セキュリティ・キャンプ 九州 in 福岡 2015 write up
8/28から8/30に掛けて、セキュリティ・キャンプ 九州 in 福岡に参加してきました。
この記事は、その3日間のwrite upです。
基本的に殆どつらつら書き綴るので何かまずいことがあれば、ご指摘ください。
キャンプに応募したきっかけ
そもそもセキュキャンについてはTwitterで全国の方に応募したというツイートを見て知りました。
それが全国の応募締め切り3日前くらいだったのですが、応募の要項を見てみると、当時の自分の実力じゃ3日間では、とてもじゃないけど無理だなあ、と思ったので諦めて、まず九州の方に参加してみようと思い、応募しました。
九州の方は、応募要項の設問なども難しくなく、やる気を問われるような設問だったので、自分のやる気などについて詳しく書きました。
キャンプに通った話
正直、セキュリティ方面はもともと強い方ではなく、キャンプに通るかわからなかったのですが、8月上旬に、通ったというメールが届きました。
他の方にも届いたようで、当日にTwitterで通った人をサーチしてフォローしました。
キャンプ当日までにしたことの話
某サイボウズ Liveでグループが作られていたので、そこで次第に課題などが出たので、それをこなしたりしました。
Wiresharkもここでまともに使い始めました。
パケット解析で簡単に必要な知識などはGoogle先生に質問を飛ばして勉強しました。
また、XSS Challengesというサイトで、XSSの手法なども勉強しました。
(結局Stage #10くらいまでしか進めることはできませんでしたが…。)
しかし、XSSについて簡単に知ることが出来ました。
Vagrantなどを使って、環境構築などもしたのですが、Vagrantは今年の初めくらいに、すこし触ってたのでちゃちゃっとできました。
また、OWASPの資料や、IPAの資料を簡単に読んでおいたりしました。
あとは、キャンプの人と事前にTwitterで会話したりとかしていました。
キャンプの話
Day 1
ノートパソコンを持ち合わせていないので、知っているところから、前日パソコンを借りてきたのですが、バッテリーが壊れているというインシデントが発生して大変な目にあったせいで、当日の到着が、ぎりぎりになってしまいました。
到着して、荷物を置いて、一般講座の資料などを配ったりして、席につきました。
午前中は基調講演を3つほど聞きました。
1つ目はIPAの加賀谷様の「個人の身近に迫る情報セキュリティ脅威 ~そこで何を考えるか~」というもので、実際に実機を使って、身の回りのセキュリティ脅威についてわかりやすく教えて下さいました。
不正アプリ開発者は、ブラウザなどで、不正アプリを入れた人の端末に自由にコマンドを送り込んで、リアルタイムにいろいろなことをしたりする、といったことに驚きを感じました。
2つ目は経済産業省の山下様より「サイバーセキュリティ基本法と企業へのメッセージ」という話で、企業向けの話でしたが、私達にも興味深い話をしてくださいました。
統計では、社員より役員の方が、セキュリティに疎いという実態があるということに驚きを感じました。
また、セキュリティを始めとしたエンジニア(技術者)が情報をしっかりと発信していくことが大事だということも仰っていました。
3つめは弁護士の吉井様から「企業内情報管理の在り方と法的責任」という内容で、こちらも基本的に企業向けですが、貴重な話を聞かせていただきました。
インシデント発生時に、ルールや契約がなくて困ったり、そもそもルールが守られていない実態があったりするということや、マイナンバー制度や個人情報保護法改正の話などを聞きました。
また、利用規約やSLA、プライバシーポリシーをしっかり決めておくことが必要ということや、法律と技術の対話が必要ということを聞きました。
その後、昼食を食べ、違う部屋に移動し、園田先生の「セキュリティ基礎」という講義を受けました。
班で良いパスワードについて考え、発表などをしました。
私達の班では、登録するサービス名からアルファベットをなんらかの規則で取り出し、固定の文字列をそのあとに付け加えればいいのではないか、という意見にまとまりました。
例えば、サービス名を英語にして、奇数番目の文字を、頭から3つとりだすという規則を使ってみると
Twitterだと「tit」、Facebookだと「fcb」と取り出して、その後に固定の文字列、例えば「Smk7508」をつなげると、それぞれ「titSmk7508」、「fcbSmk7508」となります。
他の班でも、おもしろい意見が出ていてよかったなあと思いました。
園田さんは、ランダムな英数字を使って、それを書いて、机の中に入れておけばいいのではないか、と仰っていました。
パソコンの近くにパスワードが紙などで書かれていることが問題のようです。
英数字のパスワードなどではなく、生体認証の話もありましたが、意外と生体認証は抜け道があって、あてにならないところが多いことや、実はサインが一番安全なのではないか、などといった話も伺いました。
また、BIOSパスワードは危険である、ということも学びました。
その後も同じく園田先生で「pcapデータ解析」という講義を受けました。
Wiresharkを使って、USBメモリで配布されたpcapデータを解析するというものです。
合計で9個くらい配られたのですが、時間以内にはすべて理解することは不可能でした。
途中配られたpcapファイルが、ウイルス対策ソフトによって駆逐される、といった話題が出てきて、私のWindows Defenderも駆逐してしまったので、機能を無効にするなどしました。
「Windows Defenderが仕事してる!」
「ウイルスバスターぱねえ」
などといった言葉が室内で飛び交っていました。
その後、ご飯を食べ、続いて会員企業タイムとして、LINE Fukuoka様からのお話がありました。
会社の概要や、LINEの統計情報について知ることが出来ました。
コードを書いてて楽しい*1ワクワクって方が来ていらっしゃったので少し親近感がわきました。
そのあと、ホテルにタクシーで移動(ここ重要)し、ホテルで一段落しました。
ホテルは3人部屋でした。
夜に、講師の方が交流会(?)をやるということで、そちらに出向い、話などを聞きました。
「NHKに俺の顔が映ってる!」とかいって、みんなNHKの動画を見たりしていました(二回ほど)。
残念ながら今はもう消されているようです。
数十分すると、どんどん人が減っていき、何事か!と思ったのですが、向かいの部屋に人が移動していました。
私もそちらに移動したのですが、元の部屋では、闇(?)のパケット解析が行われていたようです。
移動先の部屋では講師の先生が話をしていました。
結構耳寄りな情報が得られたのでよかったと思います。
20時位で解散したあと、名刺を渡しそびれている人に渡したりしました。
マテリアルデザイン、適用してみたかっただけなんです。。。
そして、部屋に戻り、大浴場に入り、また部屋に戻り、私はvagrant upをしながら、向かいの部屋の方も連れてきて、話などをして、1時くらいに寝ました。
https://twitter.com/kouyou__/status/637281942354825216
他の部屋でも勉強会が…。
https://twitter.com/himitu23/status/637280958954123268
とあるチューターさんのつぶやきです。
https://twitter.com/cobaltpy/status/637279712616693761
どんなホテルなんだよ!
Day 2
7時に起きて、朝食を食べ、タクシーで、初日の施設に戻りました。
拷問のような起床時間だ…とか誰かが言ってました。
https://twitter.com/ymduu/status/637398123963269120
私は普段から早いので問題はありませんでしたが…(遅寝早起き並の感想)。
朝からの講義は、服部先生の「Webプログラミング基礎」でした。
FuelPHPなどを作って、Chatアプリ(というかサイト)を作るものでした。
PHP自体、まともに触ったことがなかったので不安でしたが、結果的に完成したので良かったです。
PDFの文章のコピー、闇だったので皆さん気をつけておきましょう。
私はそれで30分位詰んでました。w
昼ごはんを食べ、休み時間を返上して午前の続きをみんなやっていました。
その後、午後の服部先生の「Webセキュリティ基礎&実践」の講義を受けました。
1時間ほど、10個ほどの脆弱性の説明を受け、用意されたサイトにみんなでアクセスして、脆弱性を見つけるということをしました。
班毎に発表するということで、結構、頑張って探しました。
事前学習で学んだXSSの知識などを使ったりしました。
configにアクセスしてbase64で文字をデコードして、パスワードを入手して、管理者ログインして、お知らせなどを改竄したりしました。
私の前に座っている人は画像ファイルを上げるところに、PHPファイルを上げて、PHPをサーバ上で動かしたりしていました。
他の班もいろんな脆弱性を見つけていて、結構楽しい講義となりました。
その後、ご飯と思いきや、Day 1で講義をしていた、弁護士の吉井様の「情報セキュリティ技術の使い方をケースで考えよう」の講義を受けました。
最初に、今まで習った技術を悪用してはいけない、と言ったことを教えてもらい、メインの模擬裁判に入りました。
この模擬裁判でも班で活動なのですが、私達の班は、原告側となりました。
裁判の題材もしっかり作りこまれていて、ストーリーの組み立ても楽しかったです。
その後、ガストで食事タイム…
と思いきや…
なんと夜ご飯は焼き肉とのこと!
8(やき)/29(にく)の日でした!
まさかセキュキャンで焼き肉食べられると思っていなかったキャンパー(造語)、大騒ぎでしたw
https://twitter.com/ruPhounds/status/637576452666318848
焼き肉会場に移動し、7人程度で座りました。
横には吉井様が座っていたので、模擬裁判の補足説明などを聞きました。
また、いろんな人の話を焼きながら聞けたので良かったです。
そして、タクシーでホテルに戻り、大浴場で、男のITトークを繰り広げました。
めっちゃ楽しかったです。
部屋ではまた前日のように、話をし(人工知能の話など)、就寝しました。
Day 3
いよいよ、最終日の朝を迎えました。
前日のごとく次々とタスクを消化し、施設では小出先生より「いじって壊して遊んでハッカーになろう」という講義を受けました。
VNCでRaspberry Piに接続し、NetBeansでARMのアセンブリをやる、という面白いことをやりました。
そして昼ごはんを食べ、Telnetにバックドアを仕掛けたりとか、そんなことをしました。
その後は、Raspberry PiのGPIOを使って、Lチカをしました。
私自身、電子工作はまったくやったことなく、ブレッドボードなんて初めて触ったのですが、周りの人に教えてもらいながらなんとか作りました。
結局、もう少しでLチカできるようなところで、時間切れになってしまいました。
ここで本講義は終わったのですが、もらった資料にはまだまだ面白いことがたくさん書いてあったので、ゆくゆく自分でやってみようと思いました。
また、急激にRaspberry Pi欲しいなぁと思うようになりました。
この後、クロージングがあり、修了証書を頂きました。
一言コメントをちゃんと言えて良かったです。
また、シールとか、ブレッドボードとかももらいました。
この後、部屋の外でキャンプを名残惜しく思ったのか、30分以上話していたり、しました。
無事に家に帰り着くことができ、ここでキャンプは終了です。
キャンプを終えての話
3日間で、たくさんのことを理解した、というより、たくさんのことに興味を持てました。
なかなか自分1人ではやろうとも思わない分野、例えば今回だったらARMのアセンブリだったりにも興味が持てたということ。
また、たくさんの人と仲良くなることが出来ました。
そもそも大学生と仲良くなることすら、めったにないのに、IT系で知り合いになれたのは本当に嬉しかったです。
また、キャンプではまだやりきれてないことがたくさんあるので、それをこれから頑張ってみようと思っています。
全国大会に出たいのですが、来年は大学受験のため厳しそうなので、頑張って現役合格して、再来年あたりに挑戦してみようと思っています。
セキュキャン九州、本当に参加できてよかったと思っています。
本当に3日間ありがとうございました!!!
*1:o(´∀`)o