アクティブディレクトリ（AD）攻撃技術のディープダイブ （#1-1）

Mars Cheng：TXOne Networks Inc. - 台湾

オンプレミス、ハイブリッド、またはAzure環境において、Microsoft Active Directory（AD）は、アイデンティティとアクセス管理のバックボーンとして、多くの企業に広く利用されています。ADは、攻撃者にとって企業の内部へのアクセスを提供するものと認識されています。ADは企業運用において重要な機能を有していますが、攻撃者はADサービスが提供するこれらのメカニズムを悪用し、企業ネットワークを侵害して自らの目的を達成することができます。

このトレーニングコースでは、オンプレミスを中心に、さまざまな種類のADサービスと機能を詳細に調査します。我々は、基礎となるメカニズムを悪用することによる様々なAD攻撃技術を取り上げます。このコースは、5つ以上の実践的なラボが含まれることが予想されます。各トレーニングラボには、学生が理論的な背景を理解し、攻撃技術を効果的に実装できるようにするための、核となるコンセプトに関する詳細なディスカッションが含まれます。

Mars Cheng（@marscheng_）は、TXOne Networks PSIRTおよび脅威リサーチチームの脅威リサーチマネージャーであり、製品セキュリティと脅威リサーチの調整を担当しています。また、台湾のハッカー協会(HIT: Hackers in Taiwan) のエグゼクティブディレクターでもあります。ICS/SCADAと企業のサイバーセキュリティシステムの両方においてのバックグラウンドと経験を持ち合わせています。10件以上のCVE-IDに直接寄与しており、3つの科学引用指数（SCI）応用暗号学ジャーナルに作品が掲載されています。TXOneに参加する前は、台湾国立サイバーセキュリティテクノロジーセンター（NCCST）のセキュリティエンジニアでした。Black Hat、RSA Conference、DEFCON、SecTor、FIRST、HITB、ICS Cyber Security Conference AsiaおよびUSA、HITCON、SINCON、CYBERSEC、およびCLOUDSECなど、いくつかの国際的なサイバーセキュリティカンファレンスでの講演者およびトレーナーとして頻繁に登壇しています。HITCON（Hacks in Taiwan Conference）PEACE 2022の一般コーディネーター、HITCON 2021のジェネラルコーディネーター、そしてHITCON 2020の副ジェネラルコーディネーターも務めています。

脅威・攻撃手法を読み解こう：脅威インテリジェンスの活用・作成技法（#2-1）

石川 朝久：東京海上ホールディングス株式会社 - 日本

高度な攻撃グループが行う攻撃を未然に防いだり、類似した攻撃を受けないようにするためには、攻撃グループや攻撃手法について様々な情報を収集・分析し、予防・検知に役立てる技術「脅威インテリジェンス」が重要となります。また、分析・作成した脅威インテリジェンスを組織内外に共有することにより、早期警戒を促すことも可能です。

一方、攻撃手法の分析といえば、マルウェア解析、脆弱性分析、フォレンジック分析などが思い浮かぶかもしれませんが、ここから得られた情報をどのように予防・検知に役立てていくべきでしょうか？

本講義では、３種類のパートで脅威インテリジェンスを解説します。最初に、脅威インテリジェンス理論の基本原則について掘り下げ、インテリジェンスの種類、脅威インテリジェンスサイクル、アトリビューションなどの概念について取り上げます。第二に、分析技術と脅威インテリジェンスの応用方法に焦点を当てます。マルウェア解析・フォレンジック分析などで判明した情報を前提として、MITRE ATT&CKフレームワークなどを活用し、攻撃グループが利用した攻撃手法を分析し、攻撃者の攻撃プロセスを理解する方法を学びます。また、この知識を脅威ハンティング、パープルチーミング、対策検討へ応用する方法も説明します。第三に、獲得した脅威インテリジェンスを実用的な予防・検知に変換するプロセスを解説します。具体的には、YARAやSIGMAなどのツールを使用してIOCs（侵害指標）を作成する方法について学びます。

カーネルワールドにおけるファジング（#2-2）

王逸涵（Yi-Han Wang）：Lisa - 台湾

ファジングは、セキュリティバグを自動的に見つけ出すための重要なツールです。本講義では、主にシステムレベルのファジングに焦点を当てます。なぜなら、このレベルでの実装バグは、重大かつ壊滅的な脆弱性を生む可能性があるからです。

このコースは、一般的なファザーの概観から始まり、仮想化とシステムレベルのファザーの紹介に続きます。コース全体を通じて、ファジングの概念を説明し、受講者がファザーを使用して自身でテストを実施する方法を学びます。すべての受講者がファジング技術とその実用的な応用についての包括的な理解を得ることを目標としています。

- 国立台湾大学コンピュータ科学情報工学部卒業
- 台湾の才能あるCTFチーム、Balsnのメンバー
- HITCON GIRLSバイナリーチームのメンバー
- Googleのソフトウェアエンジニア

やられLLMウェブアプリの作り方（#3-1）

凌 翔太：株式会社マクニカ - 日本

OpenAI社がAPIを提供して以来、システムにLLMを組み込む時代が来ました。多くの企業がチャットボットやより複雑なWebアプリケーションを構築し、ユーザーを案内したり、ビジネス的な意識決定をしたり、マルウェアを識別したりしています。その中で、新しいハッキング技術「プロンプトインジェクション」が生まれました。

このセッションでは、LLMを使用したシステムの構築方法について説明し、LLMに関連するハッキング技術についても取り上げます。具体的には、LLMのセーフガード機能をバイパスするための「ジェイルブレイク」、プロンプトを盗む「プロンプトリーキング」、LLMの結果を操作する「プロンプトインジェクション」などの攻撃手法を紹介し、最終的にLLM統合型Webアプリケーション全体を侵害するためのさらなる攻撃手法についても議論します。

株式会社マクニカのセキュリティ研究者で、ペンテストツールの作者であり、CTF運営者でもあります。Red Teamの目的でテスト用マルウェアを作成し、EDR、サンドボックス、IPS、ウイルス対策などのセキュリティソリューションからの検出を回避するエキスパートです。LLM（Large Language Model）を活用した複数のプロジェクトを構築し、LLM統合システムの脆弱性について研究しています。サイバーセキュリティ業界で10年以上の経験があり、HDD暗号化、NAC（ネットワークアクセスコントロール）、IPS、WAF（Web Application Firewall）、サンドボックスソリューション、およびそれらに関連するハッキング技術など、さまざまな技術とソリューションに精通しています。Black Hat、DEFCON、BSidesなどのセキュリティ/ハッキングカンファレンスで講演した経験があります。

Hunting with a dinosaur（#3-2）

Andreas van Leeuwen Flamino - オランダ

このトレーニングでは、学生はデジタルフォレンジック、脅威ハンティング、そしてインシデント対応のスキルを急速に磨く方法を習得します。複数の異なる手法を採用することで、より多くの成果を迅速に得る方法を探求します。オペレーティングシステムの基本的な要素を深く理解すること、そしてそれらの要素を組み合わせる技術を身につけることで、短期間での大きな成長が期待できます。

アンドレアスは、Red Team と Blue Teamの両方のチームでの20年以上の経験を有するサイバーセキュリティのエキスパートです。
彼は1990年代後半にLinuxやUNIXのシステム管理者としてセキュリティの道を歩み始め、2000年代初めにはレッドチームの一員としてのキャリアを展開しました。以降、彼は銀行、石油・ガス、政府、法執行、防衛、通信、航空、製造業といった多岐にわたる業界でセキュリティ関連のコンサルティングを数多く手掛けてきました。
近年6年間で、彼は脅威ハンティングやインシデント対応、デジタルフォレンジックのスキルをさらに磨き上げています。UAE政府の大規模なインシデント対応プロジェクトに数多く関わり、EXPO2020ではデジタルフォレンジックとインシデント対応の主任として活躍しました。2019年から2023年の間に、UAEで最も規模の大きなインシデント対応チームの中でトップの成果を上げるまでになりました。現在は、ドバイの石油・ガス関連企業のサイバーインテリジェンスセンターを率いています。彼の余暇は、インシデント対応のスペシャリストおよびトレーナーとしての経験と知識を共有することに費やされています。

自動車サイバーセキュリティ（#4-1, #4-2）

Kamel Ghali - 日本

車がハッキングされるなんて思ったことがありますか？自動車がドンドン周りの世界とつながっているようになりつつあります。このトレーニングでは実際の自動車テクノロジーと、自動車セキュリティ産業で使用されるツールを使った講義が受けられます。

アメリカ人ですが、日本語が（まあまあぐらい）喋れるやつだ！カメルは６年以上にカーハッカーをやってて、自動車のペネトレーションテスター、「カーハッキングトレーニング」の先生、サイバーセキュリティコンサルタントなどの仕事をしています。ASRG、Car Hacking Village、AUTO―ISACなどの自動車サイバーセキュリティに関する組織の管理者としても活動しています。

実践的なマルウェア解析および実際のケースに基づく.NETリバースエンジニアリング（#5-1）

Wei-Chieh Chao / Yi-Hsien Chen：CyCraft Technology - 台湾

このトレーニングコースでは、実践的なマルウェア解析と.NETリバースエンジニアリングを取り上げ、受講者にさまざまなタイプのマルウェアとその機能、およびマルウェアが使用する一般的な挙動とテクニックについての包括的な理解を提供します。x64dbg、Ghidraなどのツールを使用した動的および静的解析について学習します。トレーニングでは、ランサムウェア解析やファイルレスバックドアを含む実際のケースでの実践的な経験に焦点を当てて学習します。また、コースでは.NETリバースエンジニアリングと.NETフレームワークの背景知識、Common Language Runtime（CLR）およびCommon Intermediate Language（CIL）についても学習します。また、General packerやJITHookなどの.NETパッカーの仕組みとアンパッカー、および実際のケースの分析も見ていきます。コース終了時には、受講者はマルウェア解析と.NETリバースエンジニアリングの実践的な理解を得るとともに、実際のケースを分析するためのスキルと知識を身につけることができます。

Wei-Chieh Chaoは、CyCraftのリサーチチームのセキュリティリサーチャーです。彼はSandbox Technologyとマルウェア解析の研究に焦点を当てています。彼は国立台湾大学でサイバーセキュリティの修士号を取得しました。HITCON、CODE BLUE、IEEE DSC、SECCONで講演しています。また、NCTUのBambooFox CTFチームのメンバーでもあり、いくつかのCTFに参加し、BFS、BFKinesiS CTFチームと共にDEFCON 26、27でそれぞれ12位、2位を獲得しました。また、2022年にFlareon9リバースエンジニアリングチャレンジを完了しました。

Yi-Hsien Chenは、国立交通大学（NCTU）でコンピューターサイエンスの学士号を取得し、現在は国立台湾大学（NTU）の電気工学部で博士候補生、国立陽明交通大学（NYCU）のコンピューターサイエンス部門で研究アシスタント、CyCraftリサーチチームのセキュリティリサーチャーです。彼の研究は、マルウェア解析の自動化技術を含めたさまざまなサイバーセキュリティのトピックに焦点を当てています。彼は、シンボリック実行、機械学習などの技術を利用してマルウェア解析の速度を向上させています。彼の研究成果はIEEE DSCやACM ASIACCSに掲載されています。また、HITB CyberWeek、AVTokyo、HITCON、SECCON、CODE BLUEで講演しています。さらに、NYCUのBambooFox CTFチームのメンバーでもあり、いくつかのCTFに参加し、BFS、BFKinesiS CTFチームとともにDEFCON 26、27でそれぞれ12位、2位を獲得しました。