ふるつき

私は素直に思ったことを書いてるけど、上から目線だって言われる

セキュリティミニキャンプ in 四国(高松)に参加した

 です。今回で通算だと4回目……。随分な回数を積んできました。毎度新鮮な驚き、凄さ、楽しみをあたえてくれるミニキャンプには脱帽する限りです。

 ところで、今回のミニキャンプは、いままでと少し形式が違っていました(私が知らないだけで、同様の形式のミニキャンプがすでに行われていたかもしれませんが)。一日目には全く専門講座無しで、宿泊もありません。専門講座は二日目にすべて集約されていました。

 これについて、少しだけ文句を言いたいです。というのも、「キャンプ」じゃねーじゃんというものです。お泊りしたかったなーと思っています。ちょっとした交流が、とっても大事だと思っているので。特に、私などは奥手で他人としゃべるのは苦手ですから、いろんな人と仲良くなれる時間がもっと欲しかったです。

一日目 一般講座

 ばさっと省略しちゃいます。思い切って。ちょっとだけ、備忘録として感想を書くと「物理的セキュリティについて、きちんと考えたことがなかったが、とても大事なことだなぁ。データセンタでは、厳重な管理をしてるんだなぁ」ということや、「ネットワークの構築って難しそうだなぁ。インシデントへの対応もつらそうだなぁ。自分の身に降りかかってきたらどうしよう。やってみたいけども、怖いなぁ」ということでした。

 一般講座は専門講座とは別に申し込まなければならないということを知らなかったので、運営の方に迷惑を書けたのは秘密ですが、将来の自分のためにここに書いておきます。

二日目 専門講座

 朝九時から、夕方十六時までです。ちょっと短く感じました。

園田先生 セキュリティ基礎

 毎度おなじみのセキュリティ基礎です。参加者同士の交流も兼ねて、今回はランサムウェアについてのディスカッションを行いました。具体的には、

  • 情報、ITに詳しくない方が、どのように対策をすればいいのか。どんな方針を示せばいいのか。
  • とくにランサムウェアへの対策があるか

 ということと、

  • ランサムウェアの被害を受けて、お金を払ってしまっていいのか
  • もし、医療機関などの人命に関わる重要な情報だったらどうか

 という点について考えました。

 先に復習しておくと、ランサムウェアは「コンピュータ上のデータを暗号化して使用不可能にしてしまう。復号のための鍵を得るにはお金(ビットコイン)を支払う必要がある。独力での解読は不可能と言っていい」というような悪質なプログラムです。感染経路としては、「添付ファイル」や「改ざんされたウェブサイト上の広告」などです。フォレンジックのプロでもデータは復元できないのでしょうか。

各グループで考えましたが、対策に関しては似たような結論が出ました。

  • 対策としては、ハードディスクのバックアップをとることが第一である
  • みんながバックアップをとり、ランサムウェアが脅威でなくなれば流行らなくなるだろう
  • インターネットが安全ではないことを周知しなければならない
  • 広告はblockする
  • そもそもネットにつなぐ必要があるかを考える

 などです。グループ内ではSandboxを用いるという話も上がりました。これに対して、先生は「バックアップを取るなんて当たり前のこと。……だけど軽視されがち」ということと「バックアップはいざ取るとなると大変。具体的な手順も示せるようになると良い」とのことでした。ごもっともでございます。精進したい。

 それから、ユニークな意見として「スペックの低いコンピュータならば、暗号化に時間が掛かるので、被害を受ける前に対策を打てるのでは、という意見も期待していた」そうです。なるほど。

 私はバックアップとってないです。もし、データ量が少ないなら、ストレージに全部投げてしまうのも手かもしれないといまふと思いました。

 それから、「お金払うか問題」ですが、基本的に全ての班で「可能な限り払うべきでない。重要度に応じて払う必要性を検討する」という結論でした。払うな、というのは、お金を流してしまうことで「これは儲かる」という意識が強くなりますし、払ったお金が新たな被害を生む可能性があるからです。

 逆に、重要度の高いデータには払うのも已む無しとのことでした。イニシアティブは一切合切を向こうに握られているので仕方ないですね。

 面白い意見としては「保険を作る」がありました。負け負けですが、次善の策ということになりそうです。

 それから「秒で払う」という意見は我がグループで出ました。これは「かかってしまったものは仕方ない。対策を打てないので、データは諦めるか、払うか、2つに1つだろう」ということですね。潔さと開き直りが同居しています。

微妙に趣旨とはずれますが、「しかるべき組織(IPAとか)に報告する」も上がりました。大事。

 園田先生は、「重要度の高いデータはお金を払っても復元したい。ならば、日頃からデータを整理して、なにが重要か把握しておくことも大切」と仰っていました。

 ランサムウェアの脅威を認識する良い機会になったと思います。

 

廣田先生 HTTP Proxyビギナーズ

 Proxyの用途は多岐に渡りますが、今回は「セキュリティ面の検証」を目的としたProxy講座でした。

 主にBurp Suiteを利用して、リクエストデータを書き換えるというような話でした。簡易的なウェブサービス脆弱性あり)を、リクエストデータを書き換えつつ、どこがまずいのかを突き止めていきました。ほとんどctfだったので、それなりに見当したつもりですが、甚大な被害を与えるような脆弱性を発見することができず、少し悔しい思いをしています(Adminをとるなど)。

 また、Androidアプリの通信データを、Proxyを経由させて書き換えるための環境も見ました。ctfに気を取られて、こちらをあまり触らなかったことは失敗でした。なにやら、AndroidにProxyを噛ませるのは、ちょっと面倒なことのようで、しっかり設定を見ておけばよかったと思っています。

 これだけで終わるのは寂しいのでもう少し。どのようなリクエストの書き換えポイントですが、「ユーザに見えない部分」を中心的に攻めるとよいとのことでした。ユーザに見える部分に関しては、設計者も「どんな入力があるやら」と考えてvalidation噛ませますが、見えない部分は、通常はシステムが設定した値が入ると考えて、検証をサボるからです。また、selectboxなどでは「選択肢にない値」を挿入してみることも効果的でした(user idを、デフォルトでは存在しない1にした場合に、adminアカウントがみれたりしました)。

 「Proxyサーバを書いてみましょう」とか言われると思っていたので、ちょっと怯えていましたが、易しい内容だと感じました。

松本先生 パケット盗聴ハンズオン

 「あんまり書かないで」と言われているので、感想を一言だけ。

 セキュリティについて、より、考えさせられました。すごかった。

 二言でした。

その他

 人付き合いが苦手なので、とにかく「名刺をさばく」ことを考えて、開始前にどどどっと投げました。正解かどうかは怪しいですが、だいたい名刺を配れました。ということはほとんどの参加者の方と一言以上は会話をしたということでとてもめでたい。あと、「アイコン知ってる」という方がおられて嬉しかった。

 ただ、名刺なくなって、「高専カンファレンスlolで余った名刺」を投げ始めたのは失敗。ちゃんとしたの刷ってくるべきでした。

これは大事なことですが、 セキュリティ・キャンプ全国大会 に是が非でも参加したくなりました。まだ応募用紙は白紙ですが、いまから一週間、出来る限りのことはやりたいです。