はじめに
こんにちは、PSIRTの湯浅です。2024年の11/14~11/15にかけて開催された国際的な情報セキュリティカンファレンスであるCODE BLUE 2024にPSIRTから8名参加してきました。
本記事では、私がツール発表を行ったCyberTAMAGOとPSIRTメンバーが特に印象に残った発表・ワークショップを紹介します。
CyberTAMAGO
CyberTAMAGOはサイバーセキュリティに関するツールや、ツールのアイデアを持ち寄り共有し合い、より良いツールにしていくためのディスカッションを行うワークショップです。
Cyber TAMAGO は、サイバーセキュリティに関わるツール、ツールのアイデアを持ち寄り「いいね」を送り合い、日本のセキュリティに関わる人材が、世界中で行われているツール発表イベント(BlackHat ARSENAL、 CODEBLUE Bluebox) に送り出したいという思いからスタートしました。 「アイデアはあるがツール化できていない」 「ツールを作っているけど公開したことがない」「Githubでソースコードは公開しているが発表したことがない」こんな TAMAGO を世に送り出します。 似たようなツールに関する仲間とのパネルディスカッション形式で、ツールの紹介、お互いのツールに対するディスカッションを行います。アイデアを中心にして、参加者の得意なスキルを持ち寄ってハッカソンを行ったり、コラボレーションも企画します。
BlackHatのArsenalやCODE BLUEのBlueboxなどセキュリティツールの発表を行う場はあるものの、そのような場は選考がとても厳しく、プロダクションレベルの完成度の高いツールしか発表が行えません。そのため、CyberTAMAGOのようなアイデア段階、PoC段階のツールでも発表が行え、フィードバックがもらえるイベントはツールをより良いものにしていくためにとても貴重な場だと考えています。
また、発表者はかっこいいバッジをもらうことができます。
Prompt Hardenerの発表
今回は私が開発しているPrompt Hardenerというツールについて、CyberTAMAGOで発表を行いました。
Prompt HardenerはLLMを活用したアプリケーションをプロンプトインジェクションを介した攻撃から守るために、システムプロンプトの記述方法を工夫するシステムプロンプトの堅牢化という手法に基づいています。LLMアプリの開発者はPrompt Hardenerを用いることで、手軽にシステムプロンプトの安全性を評価し、システムプロンプトをより安全なものに改善できます。
Prompt Hardenerの発表は1つ目のセッションの最初の発表だったこともあり、たくさんの方に聴いていただけて良かったです。
CyberTAMAGOは各セッションごとに2つ、または3つのツールの発表者が同時に発表用のテーブルに座り、順番に発表していくスタイルが取られていました。Prompt Hardenerの発表の後には、同じくLLMに関するセキュリティツールであるMatrix Prompt Injection Tool (MPIT)の発表がなされていました。
MPITはプロンプトインジェクションによる攻撃を自動化するためのツールであり、情報漏洩・SQLi・RCEなどに関するテストを行うことができます。プロンプトインジェクションのテストペイロードをいくつかの部品に分割し、各部品でテスト用のテキストを用意しておき、組み合わせを作ってテキストを連結することでテストペイロードを生成します。全ての組み合わせ数は膨大になってしまうので、事前の調査により成功しやすいものだけを厳選しているようです。MPITはPrompt Hardenerによるシステムプロンプト改善後にプロンプトインジェクション耐性を評価するためにも活用できそうなツールであり、開発者の方々とは今後も是非連携していきたいです。
その他の発表
その他のセッションでは以下のツール発表がありました。
- RDAP (Registration Data Access Protocol) 情報の逆引きを可能にするツール
- ログ分析を簡単に行うためのツール
- フィッシングハンターを支援するためのツール
- 意味解析が可能なGitHub ActionsのSASTツール
- API Gatewayのセキュリティ用プラグイン
- メッセージングアプリのプライバシーを保護するための暗号化手法
- サイバー攻撃の擬似体験によるセキュリティトレーニングツール
- 音声による指示が可能なペネトレーションテスト支援ツール
CyberTAMAGOのコンセプトに沿ったアイデア段階やPoC段階のツールもあれば、ドキュメントが整備されていて完成度が高いツールもあり、セキュリティツール開発者としてツールの見せ方やプレゼンテーション方法で学べることがたくさんありました。
発表・ワークショップなど
CODE BLUE 2024では興味深い発表やワークショップがたくさんありましたが、PSIRTメンバーが特に印象に残ったものをピックアップして紹介します。
Hacking Google - Lessons learned running and growing an internal red team
レッドチームとペネトレーションテストの目的の違いや、攻撃シナリオのポイントなど、攻撃者視点に立つことの有用性などを改めて認識できました。 また、大切なポイントとして挙げていた他チームとの連携や信頼、多様なチーム作りなどはレッドチーム以外にも当てはまる部分が多く、とても勉強になりました。
SBOM and Security Transparency - How it all fits together
SBOMとは何かの基礎的な部分からはじまり、とてもわかりやすいセッションでした。 また、セキュリティにおける透明性の重要さや不要に心配しないための情報活用、VEXというアドバイザリ形式の紹介、 実際にSBOMを運用していくうえでの考え方や将来性についても語られていて、内容が盛りだくさんでとても勉強になりました。
SecuriTTX for Everyone (Tabletop Exercise)!
インシデント発生時、「誰にいつ、何を報告すべきか」を仮想の企業でのシナリオを通じて学びました。 報告するタイミングや内容はその会社の体制だったり、ルールで変わるため社内での訓練の重要さを再認識しました。
Android Security Hacker's Guide
Androidにおけるセキュリティ的な観点について学ぶことができる非常に有益なワークショップとなっていました。 説明だけではなく実際にハンズオンアプリによるデモもあったため、攻撃の仕組みをより深く理解できました。 また、問題を検出する上で有益なツールについても紹介されており学びが多かったです。
スポンサーブース
いずれのブースでも、ソリューション紹介はもちろん、実際のお悩み相談や意見交換などが活発に行われていました。 セキュリティに取り組む中で孤独を感じることが少なからずありますが、共感いただける仲間の多さや横の繋がりを心強く感じる場となりました。
おわりに
全体を通してセキュリティに関する多様なテーマの発表・ワークショップがあり、普段のPSIRTの業務では触れられていない領域の最先端な話題についても知ることができました。CODE BLUE 2025も是非参加したいです。
Cy-PSIRTでは一緒に働く仲間を募集中です!ご興味のある方は以下をご覧ください。