなければなりません。しかし、正当な悪意ある活動も存在し、Black Hatではそれが許容されています。「私たちはこれをBlack Hatポジティブと呼んでいます」とPope氏は言います。「組織では本物のアラートになりますが、ここでは見逃します。」
例えば、参加者はウェブサーバーの侵害方法を学ぶトレーニングクラスのためにBlack Hatに来ます。そのスキルを学ぶ100人が同時にいるかもしれませんし、ネットワークにはその活動を検知する仕組みがありますが、NOCチームはそれを止めません。なぜなら、彼らはウェブサーバーを侵害するためにお金を払っているからです、とPope氏は説明します。AI(人工知能)とML(機械学習)を使い、同じ人々が同じ教室で同じ目的地に向かっていることを確認しています。
「教室と同じように、誰かが1対1のペンテストをしてスキャン方法を学んでいますが、必ず誰かが振り返って政府機関など、本来スキャンしてはいけないものをスキャンし始めます」とPope氏は明かします。「トレーナーが『このターゲットに対してだけやるように』と正しいことを言っても、必ず誰かが違法行為を始めてしまうのです。」
.jpg?width=1280&auto=webp&quality=80&disable=upscale "Image (3).jpg")
AIは有益だが、時にそうでない場合も
AIは1年半前からNOCのセキュリティ戦略にますます組み込まれるようになりました。現在では、業界全体と同様に利用が拡大しています。MLは分類に使われ、AIはリスクスコアリングでチームを支援します。つまり、その活動がトレーニング教室から来ているのか、それとも一度きりの悪意あるものなのかを自信度で評価するということです、とPope氏は語ります。
「AIのユースケースを探すことが目的ではありません。ユースケースのリストは山ほどあります」と彼は言います。「重要なのは、それを意味のあるもの、影響力のあるもの、再現可能なものにすることです。長所と短所があります。場合によっては、AIが私のやりたいことに追いつくのを待っている状態です。」
一方で、AIが原因で、Pope氏が過去1年で観察した危険な傾向――脆弱なアプリケーションからの機密データ漏洩――が生じている可能性があります。この傾向は4月のBlack Hat Asiaで増加し始め、8月の米国開催時にはさらに増加しました。Pope氏はAIがその原因だと考えています。
「人々がアプリケーションを構築するスピードは、私たちがNOCのユースケース解決に活用できるのと同じくらい、彼ら自身の課題解決にも使われています。天気アプリ、チャットアプリ、運動アプリなど、何であれ非常に速く作られていますが、残念ながら監督は不十分です。」
チームは24時間以内に3つのチャットアプリを発見し、メッセージ全体や音声が暗号化されず、そのまま送信されていました。セキュリティの不備により、ユーザー間の会話や音声をすべて読む・聞くことができたとPope氏は警告し、その中には組織図全体や全従業員の個人情報も含まれていたと明かしました。
暗号化に問題があるのか?
NOCチームは、デバイス上で疑わしい活動を発見した際、参加者に通知する責任がありました。3つの脆弱なチャットアプリの他にも、大手銀行やフォーチュン50企業の従業員も含まれていました。
「1つはエンドポイント、つまりノートパソコン上のセキュリティツールが誤設定されていました」とPope氏は言います。「TLS(暗号化)を使っておらず、そのため私はそのマシンからのすべてのイベントログを見ることができました。誰なのか、パッチレベルはどうか、デバイスのすべてが分かりました。私は追跡して特定しましたが、同じ会社の他の2人もビジネスホールにいて同じ問題を抱えていましたが、教室にいる人より見つけにくかったです。」
最終的に彼らを見つけたとき、彼はその会社のITチームに連絡し、セキュリティ問題を知らせました。「その3人だけでなく、世界中にいるおそらく同じ誤設定をしている1万人、3万人の従業員のためにも、ぜひ修正してほしいですね。」
セルフホスティングの増加がさらなる問題を引き起こす
ユーザー自身も組織に対してセキュリティリスクを高めています。全体として、NOCチームはネットワーク上で本来見られるべき以上の個人情報を目にしています。それがトレンドとなるほどです。先週、Pope氏は24時間以内に3つの異なるメールクライアントが暗号化されずに使われているのを目撃しました。
「なぜ2025年にもなってSMTPやPOP3[プロトコル]でメールをやっているのでしょう?」とPope氏は疑問を投げかけます。「AIが持ち込んだライブラリパッケージのせいか、ローカル開発で証明書を設定していないからかもしれません。」
セルフホスティングも増加しています。個人が自宅でサーバーやファイルストレージ、バックアップ、同期をホストしており、その結果、実装のセキュリティが低下しています。本人たちは気づいていないかもしれませんが、NOCチームはリスクのある行動を観察した場合、できるだけ知らせるようにしています。
「会社が従業員がそんなことをしていると知らない場合もあります」とPope氏は言います。「結局のところ、企業情報が漏洩しているのです。」