8/5～8/10にラスベガスで開催されたBlack Hat USA、及びDEF CONに参加してきました。海外出張は初めてということもあり緊張していましたが、なんとかトランジットや入国審査で別室送りになることもなく、無事に成果を持ち帰ることができました。

ラスベガスはジメジメしてはいないものの、日中は44℃の猛暑です。かなり警戒していったのですが、各ホテルが連絡通路で接続されているため、ほとんど直射日光に焼かれることがなく生活することができました。歩数計毎日2万歩程度に達したものの、とにかくバーガーやピザが主食だったせいか、やや太って帰ってきました。

Black Hat USA概要

Black Hat USA 2023

今回の記事では7～8日で受講したトレーニングをかいつまんで紹介します。トレーニングはかなりの数が存在するのですが、現在携わっているWeb診断や、社内業務にも関連してくるクラウドの講義を選択しました。

受講したトレーニングの概要

Hacking Cloud Infrastructure 2023 2 Day Edition

クラウドのトレーニングは人気も高く、いくつも開催されているのですが、NotSoSecure社が提供のこちらのトレーニングではAWS/GCP/Azureをはじめとし、クラウド全般の攻撃アーキテクチャを学習する内容になっています。クラウド環境の攻撃テクニックや観点を学び、演習を通じて学習していく形式です。4Daysエディションも存在し、そのコンテンツを2日にギュッとまとめているため、テンポよく進んでいくのが特徴です。

弊社では過去にもNotSoSecure社の別カリキュラムのトレーニングを受講していたことも決め手となりました。

事前に講義資料が配布され、トレーニング終了後も1ヶ月ほど演習環境で試せるように工夫されていたため、置いていかれる心配がなく演習を進めることができました。4日分の資料のため、一部駆け足になったり飛ばす箇所もありましたが、ある程度知識がある方ならテンポよく進んでいく2Day Editionのほうが快適に進められるかもしれません。

Day1

• Introduction to Cloud Computing
• Enumeration of Cloud Environments
• Gaining Entry Via Exposed Services

• Attacking Storage Services (AWS, Azure, GCP)
• Azure Section

Day2

• AWS Section
• GCP Section

• Post Exploitation
• Containers As a Service and K8S Exploitation
• Bonus Exercises During Extended Lab Period

トレーニングの簡単な紹介

Introduction to Cloud Computing

クラウド全般の基礎的な知識の解説です。オンプレとの比較や、各種仕組みの解説がありました。

Cloud Shared Responsibility Model

クラウドでは利用者とクラウド事業者で責任を持つ範囲がサービスごとに変化してきます。例えば、AWS LambdaのようなFaaSでは、OSの管理をクラウド事業者が行ってくれます。単純な利用料金だけではなく、運用やセキュリティアップデート等の工数も観点に入れてクラウド利用を検討する必要があります。また、適切なセキュリティ対策においては、自分の責任箇所やサービスの アタックサーフェスを理解して置くことも重要です。

Azureの例：https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility

The Metadata API

クラウドサービスでは、特定のIPアドレス(169.254.169.254など)にアクセスすることで、環境情報等のメタデータを得られるMetadata APIが提供されています。便利な一方で、IAM等の認証や攻撃に有用な情報が取得できるものも存在しています。クラウド事業者側もカスタムヘッダを必須にするなど、SSRF対策を実施していますが、利用者としても攻撃者がMetadataAPIにアクセスできないように注意が必要です。

Enumeration of Cloud Environment

OSINTやAPI応答などを用いて、攻撃に有用な情報を列挙(Enumeration)する手法の紹介です。攻撃の準備段階に実施されることが多いです。

• 誤って公開されている機密情報や認証情報を探す
• 認証関連のAPIの挙動の違いから、ユーザー名を列挙する

• サブドメインを列挙することで、隠されたサービスや攻撃可能なサイトを探す

トレーニグとは無関係ですが、弊社ブログでもサブドメイン調査に関する記事が公開されていますのでぜひ御覧ください。

ドメインやサブドメインを調査する話（前編） | 調査研究/ブログ | 三井物産セキュアディレクション株式会社 (mbsd.jp)

Gaining Entry Via Exposed Services

Enumeration of Cloud Environmentの方法で発見したサブドメインの演習サイトに対し、様々な攻撃手法で検証を実施しました。攻撃にはパストラバーサルやXXE、SSRFといった従来からよくある脆弱性を利用する一方で、取得する情報はMetadata APIやクラウドデータベース、環境変数といった少しオンプレとは違う観点も必要となります。

Attacking Storage Services (AWS, Azure, GCP)

AWS S3/Azure Storage/Google Cloud Storageといった、データを格納しているストレージに対する攻撃観点の紹介です。従来のWebアプリケーションとは異なり、セキュリティポリシーや使用方法の誤りが重要な観点となります。トークンや権限の取り扱いを誤ると、機密情報の流出等に繋がります。

Azure/AWS/GCP

各クラウドには固有の観点が存在します。セキュリティに関係するところは特に詳細な理解が必須です。

• クラウドごとに異なるセキュリティポリシーの仕組みやルール

• Shadow Adminsとも呼ばれている、一見重要度が低そうに見えて、機密情報や特権昇格につながるような権限の紹介
• AWS CognitoやAzure Active Directoryといった認証機構の取り扱い不備（ゲストIDや、トークンの権限）

Post Exploitation in Cloud

攻撃者がクラウドに侵入したあとの横展開や、情報収集の手法の紹介です。オンプレと同様の方法のほか、スナップショットから情報を抽出する手法や、バックドアを設定する方法についても解説や演習を実施しました。

また、手作業での調査は手間がかかるため、トレーニングを実施したNotSoSecure社では自動調査ツールをオープンソースで公開しています。

https://github.com/NotSoSecure/cloud-service-enum

Containers

クラウドとDockerを始めとするコンテナ技術は相性がよく、様々な形で活用されています。驚異やアタックサーフェスの把握の他、設定ミス等を機械的に調査できるDockle等のスキャンツールをCI/CD上で設定するといったミスを減らす工夫も重要です。

終わりに

クラウドやツールに対する知識が重要となるトレーニングだったので、回答付きの演習は非常に進めやすいものでした。私も勉強会のライトニングトークや社内の講師で登壇する機会がありますが、事前配布資料+事後の回答資料の形式が使いやすい場面もあり、講義づくりに活かせればと考えています。

また、トレーニングではセキュリティポリシーやトークンの取り扱いなどクラウド独特の観点・知識を勉強できたとともに、現在弊社で実施しているWebアプリケーション診断の重要性も再確認することができました。従来からある脆弱性は引き続きクラウドへの侵入経路となるため、Webセキュリティの要として現在の技術を磨き続ける必要があります。

悔しかった点としては、スライドに沿って解説をしていく場面の英語は聞き取りやすいのですが、受講生の質問や脇道にそれた雑談、なまりのある英語で聞き取れない箇所がかなりありました。部屋によっては反響して聞き取りにくいといった側面もありましたが、交流の機会でもある海外カンファレンスをより活用するためにも、技術とともにリスニング・スピーキングの練習も続けていかなければと感じました。

また、トレーニング外のブリーフィングでも興味深い講義や最新の情報がありました。例年と同様であればしばらく後にYouTubeで公開されるため、ぜひ気になるブリーフィングを視聴してみると現場の雰囲気が伝わるかと思います。一方で、多くの人が集まる現地でないと感じられない熱気や、海外のビジネスの場を感じられる非常によい経験となりました。

現在は学んだことを起点にクラウドや英語の勉強のほか、12月の健康診断に向けてハンバーガーで太った分の減量に努めています。結果は……私と出会ったときに是非聞いてください。

以上、Black Hat USA 2023のトレーニングレポートをお送りいたしました。