目次

• 出張のきっかけと現地までの移動
• トレーニング体験とセッション受講
• まとめと帰国

1．出張のきっかけと現地までの移動

2025年7月某日、来日中のDragos社の方々と弊社Dragosチームとの打ち合わせに急遽参加しました。その際に意気投合、OT/ICSのセキュリティが盛り上がっているっつー事で、Dragos社が2025年11月4- 6日にメリーランド州ボルチモアで開催したDISC 2025カンファレンスに参加してきました。なんで意気投合したかって言うと、Vx Undergroundにダンプされたレポートに一通り目を通す習慣があって、その中にあったDragos社が解析したFrostyGoopのレポートと検体が珍しく、ちょっと前に検体をDLして解析していたから。

米国への出張はコロナ禍直前の2019年12月以来約6年ぶり、なんだか円安、米国の日本以上の物価高で現地での生活費が高いっつーじゃないですか！？ もっとも円が強かった頃の記憶では、リーマンショック後の2011年頃の円高、なにかと円は安全通貨と言われて、1ドル80円くらい。空港で500mLの水買って1.5ドル～120円、モーテルじゃない高層階のホテルで1泊10,000円、米国から来日した方が日本は高いとぼやいているような世の中でした。一方で世の中は不況と言われていましたが。その後2019年はさすがに米国出張で物価が高くなっているという印象はあったものの、今回1ドル約150円、米国の空港で500mLの水買って5ドル～750円、会場のホテル Live! Casinoのイベントディスカウントで1泊30,000円と出張者には世知辛い感じなのでした。結局滞在中はDragos社が朝昼晩と用意してくれた豪華なイベント飯にお世話になったので、ほとんどお金を使わずに済ませる事ができたけど。

さて、2025年11月4日、日暮里から成田までのスカイライナーの周りはほぼ海外の方々、なんだか昔は空港へ向かう電車の周りも結構日本人が多い印象でしたが、ここでも日本円の弱さを感じる。空港でポケットWi-Fiをピックして5,000円をなけなしの30ドルに両替、成田空港からシカゴへNH12便で出発だ！ 因みに乗り継ぎ時の荷物ピックアップとか面倒なので荷物は極力機内持ち込みにする派。今回の便は自分の座席上の棚が狭くて荷物が入らなかったので、前方のビジネスクラス席の上の棚に移動されてちょっと不安に、夕方発の便なので結構眠って過ごせました。

シカゴ空港にはほぼ定刻でターミナル5に到着、怖めの入国審査の方がぶっきらぼうに繰り出すネクストの合図で前進して質問に答え不審者ではない事をアピール、指紋と顔写真をとられて入国、この後乗り継ぎ先のゲートを探していつもどおり一旦迷子になる。インフォメーションデスクで航空券を見せて行き先を教えてもらい、ターミナル1へ移動だ。

シカゴ空港の電車からの車窓

シカゴ空港はばかでかく、空港内を走っている電車でターミナル間を移動、この電車かなり高速だ。ターミナル1へ移動した後はセキュリティチェックを探してうろうろ、厳格なセキュリティチェックのため、いつもどおり行列が長い。早めに後ろに並んで進んでいく。靴を脱ぐ人、脱がない人、水をトレーに入れて通過できる人など、厳格な審査っぽいが、正確な基準がよくわからない。セキュリティゲートを通過した後も15分くらい歩かされて、ようやくボルチモア行のユナイテッドの搭乗ゲートに到着。

シカゴ空港のコンコース （ただの通路、自分的には美しさがぐっときた映えスポット）

ひたすら歩いているコンコースはこんな感じで、アーチ状の屋根と通路の色使いが美しい。さて、機内で到着前に軽食をとっていたが、歩きまわったので、お腹はぺこぺこ。ボルチモア行の便は18:25発 21:40着の予定なので、ボルチモアに着いても開いているレストランはなさそう。このままライトなファスティングに突入するか軽く食べるか迷う。またうろうろしていると更にお腹が空いてしまったので、結局食べる事に。最後は、ゲート近くのマクドナルドのビッグマックセット （たしか） 13ドル～2,000円、Reggio’s Pizza のペパロニピザ14ドルに絞り込み、日本では食べる事はないであろうピザ14ドルに決定。ピザ1枚味変なしのペパロニオンリースタイルで、搭乗ゲート前の空いている席を見つけて1人食べる、おいしかったです。

事前に旅行会社さんから米国内便は遅延する事もあるよと教えてもらっていたが、今回は定刻通り出発してボルチモアに到着、もう審査もないのでスムーズに空港の外に出る。日本より少し寒いかなという印象。空港のドアを出たところに行列なしでタクシーが数台待機していたのでタクシー移動をチョイス。因みに今回の会場兼ホテルと空港のタクシー移動が40ドル、Uber移動が20ドル （帰り）、タクシーは運転手さんが荷物を車に積み込んでくれるとかやたら話しかけてくれるというサービスはあるものの、Uberがいいかも。

ホテルに22:30頃チェックイン、先に現地入りしている弊社のサイバー侍KAZUMIこと一実さん、Dragos担当Mさんからチャットが届いていて、明日8:00にホテルのロビーに集合してDragos社が用意してくれている朝食に行こうとの事。チェックインの時に朝食はついてないとフロントに言われてちょっとへこんでいたところ、少しほっとする。

海外出張時の弊社チャット （もしこれそうならに優しい気遣いを感じる）

時差ボケで翌朝は3:30頃起きてPCを立ち上げ、メール、チャットをチェック。日本の今井さんから届いていたハンティングの質問に返信したりしているとすぐに8:00近くなり、ばたばた用意してロビーへ降りていく。今回はいつゲットしたブツかわからない大量の25セントコインを処分しようと日本から持ってきたので、12枚の3ドルを枕元にチップとして置いとく。最初に米国出張したのが2003年で、弊社の昔の精算ではレートの信憑性として両替の領収書を提出していたので、釣銭で使いきらないコインが500円玉貯金のように残っていた。

ホテルの部屋 （真ん中の枕を使うと両脇が枕の壁になる）

ロビーでは、同じく日本から来ているトインクス社の皆様とDragos社の弊社担当ベンさんと合流し、朝食会場へ。朝食は、ベーコン、ポテト、エッグ、ワッフル、新鮮なフルーツとオレンジジュース、コーヒーと朝からお腹いっぱいだ。物価高と円安を心配していたが、一実さんから朝昼晩ついていると教えてもらい、また少しほっとする。

2．トレーニング体験とセッション受講

さて、ようやく自分にとって初日のカンファレンスがスタート。会場はホテルのカジノの脇を入って行ったところ、午前中は申し込んでおいたハンティングのトレーニングに参加。そう言えば事前準備のメールが届いていたような気もするが、何も準備してなかったので、最悪聞いてようと思いつつ、朝食会場からトレーニングルームへ移動。

朝早く人がまばらなトレーニング日の会場エントランス

心配は杞憂に終わり、普通にパソコン1台あればOK。Dragos社が用意したバーチャルラボにブラウザでアクセスしてすべて完結するスタイル、ここでまた少しほっとする。

OT/ICS系では本格的なシステムになると、制御に使う端末がWindowsベースでもベンダー指定のマシンだったりで、セキュリティ製品を自由にインストールしたりはできず、パケットベースで攻撃を検出する事が重要なアプローチになるようだ。Dragos社のセンサーもパケットを収集して彼らのシグニチャで異常を検出する事が基本的な動作だと理解した （それだけではないが) 。トレーニングでは、Dragos社の管理コンソールのホストLinuxにアクセスして攻撃のパケットをtcpreplayで再現、ウェブの管理コンソールにそのパケットからいくつか不審なものがあぶりだされるので、それを分析して攻撃元や攻撃された範囲などを見つけて進めていくスタイル。トレーニング課題のパケットには、BAUXISITE攻撃グループの攻撃パケットが含まれていた。Dragos社のセンサーが検知したパケットは、管理コンソール上で攻撃グループ名、Dragos社のインテリジェンスレポートへのリンクなどと紐づいて展開されるため、検知から更なるインシデント対応を進めていくうえでのコンテキストが広がる感じだ。このあたりは、インテリジェンスドリブンのEDRでも見られるものだが、OT/ICS系のパケットから攻撃検出するIDSも同様に進んでいると印象を持った。さきほど、Dragos社のセンサーがシグニチャで異常を検出するだけではないと述べたが、Dragos社のパケットセンサーが拾った情報は (たぶんオプションで） クラウドへ送られ、Dragos社がOT Watchで直接監視する。アラートレベルの低いシグナルまたは一見普通のトラフィックと思われるパケットでも、OT Watchが攻撃と判断してユーザに通知を行ってくれるものがある事も学んだ。IT系のEDRでは、CrowdStrike OverWatchが彼らのホストセンサーのウィークシグナルまたは一見ただの管理者コマンドから、これまで数々の高度な攻撃を検知しているのを目の当たりにしてきたが、Dragos社も同様の事をパケットで行っているのだと理解し、ぐっときた。自分はWatch系の監視を製品ベンダー自身がやっているものは、製品のセンサーが設置されたところに攻撃が来ていれば、それは何が何でも製品ベンダーが責任と誇りを持って検出しますと暗に主張しているようで好感を持っている。

ハンティングトレーニングでの検知パケット

午後のトレーニングは午前中のトレーニングとつながっており （後でわかったことだが）、OTシステム側でBAUXISITEの攻撃を検出、ITシステム側にあるファイアウォールの通信ログをSplunkで統合させて、IT側、OT側双方で攻撃された範囲、侵入元などを見つけていくトレーニングとなっていた。グループワークで一実さんがOT側、自分がIT側の役割。Dragos社の管理コンソールにインシデントのワークフロー、プレイブックの新機能があり、IT側、OT側それぞれのメンバーがインシデントで発見した事を書き込みながら対応を進めていけるようになっていた。午後のトレーニングは手を動かして進めている事もあってか、朝3:30から起きていてもまったく眠くならず、横で一実さんもフォローしてくれたので順調に終わりほっとする。会場は音響が良くて、トレーニング中のバックミュージックに2000年頃のロック、LifehouseのHanging By A Momentとか流れてきて一実さんとにやり、アメリカを感じる。

午後のトレーニングが16:00頃終わり、夜のウェルカムパーティまで少し時間があったので隣のショッピングセンターへ一実さんと歩いて移動。一実さんとは共通のギターの趣味があって、一実さんが半導体エンジニアとして活躍していたころ、DSPセミナーの講師をされていたりで、最近エフェクターとかモデリングアンプとか結構DSPですよね、みたいな話から、演算の同時処理 （マルチタスクやデプス） が向上したので、高速で計算ができるようになっているよねといった事や、真空管の歪を計算で出した時の畳み込みでどれくらい表現できるかとか、結局真空管のレスポンスの速さ、自然な歪ってどうしてもデジタルより良くて弾いている側の耳だとわかっちゃうとかそんな話をして何も買わずにパーティへ移動。その他に昔の漫画の頭文字Ｄの藤原文太の話とか。出張に行くと、空き時間は仕事以外の話が多くて、一緒に行った人とかなり距離が縮まる気がする。

パーティは翌日のセッション会場となるメインホールで行われて非常に盛り上がっていました。会場ではFrostyGoopの動画セミナーで見た顔のJimmy Wylieさんを見つけてご挨拶。解析ツールの話とか、最近のAIに解析させる話とかいろいろ楽しいお話をさせてもらいました。Binary Ninjaがごにゃごにゃごにゃと言われていたので、普段IDAを使っているけど、Binary Ninja結構いいのかも。今度試してみよう。

2階席もあるメイン会場 （音響も良くてライブでも使われるようなホール）

パーティの後は21:00頃部屋に戻ってそのまま寝てしまい、時差ボケで深夜1:00に起床、日本の業務を少しこなして4:30にまた少し眠って6:00頃起床という感じ。今回3泊5日の日程なので、早くも最終日の終日セッション受講日に突入。

最終日は大ホールの1トラックのセッションで、OT/ICSセキュリティのカリスマDragos社のRobert Lee CEOのキーノートから始まりました。昨年の来場者が約420名、今年は600名との事で年々盛り上がりを見せています。セッションは、OT/ICS系の脅威インテリジェンス、セキュリティ対策のアプローチ （ハンティング）、OTコミュニティ、バッテリーのハッキングやDNP3プロトコルを使った攻撃と幅広くいろいろな層にとって飽きさせないセミナーとなっていました。発表内容には、TLP制限があるので、印象に残ったところを少し。因みに、この日もまったく眠くならず受講できました。

メイン会場入り口付近に設置されたインダストリアルなブツ

3．まとめと帰国

セミナーを通じて、これまで高度な攻撃としては、技術的な知財の窃取や政治動向の収集など諜報系の攻撃を想定していましたが、インフラの掌握を目的とした攻撃が具体的な脅威として現実になりつつあると印象を持ちました。その他に、ランサムウェアがOT/ICS系にも侵入して、実社会のフィジカルな活動を止めてしまう脅威など、やはりOT/ICS周りのセキュリティは聞いていた通り盛り上がっていました。

このあたりの攻撃手法やOT系で検討すべき対策については、Dragos社も来日して近々セミナーを実施する予定との事でもう少々お待ちください。

18:00頃終了してそのまま最終日もパーティがあって21:00頃部屋に戻る。ところで、パーティ中に入ってきた情報で、米国政府の予算の関係で空港閉鎖、飛行機が飛ばないかもと。パーティに居た現地の人も自分の飛行機飛ばないかもしれないから電車で帰るかもと不安な様子。ハードラックとダンスっちまうかも！？翌日帰国するのは自分1人、翌朝のボルチモア発の便が6:10なので朝4:00頃Uberつかまるのか、寝坊するかも、空港職員の稼働減ったら空港混雑、飛行機飛ばないかも、とネガティブな妄想が膨らみ不安MAXな状態。とりあえず、荷造りして22:00頃1時間寝て23:00頃不安で起きる。24:00頃にチェックアウトしてUberをつかまえて24時間営業と聞いていた空港へ向かう。24:00頃のユナイテッドのカウンターには人はいなくて自動チェックインのポータルも何も反応しない状態。どうしようもないのでずっと待っていると、深夜の空港に到着した便から降りてくる人、空港に来て待ち始めている人など深夜の空港って結構人が居る。そのまま待つこと約4時間、4:00頃チェックインカウンターに職員が1人来てポータルが稼働して自動チェックインできるようになりました。搭乗する飛行機はオンタイムの表示で定刻どおり出発、乗り継ぎのシカゴに着いて、成田行の便もオンタイムの表示を確認、翌日帰国予定の一実さん達ご一行に空港の状況問題ないよ （ほぼ） とチャット、NH11便で帰国するのでした。日系の便だと機内食に和食系がでるので、1週間くらいでも海外に居ると醤油ものが美味しい、今回はつめたいうどんが良かった。機内サービスも邦画、ビデオが充実していて普段見ないものを見てしまう。松田龍平さんの0.5の男が3話提供されていて面白かった。

実質2日間でしたが、Dragos社の製品を使った攻撃の分析、OT/ICS周りのセキュリティ動向がつかめ、OT系マルウェアの解析についても具体的な話を聞けたので、OT系セキュリティの集中した入門の機会として非常に良かったのではないかと思います。

お問い合わせ・資料請求