2014/09/15

セキュリティ・ミニキャンプ in 東北 2014 に行ってきた話

タイトルの通り、9/13, 9/14に会津で行われたミニキャンプに参加しました。
その感想を書いていきたいと思います。
事前課題はオレオレSNSの脆弱性探しでした。

まず1日目ですが、各講師の講義を受けました。
中でも園田講師の「情報セキュリティの今そこにある危機」が印象に残っています。
サービス提供者の求める情報とユーザの持つ情報のどこまでが個人情報でどこからが個人情報ではないのか、また、単体では意味をなさない(個人情報足り得ない)ものでも、データマイニング的に複合化すれば様々なことを知ることが出来る。
なので、最近のスマートフォンに始まり、ウェアラブルデバイス(なんとかウォッチですね※妖怪ではない)が持つ情報などを駆使して、抽象的な人格コピーが可能になる日も近いのでは?事前に集積したデータから、その人が何かを感じて、思考となる前に機会側で推測することが出来るのでは?といった意見が大変興味深かったです。

続いて宮本講師による「情報セキュリティ人材は本当に不足しているのか?」でした。
この講義によると、2004年に登場したウィルスが未だに大量に報告されている、というものがあり、少々意外に思いました。ウィルス意外にも古い脆弱性はまだまだ残っているそうです。ただそういったものはアップデートや最新版を使えば何も問題無いケースが多いとのこと。
そして、情報セキュリティ人材は数万人規模で足りないらしいです。
情報セキュリティに携わっている人でも力不足な人も結構いるとか。

その後、少しの休憩を挟み、西村講師(イケメンだった)による「スマートフォンのセキュリティ概論」と「HTML5のセキュリティ」でした。
前者は「マルウェア」「リスクウェア」「脆弱性のあるアプリ」の3つについて詳しくお話しいただきました。
後者はHTML5に段々と移行していく中で、脆弱性を作りこまないようにするにはどうするかなど具体例も多くあってわかりやすかったと思います。
特に動的ページ生成部分にはDOM Based XSSさせないために注意が必要のこと。

最後に、LT大会がありました。
噂のらまっこ氏の「楽しいバグハントの世界」が人気を博していました。

大学での1日目の講義は終了し、晩御飯です。
どこで食べるのかと思っていたら、自分もたまに行く、「めでたいや」(かなりうまい)でした。


結構な量があり、苦しそうな人も何人か見受けられました。

宿泊場所は会津 日新館でした。
小学生の頃、一度だけ訪れたことがありますが、まさか泊まる場所があったとは。
そこでも、夜9時から、夜の部の講義を受けました。
竹迫講師による「脆弱性、指摘する人・される人、利用する人・賞金を稼ぐ人」では
脆弱性を発見した時に、どうやって報告するのか、また、脆弱性を探すぞ!となった時にどこまでが白でどこまでが黒になるのか、と言ったことでした。
ところが、案外グレーゾーンが多いようで、人によって白黒が別れる見たいです。


その後は寝るだけだったのですが、同じ部屋になった人と
事前課題の脆弱性探しをしました。
自分一人では(らまっこ氏のヒントありで)2つしか見つけられなかったのですが、協力して計4つ見つけられました。
そんな感じで、記憶では大体2時くらいに寝たはずです。


二日目は再び会津大に戻り、実際に手を動かす演習開始です。
まず、事前課題の脆弱性探しでした。

4チームに別れて行いました。各チーム名はらまっこ氏が名づけたそうな。
(ちなみに、事前課題にSQLInjectionの脆弱性は無く、というか別にSQLは使っていない。)

その後、各チームごとに見つけた脆弱性の発表をして、西村講師からの回答編でした。
XSS、CSRF、Web MeMessagingの脆弱性などなど、十数個の脆弱性があったようです。

その後昼食を挟んだ、最後の講義は竹迫講師による「攻撃検知システムを自作しよう」でした、本来はかなり時間をかけてやるものらしいですがだいぶ省略して2時間弱で行いました。
脆弱性のあるWebサイトに対するディレクトリトラバーサル攻撃をLinuxカーネルモジュールを使って防止してみるというもので、Linuxカーネルの話が出てきたので少しテンションが上がりました。
この講義はしっかりと長時間受けてみたいなあと感じました。
大学でもこういうのがアレば皆、嬉々として受けると思います。


以上、時間軸に沿ってミニキャンプを振り返ってみました。
そして、最後に宮本講師曰く
「何でも1万時間やればオーソリティを得られる。」
とのお言葉をいただきました。


今後も修行していきます。