サイバーディフェンス研究所のエンジニアが『BSides Las Vegas』に登壇します

弊社エンジニアの松隈大樹が、2025年8月4～6日に米国ラスベガスで開催される国際セキュリティカンファレンス「BSides Las Vegas 2025」に登壇いたします。

「BSides Las Vegas」は、世界中のセキュリティ研究者や実務家が集うテクニカルなコミュニティイベントとして知られており、今年は「Skytalks」も含めた充実のプログラムが予定されています

発表内容：『Unawakened Wakeup: A Novel PHP Object Injection Technique to Bypass __wakeup()』

一部のPHPライブラリは、Property-oriented Programming（POP）ガジェットとして利用され得るクラスに例外を投げる__wakeup()メソッドを実装し、PHPオブジェクトインジェクションを防いでいます。これにより、それらのクラスは一括して無効化されます。従来の回避手法はインタプリタのバグを突くものでしたが、パッチにより迅速に対策されてしまいます。

本講演では、任意オブジェクト生成（Arbitrary Object Instantiation; AOI）プリミティブに基づく新たな回避技術を紹介します。これは、unserialize()の処理の外側で動的クラスのインスタンス化を行うため、__wakeup()が実行されません。この手法の唯一の前提条件は、new $className(...)を実行するPOPガジェットが存在することです。

この技術はコア言語仕様の挙動のみに依存しているため、将来のパッチで修正される可能性が低いと考えられます。実演では、廃止されたPHPGGCのGuzzle/RCE1チェーンを復活させ、Neos Flowのデフォルトインストール環境でリモートコード実行を達成します。

発表者：リバースエンジニアリンググループ テックリード 松隈大樹

株式会社サイバーディフェンス研究所 技術統括部リバースエンジニアリンググループで、テックリードとしてマネジメントや提案活動に従事している。2015年に新卒入社して以来、Webアプリケーション脆弱性診断、ネットワークペネトレーションテスト、組み込み機器・IoTセキュリティ診断と、活躍の場を拡げてきた。

特にペネトレーションテストでは、チームにおける†イニシャルアクセスブローカー†として興味の赴くままにターゲットへ侵入する一方、新たに発見した脆弱性はIPAやベンダーへ報告するなど社会的意義のある活動も行ってきた。

また、セキュリティイベントでの講演という形で技術的な知見をコミュニティへ還元しており、m0leCon、Security․Tokyo、AVTOKYO、CODE BLUE (U-24)といった登壇歴を持つ。

サイバーディフェンス研究所は、巧妙化、悪質化、そしてグローバル化するサイバー犯罪に対処するため世界各国の法執行機関や民間企業と協力し、今後もサイバー空間のセキュリティ向上に貢献できるよう努力し続けます。