セキュリティ・ミニキャンプ in 岡山に参加した
セキュリティ・キャンプとは
サイバーセキュリティについての高度な技術が学べる勉強会。全国大会と地方大会があり、後者はミニキャンプと呼ばれます。
今回は2018年11月に岡山で行われたミニキャンプについての参加記録です。1日目は一般講座、2日目に専門講座でした。
経路
往復をレンタカーで行きました。 所要時間は片道12時間…! 先輩2人と行ったので1人当たり4時間です笑
行き:福島→日本海側の各県→岡山
帰り:岡山→大阪→太平洋側の各県→福島
一般講座
ここ数年のサイバー攻撃の動向変化の図解と得られた教訓
講師:名和利男氏
概要:
多層防御
- 攻撃者は経済的利得につながる対象を攻撃対象としている
- 攻撃対象までの経路を多層防御する必要がある
インシデント対処時の意識
- 攻撃者の意図を表面的な事象のみで判断せず、潜在的な事象まで掌握すべき
- 情報が窃取されたインシデントのあと、攻撃精度を上げた攻撃がくる恐れが高まる
- 情報とられただけで実被害ありませんよなんて言ってられない
サプライチェーンのリスク
- 攻撃の入口は周辺機器や接続するシステムに拡大している
インシデントに対する組織のこれから
- 的確な状況把握をする
- セキュリティ担当者に丸投げは避ける
- 本当に事態対処できるかを重要視し、前もって身構える
- 経営層が脅威によるリスクに責任を持つ
- 状況認識脳力を獲得し、発揮する
サイバー攻撃対応の基本~これだけはやって欲しいこと~
講師:川口洋氏
WannaCryが変えた認識
- サイバーセキュリティは情報漏洩だけでなく、事業継続の問題になった
- 建前やアピールのための対策なのか、本気の対策なのかきちんと考えるべき
VirusTotal
- マルウェア感染などが疑われるファイルやURLを分析してくれるサイト
- 怪しい文書ファイルや、怪しいメールの添付URLなどを簡易的にスキャンするのに使える
- ただ、正規ファイルなどを含めかたっぱしからアップロードすると、意図しない情報漏洩にもつながるので注意
ドメイン取得と管理
インシデント発生のとき
サイバーセキュリティのこれから
サイバー犯罪体験型コンテンツによるセミナー
講師:岡山県警
攻撃者役と被害者役に分かれて、実際に代表的な攻撃に遭ったらどういうことになるのか実演していただきました。 模擬的に最中の双PCの画面などが映され、わかりやすく体験できました。
専門講座
岡山大は広く、たどり着くのに少し大変でした
サイバー攻撃対応実践
講師:川口洋氏
1個の改竄されていない正規のWebページと、20個の改竄されているかどうかわからないWebページが与えられ、各ページは改竄されているのか調査するという演習でした。
目で見てわかるようなものから、ソースを読まないといけないもの、はたまた会場で正解が出なかったものまでありました。
正解者がいなかったもの:
僕はソースコードを読むなどして探していましたが、ソースファイルを取得してdiffで調べる方もいました。しかし、.htaccessはわからなかった…
Webセキュリティ入門-攻撃者の狙いを先読みする
講師:米内貴志氏
概要:
- 多層防御の考え方
- Webの境界
- XSSの概要と演習
Webの境界
- Origin
- スキーム、ホスト、ポートの3つをOriginとして定義
- Same-Origin Policy(SOP)
- リソースのアクセス範囲を制限
- Originの外からは原則アクセスできない
- CORS(Cross-Origin Resource Sharing)
- SOPが有効になっていても、Cross-Originからアクセスしたいときにリソースのアクセス許可をする仕組み
XSS
- Originの観点から見たXSS
- SOPがあるので、原則はCross-Originでリソースにアクセスできない
- そう考えるとXSSはOriginの内部に侵入する行為ととらえることができる
- 攻撃対象のOrigin内部なら、自由に動ける
上記のことについて詳しく講義があった後、実際に各項目について演習しました。 具体的には、
- SOPが有効の時と無効の時の挙動の違い
- cookieを奪取しに保存されたセッションIDを抜き取ったあと、それを使って相手のセッションを奪う
などを体験しました。
まとめ
一般講座、専門講座ともに充実していて、なにより楽しかったです! 専門講座は、自分が知識として知っていたものが形になって体験できてさらに理解が深まりました。
おまけ
石川県の尼御前SAでは尼御前SA自身が売られていた形跡がありました(大嘘)。