イベント ニュース ハッカー

Hack Fes. 2024

更新日:

■開催概要

・名称:Hack Fes. 2024
・日程:2024年7月20日(土)
・時間:【カンファレンス】10:00〜17:40(受付開始 9:30)
    【ネットワーキング(NW)パーティ】18:00〜19:40(開場 17:30)
・会場:秋葉原UDX
〒101-0021 東京都千代田区外神田4丁目14-1
    【カンファレンス】UDX Conference(6F)
    【NWパーティ】UDX Gallery(4F)
・形式:対面開催(オンライン配信は行わない)
・トラック数:メイントラック×1、サブトラック×1
・募集人数:【カンファレンス】300名(予定)
【NWパーティ】150名(予定)
・参加費(税込):【カンファレンスのみ】4,000円(予定)
         【カンファレンス+NWパーティ】10,000円(予定)
・事前登録:Yahoo! PassMarket(6月1日 12:00より販売開始)
・協賛企業:株式会社ブロードバンドセキュリティ
      SCSKセキュリティ株式会社
      株式会社CEL      
・主催・運営:日本ハッカー協会

・お問い合わせ:https://www.hacker.or.jp/contact-us/

■Hack Fes.とは

「Hack Fes. (ハック・フェス)」は、2023年から開始された、セキュリティ・エンジニアを対象にした対面開催限定のイベントです。専門知識を学んだり、スキルを磨いたりする場であるとともに、参加者同士が直接交流できる機会を提供することを目的としています。
Fes.(フェスティバル)というイベント名を選んだのは、堅苦しいお勉強のイベントではなく、多くの人が集まることで生まれる「ワクワク感」や「楽しさ」を共有し、参加者とともに「お祭り」を作り上げていくことを目指しているからです。

■テーマ:AIとハッカー

AI技術の進化は、サイバー攻撃を仕掛ける側と防御する側の双方に大きな変化をもたらします。今回のイベントでは、AIをテーマに調査・研究を行っているセキュリティエンジニアの方々に登壇いただき、その成果や知見などを共有していただきます。

■講演者募集(Call for Presentations)

Hack Fes. 2024では「サイバーセキュリティ」に関するテーマで講演者を募集します。下記リンクの文章をお読みいただき、専用フォームからご応募ください。

Hack Fes. 2024 講演者募集(Call for Presentations)について 

■プログラム

●メイントラック(講演)

『LLMのセキュリティ・リスク』

Llama3やChatGPTに搭載されているGPTなどの大規模言語モデル (LLM) が普及し、多くの個人や組織が業務効率化のためにこれらを活用している。さらに、FlowiseやLangChainなどのLLM連携ツールの登場により、WebアプリケーションやDBMSと統合したLLMアプリケーションも増加している。LLMやLLMアプリケーションは有用であるが、OWASP Top10 for LLM Appsにも示されているように、LLM特有の脅威も存在する。LLMやLLMアプリケーションの利用者、開発者、運用者がこれらの脅威を十分に理解していない場合、情報漏えいやデータの改ざん、システムの乗っ取りなど、重大なセキュリティ・インシデントを引き起こすリスクがある。そこで本講演では、LLMを安全に扱うための重要なポイントを、スライドとデモを交えて解説する。本講演は、LLMを利用する方、LLMアプリケーションの開発者や運用者、またLLM特有のセキュリティ技術に興味がある方を対象としている。

  • 氏名:高江洲 勲
  • X(Twitter):@bbr_bbq
  • 所属:三井物産セキュアディレクション株式会社
  • プロフィール:情報処理安全確保支援士。CISSP。
    AIセキュリティに着目し、機械学習アルゴリズムの脆弱性に関する研究や、機械学習を用いたセキュリティタスク自動化の研究を行っている。研究成果は、世界的に著名なハッカーカンファレンスであるBlack Hat Arsenal (ASIA / USA / EURO) やDEFCON Demo Labs / AI Village、CODE BLUE、AV Tokyo HIVE、BSides Singapore / Tokyoなどで発表している。近年はセキュリティ・キャンプ (2019年より講師、2022年からはAIセキュリティ・クラスのプロデューサーも兼任)や国際的なハッカーカンファレンスであるHack In The BoxのAIセキュリティ・コンペティションで審査員を務めるなど、人材育成にも力を入れている。
 
『Offense for AI, AI for Offense』

本講演では、AIに対する攻撃 (Offense for AI) と、AIを疑似攻撃手段として利用するセキュリティ強化手法 (AI for Offense)について取り上げます。講演は2つのセクションに分かれており、前半ではAIシステムやそれを活用するアプリケーションがどのように攻撃されるかに焦点を当て、後半ではAI技術を用いてオフェンシブにセキュリティを実現するための手法について詳しく説明します。Offense for AIセクションでは、AIへの攻撃手法、特にOWASP Top 10 for LLM Appsにも列せられる“プロンプトインジェクション”や“安全でない出力処理の問題”を中心に扱います。また、AIに対する攻撃ベクトルとして、絵文字やアスキーアートを用いた攻撃プロンプトの研究事例や、ホモグリフを用いた新たな攻撃手法を紹介します。これに加えて、AIが関与するWebサービスやオープンソースソフトウェアの脆弱性、現実にCVE採番が行われた事例と新たに発見したパッチのバイパス手法に触れます。
AI for Offenseセクションでは、AIを利用してWebソースコードから脆弱性を発見する手法や、攻撃ペイロードの自動最適化など、AIが攻撃側のリソースとしてどのように活用され得るかを説明します。これにより、技術的な知識が限られたユーザでも環境に合わせた効率的な攻撃が可能になることが示唆されます。また、オフェンシブなセキュリティテスターの技術向上の可能性について言及します。
本講演は、AIとセキュリティの交差点における最新の動向と技術的課題を理解するための情報を提供します。

 

  • 氏名:辻 知希(Satoki)
  • X(Twitter):@satoki00
  • 所属:株式会社リチェルカセキュリティ
  • プロフィール:Webアプリケーションつんつん職人。CTFプレイヤー、バグハンターとして活動。SECCON CTF / Beginners CTFの運営メンバー、DEF CON CTF Finalsへ出場。GoogleやFirefoxを含む多数のWebサイトやソフトウェアの脆弱性を発見し報告。LLMを用いたセキュリティソリューションの開発やExploitの構築に従事し、AIチャットボット診断のための多数のJailbreak / FilterBypass手法を考案。
 
『Deepfakeを用いたe-KYCに対するなりすまし攻撃と対策の検討』

eKYC(electronic Know Your Customer)とは、改正犯罪収益移転防止法で定義されている、オンラインなどの非対面で行う本人確認手法です。口座開設やキャッシュレス決済サービスなどの本人確認で活用されており、スマートフォンで撮影した顔写真と運転免許証を用いる方式が広く用いられています。このように自分で撮影した顔写真を用いるeKYCにおいて、Deepfakeでの「なりすまし攻撃」の可能性を考え、実験を行いました。
本講演では、実験用に構築したeKYCシステムに対する、Deepfakeを用いた「なりすまし攻撃」実験について紹介します。また、eKYCにおけるDeepfake対策のあり方についての検討結果も紹介します。

  • 氏名:川名 のん
  • 所属:株式会社日立製作所
  • プロフィール:研究開発グループ デジタルサービス研究統括本部、研究者。主にセキュリティに関する研究をしており、ESGとファイナンスを起点としたデジタルサービス創生をめざしている。
 
『AIの判断と法的責任』

近年、AIの発展が目覚ましい。コンピュータは単なる計算の道具であることから卒業し、人間への助言や意思決定、知的生産を担う存在となりつつある。技術的発展が日新月歩の勢いで進む一方、それに対応する法整備は残念ながら遅々として進んでいない。今後、社会におけるAIの存在感が増すにつれ、AIの使用に起因して生じたトラブルも頻発することが予想される。関係者が民事・刑事の法的責任を問われることも増えるだろう。その際に、AI技術者はいかにして身を守るべきか。本稿では、技術者向けに伝統的な法律学の考え方を紹介した上で、どのような点を意識すべきかを論じる。

  • 氏名:平野 敬
  • X(Twitter):@stdaux
  • 所属:電羊法律事務所
  • プロフィール:法学修士(慶應義塾大学、Trinity College Dublin)。筑波大学法科大学院修了。2014年弁護士登録。東京都町田市において電羊法律事務所を開設し、所長を務める。主に著作権やインターネット、システム開発関係訴訟を扱う。著名な担当事件として、UQ WiMAX事件(2018年)、コインハイブ事件(2022年)、漫画村広告代理店事件(2022年)、技能実習生死体遺棄事件(2023年)、トレパク冤罪事件(2023年)など。

 

『スポンサーセッション:サイバーセキュリティにおけるAI:プロンプトを超えた攻防』

現代のサイバーセキュリティの分野において、AIの進化は劇的であり、セキュリティ対策に新たな可能性をもたらしています。AIは膨大なデータ分析やパターン認識に優れており、従来のセキュリティ対策では対応が難しかった脅威に対しても有効な手段となる可能性を秘めています。
しかし、一方でAIがセキュリティエンジニアの仕事を奪い、その存在価値を低下させるのではないかという懸念も生じています。AIが高度化すれば、セキュリティシステムの構築や運用を自動化できるようになり、人間の専門知識や経験が不要になるという考えです。
「はたしてAIは『セキュリティエンジニアを殺す魔法』たるか?」という問いは、一考の価値があります。
漫画『葬送のフリーレン』に登場する「ゾルトラーク現象」は、かつて特別であった技術が、優れているがゆえに研究が進み、広く利用され、新たな技術革新の土台となる過程を示すものです。AIもこの例外ではありません。初期のAI技術は特別なものでしたが、今では、ChatGPT、Claude3などの多くのツールやプラットフォームが身近で利用可能となり、効果的なプロンプトの書き方は巷に溢れ、一般化したと言えるでしょう。セキュリティの分野でもその影響は顕著です。
今回は、私自身のセキュリティエンジニアとしての経験と、セキュリティ企業の経営に関わる立場から、技術とビジネスとのギャップに着目し、持続的なAI活用に向けた方法を探っていきたいと思います。

 

  • 氏名:齊藤 義人
  • 所属:株式会社ブロードバンドセキュリティ 執行役員
  • プロフィール:Webアプリケーションを中心とした開発エンジニアを経て、官公庁および大手顧客向け脆弱性診断・ペネトレーションテストに従事。数年に亘る長期かつ大規模システムのプロジェクトマネージャを担当。複数の大学におけるサイバーセキュリティ分野の講師、企業のセキュリティ担当者向けのセミナー講師も行う。PCI DSS対応デジタルフォレンジック Quality Assuranceに従事。生成AIの利用方法として、ChatGPT、Claud3、Geminiに討論させることで時間を溶かしがち。ChatGPTは多重人格、Claud3は諦めが早い。Geminiは頑固だなと思っている。

●サブトラック(ワークショップ+講演)

『ワークショップ:CTF入門』(仮)

「CTFに挑戦してみたいけど何からやればいいのか分からない」「参加したことはあるけど解き方が分からずに諦めてしまった」という初心者の方向けのCTFの講義と実践用の簡易mini CTFを開催します。
講義で紹介するジャンルは、
・Web(Webの脆弱性に関わる問題)
・Reversing(実行ファイルの解析を行う問題)
・Network(パケットファイルの解析を行う問題)
です(時間に余裕があれば他のジャンルも絡めてお伝えします)。
また、同時並行で初心者向け問題構成のmini CTFを開催しますので、講義を元に「自分でflagをとる」という醍醐味を体験できるワークショップとなっています。
難化傾向のあるCTFですが、解くべき問題から学びを得ていくことで、「CTFは楽しい」と思えるようになります。楽しんでいただけるような講義と問題を準備しますので、興味のある方はぜひお越しください。

  • 氏名:水野沙理衣
  • X(Twitter):@r1154n
  • 所属:株式会社GMOサイバーセキュリティ by イエラエ
  • プロフィール:Webアプリケーション診断に従事。2024年度よりCTF for Girls 副代表に就任。
    大学3年の頃からCTFに挑戦するものの難しくて挫ける。少しずつ勉強するうちに楽しさに気づき、過去の挫けた自分のような方の力になるため、、また、自分のスキルアップのためにCTF for Girls運営に参加。過去にはWeb、Reversingの講義、問題作成を担当。
    CTFではrev、pwnが好き。現在は主にペネトーレーションテストの勉強中

 

  • 氏名:板倉景子
  • X(Twitter):@keikoit2
  • プロフィール:医療系ソフトウェア企業にてセキュリティ部門の責任者として各種業務に従事。IT業界に20年弱身を置き、その半分以上がセキュリティ、特に認証・認可関連の業務。コンサル、ベンダー、ユーザー企業などさまざな立場で携わっている。CTFには、社内の研修に取り入れるなど人材育成の観点で関わることが多い。

 

『ワークショップ:バグバウンティ入門 〜Bug Huntingのスキルで社会貢献と報酬金獲得を目指して〜』

バグバウンティの入門として、バグバウンティに興味がある方や挑戦してみたいけど始め方がわからない方などの初心者に向けて、最初の一歩を踏み出せる内容を取り扱います。今回はバグバウンティプラットフォームをもとに、ドメイン(WebサイトやWebアプリ)を対象とした、バグバウンティにおける脆弱性調査の流れや報告書の作成方法などのポイントを押させてハンズオン形式で実施します。事前に、基礎的なWebセキュリティに関する知識を持っていることが望ましいです。
用意するもの:ローカルプロキシツール「Burp Suite」、Webブラウザー

  • 氏名:森岡 優太
  • X(Twitter):@scgajge12
  • 所属:GMOサイバーセキュリティ byイエラエ株式会社
  • プロフィール:セキュリティエンジニアとして、業務ではWebペネトレーションテストやソースコード診断等に従事。プライベートではバグバウンティにも取り組み、危険度の高いクリティカルな脆弱性を複数発見し報告している。ポッドキャスト「Bug Bounty JP Podcast」の運営者。

 

『ワークショップ:OSINTによる画像分析入門 by pinja』

オープンソースインテリジェンス(OSINT)を利用した画像分析の基本を学びます。インターネット上で公開されている情報を活用して、画像から重要なデータを抽出し、分析する方法を初心者向けに解説します。参加者は、実際の画像を用いた実践的な演習を通じて、地理的位置の特定、画像の出所の追跡、デジタル画像のメタデータ解析など、OSINT画像分析の基本技術を習得します。初心者から中級者まで、どなたでも画像分析のスキルを身につけ、オンラインでの情報収集能力を向上させることができます。

氏名:ykame, awamori, lumin
プロフィール:OSINT CTF出場チームとして2015年に結成。2023年、世界最大のセキュリティイベント「DEFCON」の「Recon Village CTF」(ハッキングコンテスト)で優勝。その他、海外のOSINT CTFにも積極的に参戦。実務では犯罪組織調査などにも携わる。

 

『スポンサーセッション:セキュリティコンサルタントって… なんだろう?』

「セキュリティコンサルタント」という言葉を聞いて具体的に業務内容をイメージをできる方はいますでしょうか?
今年度から役割・肩書きがそうなりましたが、明確な定義はまだまだできていません。
どんなスキルが必要なのか、どうやったらそのスキルが身につくのか、そもそもセキュリティコンサルタントと胸を張って名乗るには何が必要なのか=いま何が足りないのか、そんなことを考えている毎日です。
このセッションでは、セキュリティコンサルタントというキーワードを軸に、どうスキルアップをしていくか、何をやったら面白そうかなどをお話します。

  • 氏名:笠間 太樹
  • 所属:SCSKセキュリティ株式会社 コンサルティング本部
  • プロフィール:
    ・新人~10年目:大手通信キャリアにて客先常駐型のスクラッチアプリ開発を担当。要件定義・設計中心。JAVAは何となく読めるだけ。
    ・11年目~17年目:とあるセキュリティ製品のパートナーとして顧客への導入と保守を担当。ここで初めてセキュリティを飯のタネにする。製品カテゴリで言うとSIEM・UBA・SOAR。
    ・18年目~:セキュリティコンサルティングを主業務とするチームに異動し、新たな仕事を始める(今ここ)

 
『スポンサートラック:Copilot for Securityの現在地とセキュリティ利活用』

2024年4月にMicrosoftより正式リリースされたCopilot for Securityの最新動向と民間企業での利活用におけるメリットデメリットについて講演します。弊社内での技術検証におけるポイントや、顧客導入事例、セキュリティベンダーだからこそできる生成AI導入支援の未来について語ります。

  • 氏名:中本 有哉
  • 所属:株式会社CEL 代表取締役
  • プロフィール:バルクホールディングスグループにて2018年より脆弱性診断サービスを立ち上げ。脅威インテリジェンス / デジタルフォレンジックなど事業展開を行い、エンジニアチームの責任者を兼務。AI診断プラットフォーム『ImmuniWeb』の日本市場におけるプロダクトマネージャーを現任。

■タイムテーブル

後日公開

■事前参加登録

チケットは6月1日(土)12時よりYahoo! PassMarketにて販売開始

■協賛企業

 

-イベント, ニュース, ハッカー

Copyright© 一般社団法人日本ハッカー協会 , 2024 All Rights Reserved.