■開催概要
- 名称:Hack Fes. 2023
- 日程:2023年7月22日(土)
- 時間:13:00〜18:00(受付会場 12:30)
- 会場:浅草橋ヒューリックホール&カンファレンス
〒111-0053 東京都台東区浅草橋1丁目22−16 ヒュー リック 浅草橋 ビル - 形式:対面開催(オンライン配信は行わない)
- トラック数:メイントラック×1、サブトラック×1
- 参加人数:130名程度
- 参加費:2000円
チケット販売にはYahoo! Pass Marketの利用 - 事前登録:Yahoo! PassMarket
- 主催・運営:日本ハッカー協会
- 協賛企業:株式会社ブロードバンドセキュリティ
- 問い合わせ先:info hacker.or.jp
■Hack Fes. とは
「Hack Fes. 2023」はセキュリティ・エンジニアを対象にした対面開催限定のイベントです。専門知識を学んだり、スキルを磨いたりする場であるとともに、新型コロナ禍により失われた参加者同士が直接交流できる場を提供することを目的としています。
イベント名をFes.(フェスティバル)とすることで、堅苦しいお勉強イベントではなく、多くの人が集まることで生まれる「お祭り感」や「ワクワク感」そして「楽しさ」といった雰囲気を、参加者とともに作っていきたいと考えています。
テーマ:I ♥ InfoーSec
セキュリティ業界を見渡すとエンジニアとして働きながら、プライベートでCTFに挑戦するなど、(よい意味で)公私共々にセキュリティにどっぷり浸かっている人たちがいます。今回は、セキュリティ業界で活躍する方々にご登壇いただき、講演とパネルを通じて、ハッキングのスキルを仕事や趣味にどのように活かしているのかを語っていただきます。
■プログラム
●メイントラック(講演会場)
| 12:30〜 | 開場 |
| 13:00〜13:05 | オープニング(5min) |
| 13:05〜13:20 | ハッカー協会紹介(15min) |
| 13:20〜13:25 | 移動・休憩(5min) |
| 13:25〜14:10 | 『バグ狩り物語』(45min) 馬場 将次(mage) |
| 14:10〜14:20 | 休憩(10min) |
| 14:20〜15:05 | 『Career Path for Reverse Engineers』(45min) 中島将太(ぴんく) |
| 15:05〜15:15 | 休憩(10min) |
| 15:15〜16:00 | 『仕事:セキュリティ、趣味:セキュリティ。』(45min) のみぞう |
| 16:00〜16:10 | 休憩(10min) |
| 16:10〜16:40 | スポンサー・セッション『業界未経験から脆弱性診断するまでの道のり』(30min) 佐藤 竜 |
| 16:40〜16:45 | パネル準備(5min) |
| 16:45〜17:55 | パネルディスカッション「I ♥ InfoーSec」(70min) パネリスト:馬場 将次(mage)、中島将太(ぴんく)、のみぞう 進行:園田 道夫 |
| 17:55〜18:00 | クロージング(5min) |
●サブトラック(ワークショップ会場+スポンサーブース他)
| 13:00〜 | 開場 |
| 13:25〜14:10 | 『入門 Tsurugi Linux』(45min) アドリアン・ヘンドリック(unixfreaxjp) |
| 14:10〜14:20 | 休憩(10min) |
| 14:20〜15:05 | 『ITの仕組みを知ろう』(45min) 三村 聡志(親方) |
| 15:05〜15:15 | 休憩(10min) |
| 15:15〜16:00 | 『ハッカー的なことを仕事にする時に ~自分が何が好きで得意でカネを稼げる?』(45min) 宮本 久仁男(wakatono) |
| 16:00〜16:10 | 休憩休憩(10min) |
■講師・講演概要(敬称略)
●メイントラック(講演)
『バグ狩り物語』(13:25〜14:10)
今は昔、セキュリティとは縁のない、Webデザイナーの若者がおりました。その若者は、ひょんなことからハッキングコンテスト「CTF」という競技に出会い、さらには現実世界のWebアプリケーションやソフトウェア製品等の脆弱性を発見する喜びを知りました。その傍ら、企業にWebサイトや製品の脆弱性を報告することで報奨金を得られる制度「バグバウンティ」が世に広まり、その若者もこの制度のおかげで脆弱性報告により報奨金を得られるようになりました。それらの活動が高じ、今ではとあるセキュリティ企業に属してWebペネトレーションテスト等を担うセキュリティエンジニアとなり、世間からは脆弱性<セキュリティ侵害を引き起こすバグ>を発見する<狩る>狩人「バグハンター」と呼ばれるようになりました。これは、あるWebデザイナーの若者が、セキュリティエンジニアないしはバグハンターのおっさんへと至るにあたり、何を見てきて、何を行ってきたのか、そして「バグハンター」に何を想うのかを語る物語───。
・氏名:馬場 将次(mage)
・Twitter: mage_1868
・所属:GMOサイバーセキュリティ byイエラエ株式会社
・プロフィール:GMOサイバーセキュリティ byイエラエ株式会社に在籍。シニアセキュリティエンジニアとして、主にWebペネトレーションテスト、通常のWeb診断から外れた高度な診断(手動ベースのソースコード診断等)を担っています。プライベートではバグバウンティにも取り組み、数々の脅威度の高い脆弱性を報告しています。業務プライベートを問わずこれまで発見した脆弱性の件数は数百件にのぼります。元々はWebデザイン、システム開発等を担うエンジニアでしたが、ハッキングコンテストCTFの出会いにより、セキュリティ業界に足を踏み入れました。
『Career Path for Reverse Engineers』(14:20〜15:05)
本講演では、逆アセンブリ、デバッギング、パッチ作成などの技術を活用するリバースエンジニアリングという技術分野に焦点を当てます。特に、リバースエンジニアのキャリアパスについて深く掘り下げ、どういった職業なのかを説明します。始めに、リバースエンジニアリングの基本的な技術とその応用について概説します。それから、私自身のキャリアに焦点を当て、とくに自分自身が従事しているマルウェア解析分野の仕事内容、必要な技術、習得方法について詳しく説明します。最後に、リバースエンジニアに求められる素養について、まとめます。本講演は、リバースエンジニアリング分野に興味がある人や初心者にとっては、自分自身のキャリアパスを探るための興味深いガイドになります。
氏名:中島将太(ぴんく)
Twitter:@PINKSAWTOOTH
所属:株式会社サイバーディフェンス研究所
プロフィール:株式会社サイバーディフェンス研究所でマルウェア解析、インシデントレスポンス業務、脅威情報の収集・分析業務に従事。技術系同人サークルAllsafeのプロデューサー。 JSAC、HITCON CMT、AVAR、CPRCon、Black Hat EUROPE Arsenal、CodeBlue BlueBoxなどで発表経験あり。
『仕事:セキュリティ、趣味:セキュリティ。』(15:15〜16:00)
こんにちは、趣味でセキュリティをやっている者です。社会に出てからずいぶん長い時間をセキュリティとは関係のない仕事に費やしてきました。しかし、とある事件をきっかけに仕事の軸足がセキュリティになり、今ではセキュリティ芸人として活動しています。
セキュリティ芸人を名乗っているのは世の中にしっくりくる肩書が存在しなかったからですが、いつかみんながセキュリティを意識しなくても安全な世界になるといいなと思いながら、文章を書いたりイベントやったり開発したり発表したりしています。
このフェスにお越しくださる方は、セキュリティを仕事にしている方やセキュリティを仕事にしたいと思っている方が多いと思います。今の時代、セキュリティと無関係に生活できる人はほとんどいないと思われますが、それを仕事にするということはどういうことなのでしょうか。もっといえば、趣味を仕事にすることは本当に幸福なのでしょうか。私の奇妙な経歴と今やっていることを通して、セキュリティを仕事にするために必要なことをお話できればと思います。
・ハンドル:のみぞう
・Twitter:@nomizooone
・所属:フリーランス
・プロフィール:趣味でセキュリティをやっている流しのサイバーセキュリティ芸人。デザイナーとしてキャリアをスタートさせたものの、プリセールス・開発・ヘルプデスク・マーケティングなど軸の定まらない社会人生活を送る。幸か不幸か某SaaS企業で大規模インシデントを経験し、流れでセキュリティ担当になったことがきっかけで仕事もセキュリティになった。CTFと謎解きを組み合わせたナゾトキCTF(https://7colors.nazoctf.com/)の開催や2時間でハッキング体験ができる本など、セキュリティを楽しく身近にするキャッチーで愉快なアウトプットを生み出すことをライフワークにしている。
スポンサー・セッション『業界未経験から脆弱性診断するまでの道のり』(16:10〜16:40)
私は未経験から脆弱性診断を仕事にしました。情シスからどういったことがあってこの仕事をするまでに至ったかをお話します。
・氏名:佐藤 竜(さとう りょう)
・所属:株式会社ブロードバンドセキュリティ セキュリティサービス本部
・プロフィール:
■経歴
-2014年:新卒として1社目入社(IT人材派遣として社内SEを実施)
-2017年:2社目入社(IT人材派遣としてシステム開発・テクニカルサポートを実施)
-2019年:株式会社ブロードバンドセキュリティ入社
■担当業務
-Webアプリケーション診断
-NW診断
-スマートフォンアプリ診断
-ペネトレーションテスト
■実績など
-2021年 日経インタビュー記事
-2023年 ハッキング箇所ドラマ監修 さらば、銃よ 警視庁特別銃装班
-2023年 ハッキング箇所ドラマ監修 CODE-願いの代償-
-CVE数件取得
■趣味
-ゲーム、読書、散歩、料理、ヘルシー
パネルディスカッション『I ♥ InfoーSec』(16:45〜17:55)
・パネリスト:馬場 将次(mage)、中島 将太(ぴんく)、のみぞう
・進行:園田 道夫(日本ハッカー協会)
セキュリティ業界を見渡すとエンジニアとして働きながら、プライベートでCTFに挑戦するなど、(よい意味で)公私共々にセキュリティにどっぷり浸かっている人たちがいます。登壇者が歩んできた道はそれぞれですが、共通するのは「セキュリティが好きすぎる」という点です。「好きこそものの上手なれ」という言葉がありますが、実際のところはどうなのか? ハッキングのスキルを習得したい・磨きたい・仕事を活かしたいと考えている来場者の視点から探っていきます。
●サブトラック(ワークショップ)
『入門 Tsurugi Linux』(13:25〜14:10)
Tsurugi Linuxは、DFIR(デジタルフォレンジック・インシデントレスポンス)などの活動をサポートするためにカスタマイズされたLinuxディストリビューション。Ubuntuをベースに、マルウェア解析やOSINT(オープンソース・インテリジェンス)などのツールが多数インストールされています。このワークショップは、はじめてDFIRの世界に触れる方などを対象に、Tsurugi Linuxの概要を紹介し、その上で、初級のCTF問題に挑戦していただきます。受講される方は、以下に記載したTsurugi Linuxの仮想マシンが実行できる環境をあらかじめご用意ください。
ダウンロードサイト:https://tsurugi-linux.org/downloads.php
・tsurugi_linux_2023.1_beta_vm.ova(Release date: 07/01/2023)
(お詫びと訂正:当初、受講者の方が用意する環境にLive起動可能なtsurugi_acquireを含めていましたが、本ワークショップでは対応しておりません。上記の仮想マシンをご用意ください)
・氏名:アドリアン・ヘンドリック(unixfreaxjp)
・Twitter:@unixfreakjp
・所属:株式会社ラック、サイバー救急センター(Cyber Emergency Center)、マルウェア解析エンジニア
・プロフィール:コンピューターサイエンスで修士号を取得した後、UNIXシステム開発の仕事に従事。2001年より、アンチウイルスベンダーでサイバーセキュリティのマルウェア解析の業務を開始。個人の活動では、LinuxやIoT系マルウェアの研究を続けており、IoTマルウェアのMiraiをはじめ、新たなLinuxマルウェアも多数発見している。Linuxバイナリ解析、セキュリティキャンプやSECCONなどで、Linuxフォレンジックなどをテーマにしたワークショップの講師も務めている。
『ITの仕組みを知ろう』(14:20〜15:05)
IT技術の初歩の初歩をテーマに、実際に手を動かしてコンピュータやネットワークがどう動いているのかを紐解きます。 大学のコンピュータアーキテクチャの初歩のレベルを内容として取り扱います。
用意するもの: Tsurugi Linux の VM (『入門 Tsurugi Linux』と同一)
・氏名:三村 聡志(親方)
・所属:GMOサイバーセキュリティ byイエラエ株式会社
・Twitter : @mimura1133
・プロフィール:ハードウェアの脆弱性診断を本業で取り組みつつ、ITによる「オモロー」を自分含めたいろんな人が体験できるように日々活動中。 落語と風呂が趣味。
『ハッカー的なことを仕事にする時に ~自分が何が好きで得意でカネを稼げる?』(15:15〜16:00)
Hack Fes.のようなイベントで行われるワークショップ/演習は、どうしてもコンピューターやネットワークといったものを使い、何かを成すようなイメージがありますが、このハンズオンではそれらのものは(あえて)使いません。 ここでやる(やっていただく)ことを想定しているのは、「自分自身のハッキング」です。といっても、みなさんの身体を義体化したり、暗示をかけて潜在能力を引き出すようなことはいたしません(し、できません)。 日本ハッカー協会の目的は「日本のハッカーがもっと活躍できる社会を作る」ことです。社会を作るのはちょっと時間がかかりますが、そんな社会ができた時に、自分の活動の幅を広げておけば、活躍する機会はより広がります。 ここでは、そんな「活動の幅を広げる」きっかけになるような、自分を自分でハッキングする「前」の「自分自身の調査」に焦点を当ててみます。
・氏名:宮本 久仁男(wakatono)
・Twitter:@wakatono
・所属:日本ハッカー協会 理事
・プロフィール:(株)NTTデータグループのCSIRTで、日々インシデント対応をしております※。 趣味でセキュリティを手掛けはじめて、気がついたら20年以上。 職歴で言ったら、システム開発業界に30年以上、セキュリティ15年以上。やっと業務歴の半分(期間)がセキュリティ関連になりました。 大半興味、時々業務上の必要から、学位とか資格とかも取ってます。 同じく大半興味、時々業務上の必要から、論文書いたり発表したりしてます。
※なお、本日のセッションは、個人の取組になります。会社の名前を出してるのは、隠してもバレるから。
追記:2023年07月24日 宮本理事の厚意でワークショップのファイルをアップロードさせていただきました!
HackFes2023_wakatono_for_publish
■その他の催物
●ギークステッカー交換会
国内外のカンファレンスなどに参加して手に入れたギークなステッカーを皆で持ち寄り交換してみませんか?
【ルール】
テーブルに広げてあるステッカーの中から1枚、お好きなものを進呈いたします。
複数のステッカーが欲しい方は、あらかじめ、ご自身でステッカーをご用意いただき、会場で交換してください。1枚ご提供いただくごとに1枚ゲットできます。
お持ちいただくステッカーの種類は問いませんが、国内外のIT系カンファレンスや展示会などで入手したものを想定しています。
進呈する1枚に加え、各自最大4枚まで交換することが可能です(合計5枚まで)。
なお、「日本ハッカー協会」のステッカーは参加者全員に配布していますので、交換対象外とさせていただきます。
●PC技術書・ハッカー関連書籍交換会
読んで役に立ったPC技術書や、強く印象に残ったハッカー関連の書籍などを、皆で共有してみませんか? 用済みになった本を処分する場ではありません。他の人に読み継いでほしいと思うものをお持ちください。
【ルール】
本に対する思い入れは人それぞれです。そこで本交換会では、ハッカー協会理事が本の鑑定人を務めます。
鑑定の基準は次のようになります。技術解説書(OS・ネットワーク・プログラミングなど)は、発行から3年以内のもの(2020年発行以降)が対象となります。また、技術解説とは関係しないハッカー関連の読物などについては発行年を問いません。
書き込みや傍線、ページの折り曲げなどは許容されますが、一部のページが切り取られた本などは交換の対象外となります。
紙の焼けや多少の汚れなども許容されますが、お持ちいただく前には簡単な掃除をお願いします。
上記の鑑定基準に従い、お持ちいただいた本は「Aグレード」と「Bグレード」に分類されます。
「Aグレード」:最新の技術書、人気ある技術分野の解説書、一定の評価を受けた技術書やハッカー関連書籍など
「Bグレード」:現在では人気が下降する技術分野の解説書、あまり人気のないハッカー関連の書籍など
グレードの判定は鑑定人が行います。判定結果に同意いただいた方が交換できます。
交換は同じグレードの本の間で行われます(例:Aグレードの本をお持ちいただいた方は他のAグレードの本と交換可能)。
交換できるのは、1人につき1冊までです。ただし、上下巻などに分かれるものは、2冊で1冊とカウントします。
本を入手する手段は交換のみとします。購入はできません。
■参加登録
チケットは6月24日(土)14時よりYahoo! PassMarketにて販売開始
注:ワークショップ会場は座席数に限りがありますので「事前申込み制」とさせていただきます。申込みは開催当日、会場受付にて先着順で行います。ワークショップの受講をご希望の方は早めにご来場ください(開場12:30〜)。
受講できるワークショップの数に上限はありませんが、1回の受付でお申し込みいただけるワークショップは1つに限定させていただきます。複数のワークショップを受講される場合は、受付終了後に再びに列にお並びいただく必要があります。ご不便をおかけしますが、ご理解いただくようお願い申し上げます。
■会場案内
■協賛企業
