昨日の10/30にCODE BLUE 2019に参加してきました、会場スタッフ側のピン村です。簡単＆雑ではありますがまとめてきました。

CODE BLUEって？

CODE BLUEとは、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議です。（公式サイトより）
なお、筆者は情報セキュリティに精通しているわけでもないただの学生なので温かい目で見ていただけると幸いです。

渋谷の住友不動産ビルが会場でした

会場は渋谷区の"住友不動産渋谷ガーデンタワー"。1FとB1が会場でした。
会場内ではワークショップやプレゼンテーション、講演が所狭しに行われていました。

会場の様子。暗めの空間に青い照明がサイバーっぽいです。

---

講演の様子

このカンファレンスは講演がメインなのでもちろん私も講演を聞いてきました(理解できるかは別)。
日本語以外の言語で話される中、私は頑張りました。(←実は同時通訳がある)

講演"ハッカーの技を使って対抗する方法　Gavin Reid氏"

ハッカー（ブラックハット）が使用する手法と、その攻撃がどのように収集、分析されSOCで用いられているのか具体的に示してくれた。

Workshop"狙われる医療機器 ~リマースエンジニアリングを用いた医療機器の脆弱性の特定~

医療機器の脆弱性ついてMedigateの社員の方の講演。
医療機器のサイバーセキュリティが一般的なサイバーセキュリティとは異なっていることをもとに、
医療現場で実際に用いられている医療機器(血糖測定器)を例にリバースエンジニアリングと脆弱性の特定について論じた。

講演の中で医療機器のセキュリティにおける問題点として、
・医療機器開発にセキュリティの専門家が関与していない
・脆弱性を発見してからパッチが出るまで時間がかかる
・ファイアウォールやウイルス対策ソフトが使えないことがある
・製品の寿命が長いので古いものが長く使われ、脆弱性が長い間放置されている
・医療業界では機器の可用性が最優先されることが多く、完全性、機密性がないがしろにされがちである
などあげた上で、解決策として
・セキュリティの専門家を開発の全ての工程に参加させる
・通信部と測定部を分けることでセキュリティにおける取り回しをよくする
・標準化を行う
と提案していた。

講演"なぜクリックするか：攻撃者は説得の原則を利用し実行を成功させる　Joshuna Miller氏"

フィッシング詐欺などのネットワーク詐欺について攻撃におけるアプローチから攻撃後の処理において用いられている説得の６原則を用いている。
その６原則について具体的な説明を交えてなぜ人々は引っかかってしまうのか、そして対策について示された。
6原則とは、「好意」「返報性」「社会的証明」「約束と一貫性」「権威」「希少性」である。
「好意」を用いられて行われる攻撃に"ロマンス詐欺"がある。
インターネット上で知り合った相手と恋人や結婚相手になったようにふるまって金銭を得る詐欺である。
　攻撃者は言葉巧みに目標を信じ込ませる。攻撃をより確実なものにするためにグループで弁護士役や友人役を演じてだますこともある。
モノや情報に「希少性」を持たせることで、人々は元の価値以上に錯覚してしまう。
詐欺ではないが、身の回りには希少性を持たせることで利益を得ようとしているものがあるだろう。
「期間限定」「数量限定」「世界に〇〇台(個)」などと謳っているのは商品に希少性を持たせるためであるのだ。
「権威」を利用することで人は説得されやすい。
例えば企業での業務中に突然ある顧客から、〇〇のデータが必要だから今すぐよこしてくれ！ とメールが来たとする。
このメールが偽物であったとすると、返信したら企業の情報漏洩になってしまう。
この場合の権威は自分より立場が上である「顧客」であり、さらに「今すぐ」と制限をつけることでその指示や相手が正当なものなのか判断できなくしている。
そしてそれらの攻撃の対策として社員、メンバーへの詐欺に対するトレーニングで、企業であれば業務分科を挙げていた。

講演会場の写真。さらに左右にプレゼンスライドが表示されててかなり広かったです。

---

感想

まとめてみたものの、これはわかる人がいるのだろうか... すごく解りにくい説明になっている気がしますね...　やはり私自身が理解しきれていないのが問題ですね。もったいないです。
CODE BLUEの講演を聞いて思ったのは内容の難しさもそうですが、英語がわかればもっと楽しめたなと思った。