AIからサプライチェーンまで:
攻撃対象領域の削減がもはや選択肢ではない理由
本講演では、LLMを活用したリコンからCI/CDの乱用、クラウドベースの過剰な露出まで、近年のサイバー・トレンドを点と点で結び付け、攻撃対象領域の削減を後回しにするのではなく、セキュリティの基本原則とする説得力のあるケースを紹介する。
脅威が自動的に拡大し、リスクが見え隠れする世界において、露出を減らすことは私たちにできる最も効果的な対策かもしれない。
Speaker
Cyfinoid Research
Anant Shrivastava 氏
Black Hat(USA, アジア, EU)、Nullcon、c0c0nをはじめとする著名なカンファレンスで、トレーナーおよびスピーカーとして豊富な実績を持つ。 また、オープンソースプロジェクトのCodeVigilantを主導し、Hacking Archives of Indiaをキュレーションしている。
公式の業務以外では、null community、Garage4Hackers、hasgeek、OWASPといった、情報セキュリティの知識普及を共通の目標とするオープンコミュニティに貢献している。
- サイバーセキュリティの専門イベント「 Security Days 」2025年秋開催では、東京会場限定でセキュリティワークショップを無料で開催いたします。Anant Shrivastava 氏が登壇する、23日(木)のナイトセッション(C3-12)とあわせ、毎日異なるテーマで開催するワークショップへもぜひご参加ください。
Anant Shrivastavaのワークショップ
WS1-09
10.21(火) 16:00-18:00
ワークショップ
逐次通訳
クラウドのミスコンフィギュレーションに対する攻撃
クラウドにおける真のゼロデイ脆弱性は、設定ミスに他なりません。このセッションでは、AWS、GCP、Azureなどの各クラウドプラットフォームに共通して見られる典型的な設定ミスに焦点を当てます。具体的には、不適切に設定されたIAMロール、情報が漏洩しやすいメタデータサービス、そして過剰な権限を持つAPIです。単なる理論に留まらず、現実の環境で実際に悪用されている攻撃フローに焦点を当て、各プロバイダーを横断して実践的な対策を解説します。
学習の成果
- 複数のクラウドプロバイダーに共通するアタックサーフェスを特定する
- ミスコンフィグを悪用する攻撃者のプレイブックを理解する
- 設定のアンチパターンを認識する
- 検出と防御のためのチェックリストを作成する
WS2-02
10.22(水) 10:00-12:00
ワークショップ
逐次通訳
ソフトウェアサプライチェーン攻撃 - サイレントキラー
ソフトウェアサプライチェーン攻撃は、単にパッケージマネージャから始まるのではなく、その発端は開発者のノートパソコン、侵害された認証情報、そしてCI/CD の不手際にあるのです。このセッションでは、開発環境への侵入から汚染されたビルド、そしてバックドアが仕込まれたリリースのデプロイに至るまで、実際に起きた攻撃の全貌をたどります。これは単なる机上の空論ではなく、実際のセキュリティ侵害がどのように展開されるかを示すものです。各ステップを、過去に発生した攻撃事例と紐づけて解説します。
学習の成果
- サプライチェーン攻撃のライフサイクル全体を理解する
- 攻撃者のピボットポイント(ローカル → リポ → CI → リリース)を学ぶ
- サプライチェーンの各段階にセキュリティ対策をマッピングする
- プロアクティブな防御戦略とリアクティブな防御戦略を区別する
WS2-09
10.22(水) 16:20-18:20
ワークショップ
逐次通訳
CI/CD ― “王国の鍵”と、その先に広がる脅威
今日のCI/CDプラットフォームは、コード、シークレット、クラウド、そしてインフラにまでアクセスできるため、主要な攻撃対象となっています。このセッションでは、攻撃者がGitHub Actions、GitLab CI、およびJenkinsのランナーをどのように悪用し、権限昇格、シークレット情報の持ち出し、そしてバックドアのデプロイを行うのかを解説します。これらは全て自動化ワークフロー内部から実行されるのです。
学習の成果
- CI/CDセットアップにおける重要な信頼境界の特定
- ランナーの悪用、アーティファクトの汚染、トークンの漏洩に関する理解
- デフォルトとセキュアなパイプライン構成の比較評価
- 実際に効果のあるセキュリティ強化策を適用する
WS3-02
10.23(木) 10:00-12:00
ワークショップ
逐次通訳
楽しみながら学ぶSBOMマッピング ― その戦略的価値
誰もがSBOMを脆弱性対策のために語りますが、本来の目的である「インベントリ」として活用している例は多くありません。このセッションでは、SBOMPlayを使用してSBOMの実践的なハンズオンを行います。複数のリポジトリや組織を横断して、依存関係のパターンを集約、比較、可視化し、ライセンス問題を特定し、戦略的なインサイトを引き出す方法を具体的に解説します。
学習の成果
- CVEs以外の観点からSBOMを読み解く
- 複数のリポジトリにわたる依存関係を可視化する
- ライセンスの競合や古いコンポーネントを特定する
- 開発またはセキュリティのワークフローで SBOMPlay を活用する
WS4-02
10.24(金) 10:00-12:00
ワークショップ
逐次通訳
壊れた設定を直したい?そんな時は一行ずつやろう!
セキュリティに関するアドバイスは、往々にして現実離れした理想論に終始しがちです。特に、複雑なクラウド設定、開発ツールチェーン、脆弱なCI/CDパイプライン、予測不能なAIインターフェースで構成された現実のシステムでは、その傾向は顕著です。このワークショップでは、本当に機能するセキュリティ対策に焦点を当てます。設定ファイルを1行ずつ修正することで、不具合のある箇所を直していくという実践的なアプローチです。
- 手持ちのツールを使用した環境のインベントリ作成
- ソフトウェアとインフラにおける危険な設定ミスの検出
- パイプラインと環境への持続可能なコード駆動型保護の適用
- 過剰反応することなく脅威に対応する
- パニックに陥らず、自動化によって回復する
このワークショップでは、クラウドドリフト、CI/CDの混乱、プロンプト注入によるハルシネーションなど、どのような課題に直面していても、実際のエンタープライズ環境ですぐに実行できる、全体的かつ実践的な防御ロードマップを提供します。
学習の成果
- ソフトウェア、インフラストラクチャ、AIシステムにわたる実用的なインベントリの構築
- SBOM、IaCスキャン、クラウドツールを使用した、リスクの高い誤設定の特定と検出
- CI/CDパイプラインとクラウドIAMでセキュア・バイ・デフォルトの設定を適用する
- プロンプトインジェクションや安全でないAIの動作に対する緩和策を実施する
- 改善策を NIST CSF にマッピングし、ステークホルダーに対してセキュリティに関する決定を説明する