8月9~11日、セキュリティイベント「DEF CON 22」が米国ラスベガスで開催された。同イベントの楽しさの1つは、参加型のハッキングコンテストが会場のあちこちで開催されていることだ。そんなイベントの様子と、トップクラスのハッカーチームが集結した頂上決戦「Capture the Flag」と日本チーム「binja」の戦いをレポートする。
初心者からプロまで楽しめるコンテストが満載
DEF CONが一般的なセキュリティイベントと一味違うのは、参加型のイベントやハッキングコンテストが多数開催されていることだ。
ようこそDEF CON 22へ!
たとえば、「Packet Hacking Village」では、手を動かしながらネットワークフォレンジックの基本を学べるコーナーや、無防備に無線通信を利用しているユーザー(メールアドレスやパスワード)を巨大画面に晒す「Wall of Sheep」、無線の傍受やデコードのスキルを試すコンテストなどが行なわれていた。
Wall of Sheepでは、あえてノーガードの捨てPCを持ち込み、ハッキングされてID/パスワードを晒される快感を味わう人もいるそうだ。逆に、ハッキングされることを想定して罠を仕掛ける人もいる。今年は、無線を解析していたらゼロデイ攻撃が発動し、「人様の通信をハッキングするやつは、こうだ!」などと書かれた警告文が表示された人も出た。
基本、参加者や会場を撮影できないため、天井から吊るされた案内板をご鑑賞ください
今回初めてお目見えしたのは、産業制御システムの仕組みを学べる「ICS Village」と、古典から最新までの暗号化技術が学べる「Crypto and Privacy Village」だ。中でも、次々と部屋に人が吸い込まれていたICS Villageでは、典型的な水道局システムのネットワークのレプリカが用意されており、参加者はセキュリティツールでの検証や、PLCのプログラミング、ICSのハニーポット開発などが楽しめるようになっていた。
米政府機関が開催するコンテストもあった。米連邦取引委員会(Federal Trade Commission)主催の「Zapping Rachel」は、違法なロボコール業者をあぶり出すハニーポット強化のためのコンテスト。コンテスト名にある「Rachel」(レイチェル)は、ロボコールが通話の最後に名乗る名前の1つで、ほかにもボブやアン、ジェニーなどがある。
「ロボコールの苦情は、毎年100万件以上もある。そこで、業者撲滅のため、2012年に初のロボコールチャレンジを開催したところ、800人近くの参加者が集まり、ロボコールをブロックする新しい手法のヒントが多く得られた。今回はDEF CON参加者の力を借りて、さらなる強化を目指したい」(FTC関係者)。
Zapping Rachelのブース。部屋入口からブースめがけて一直線に来る参加者が多かった
挑戦者はハニーポットを開発する「クリエーター」、ハニーポットをかいくぐる「攻撃者」、データ解析などからロボコールを特定する「探偵」のいずれか、または複数の役割に挑戦する。
なお、今回は60のチームおよび個人が申込み、各分野のトップ優勝者に3133ドル(約31万円)、Honorable mentionをした人に1337ドル(約13万円・各分野で最大2人まで)など、合計1万7000ドルが贈られた。
アンテナの触覚を生やしたアリの女王っぽいレイチェルのドSなイメージ像
参加者に配られたバッチにはこんな秘密が!
これだけではない。DEF CON参加者全員に配られたバッジも、しっかりコンテストの対象だ。
LEDが点滅する回路型バッジは、むき出しの金具部分の押さえ方によって点滅の速度やパターンが変わった。さらに、下部にはmini USBの挿入口があって、コードを仕込んで「クールかつ面白いハッキング」に成功した優勝者には、生涯無料でDEF CONに参加できる特別バッジが贈呈される。
左はプレス用バッジで、右の「Human」(人間)と書かれているのは参加者用バッジ
また、バッジにはもう1つ謎が隠されていた。上部に「DO NOT OBEY」(従うなかれ)という文字があるが、これはSF映画「ゼイリブ」がモチーフになっている。映画は、人間に扮して地球を支配する宇宙人と、その変装を見破るサングラスを手にした主人公がバトルするお話。サングラスで見た瞬間、町中いたるところに支配のヒントが溢れていたという映画のコンセプトどおりに、パンフレットや会場、バッジの至るところに「謎」が隠されており、参加者は入場登録時に渡されたサングラスなどを駆使して、暗号解読に挑むのだ。
パンフレットの隅にある数字の羅列。この暗号が、壮大な冒険の始まりだったようだ
(次ページ、「Capture the Flag」に今年も日本チームが出場)
