読者です 読者をやめる 読者になる 読者になる

アラタナエンジニアブログ

aratana Engineer's Blog

セキュリティ・キャンプ九州 in 福岡 2016 に参加してきました.

こんにちは,もしくはこんばんは,アラタナ(入社前)の猿渡です. 先日開催された「セキュリティ・キャンプ九州 in 福岡 2016」にチューターとして参加してきましたので,その報告をします.

会場はLINE Fukuoka様で,サリーが出迎えてくれました. f:id:sarup:20161005220126j:plain

まず,セキュリティ・キャンプの簡単な説明につきましては セキュリティ・キャンプ実施協議会のページからいくつか引用しますと

  • セキュリティに関する技術,知識を習得・向上することができる
  • ITやセキュリティの世界における仲間,ネットワーク,コミュニティをつくることができる
  • ITやセキュリティを将来の仕事としていく可能性が広がる

などなど,セキュリティに関わりたい方にはうってつけのイベントとなっています.

セキュリティ・キャンプには全国大会と地方大会があります. 地方大会では,一般の方が参加できる「一般講座」と学生が対象となる「専門講座」に分かれる場合があるのですが, 専門講座についての感想などを以下にあげます.

専門講座1日目

セキュリティ・キャンプ九州オープニング

花田さんよりオープニングとして, 日本にあるセキュリティコミュニティやキャンプでの取り組み方を教えていただきました. そのメッセージとしては,

  • 問題・課題への取り組み
  • 感情のコントロール
  • 継続

です.

それぞれ簡単に説明しますと, 「問題・課題への取り組み」は,類似の問題・未知の課題などにあったときでも, 対応できるような能力を身に付けることです. 「感情のコントロール」は,他の技術もそうですが, 特にセキュリティでは高い倫理観を必要とされるため, その場の感情に流されないようにすることが大事です. 「継続」は,キャンプに参加だけでなく, その経験を活かし,更にスキルアップしていくということです.

後は,チーム毎にワークショップがありましたが, チューターとして,次の日のためのネットワークを構築していました.

機械学習とセキュリティ:特徴抽出講座

園田さんより機械学習とセキュリティというタイトルで, 機械学習を活用した攻撃検知についての話をしていただきました. 現在の機械学習で用いられているアルゴリズムの紹介や,特徴の重要性を説明したあと, チーム毎に違う課題で特徴を考えるワークショップがありました.

結構,楽しそうな話だったのですが,まだネットワークが構築できておらず そちらの問題に注力していたためあまり聞けなかったのが残念です (ですが,ネットワークのあやしい点を見つけることができ, この講義中に無事構築することができました).

情報セキュリティ技術者のための法律講座

吉井さんより,法律という視点から情報セキュリティを教えていただきました. 最初に不正アクセスとなる事例はどれか?というクイズや, Librahack事件についての説明がありました. また,弁護士という職業についての説明もあり, 某弁護士のように裁判中に「意義あり!」などいうことも無ければ, そもそも裁判をしないように仲裁していくのが仕事という, 今まで持っていた弁護士のイメージと違うことをしていることを知ることができました.

その後,チーム毎に裁判官,被告,原告側に分かれ Webアプリケーションに関するシナリオで模擬裁判を行いました. 被告,原告はいかに自分達に有利な証拠を用いて 裁判上での利益の最大化を行っていたのが面白かったです.

専門講座2日目

Webプログラミング基礎講座(前篇)

はせがわさんより, Webアプリケーションにおける脆弱性を重点的に講義していただきました. 脆弱性の定義から始まり,CWEやCVEについて説明していただきました. CWEは脆弱性の種別を表しますがあまり使われておらず, CVEは「製品の脆弱性」を表し一般的に使われているということを知りました.

その後,はせがわさんが用意した脆弱な掲示板に対して脆弱性を探すという演習がありました. SQLインジェクションによりアカウントが乗っとられたり, 他人の投稿が勝手に削除されたり好き放題な感じですごいカオスな状況で 見てて面白かったです. 特に最後の方は本来文字のみを受け付ける掲示板だったはずなのに, 勝手に機能拡張されて動画なども対応した掲示板に変わっていました(笑 演習だったため笑い話ですが, 実際のサービスでここまで荒らされたらたまったものじゃないですね.

Webプログラミング基礎講座(後篇)

服部さんより, Webの脆弱性検査の自動化を行うプログラミングについて講義していただきました. 他人の管理しているサーバに対して行えば攻撃となるため, 仮想環境上にOWASP BWAという 脆弱なWebアプリケーションを集めているマシンに対して行っていきました.

プログラミング言語としてはPython(2系)を用いて,ライブラリは BeautifulSoup, requestsを使用しました. プログラムとしてはBeautifulSoupでタグを取得していき, そこに含まれるリンクなどを調べていきました. また,requestsを用いて自動ログインを行うスクリプトを作成するという がっつりプログラミングでした.

いじって壊して遊んでハッカーになろう

小出さんより,ラズパイ(RaspberryPi)を用いた電子工作的な講義をしていただきました. 最初に電子回路を組んでLチカ(LEDをチカチカ)を行い, 持参したリモコンなどの赤外線を受信して赤外線を操る!という講義になるはずでした.

実際は配線図を見ながら回路を組むのも結構難しく, 何とかLチカはできたかなという感じでした. 赤外線の方については持参したリモコンの種類が違ったり, 会場でいろいろな電波が飛んでいたりとなかなかうまくいきませんでした (後にうまくいった場合の結果も実演していただきました).

専門講座3日目

ハニーポット+マルウェア解析講座

濱本さんより, ハニーポットの調査とマルウェア解析についての講義をしていただきました. 最初に心構えとして孫子ニーチェの言葉を引用して

  • 敵を知り己を知らば百戦殆うからず
  • 長く深く深淵を覗き込むとき,深淵もまたお前を覗き込む

という言葉を説明していただきました. 守る側として, 攻撃手法を知らないと守りようがないため攻撃手法を知る必要があるのですが, 攻撃手法を知ってしまいそちら側にならないようにという注意を込めていました. (個人的になんですが,2つ目の内容を読んでると仮面○イダー感がありますね).

その後,ハニーポットに引っかかった攻撃者がそのマシンで何を行ったかということを調査していきました. すると,ルートキットが仕込まれていたり,コマンドが汚染されていたりしました. 午後からはマルウェア解析ということで,仮想マシン上で動的解析を行っていきました. 動的解析は,実際にプログラムを実行しその挙動などを観察します. マルウェアを実行すると,さまざまなプロセスが発行されるかなどを確認できました. また,マルウェアを調査するサイトもいくつか紹介され,そのサイトからも調査を行ったりしていました.

まとめ

3日間充実した時間を過ごすことができました! チューターという立場から 講義で幅広い知識をつけるキッカケを掴むこともできましたし, 運営の大変さも知ることができました. 今回のキャンプに携った皆さまありがとうございます!

今後は,宮崎のセキュリティも盛り上げていきたいです!