【勉強会メモ】総関西サイバーセキュリティLT大会(第5回)
日時:2017/10/11(水) 19:00 〜 21:30
場所:さくらインターネット本社
何回か参加させてもらっているセキュリティの勉強会。毎回100人超のキャパが満席になるほど盛況で、セキュリティの専門家だけでなくインフラやアプリケーションのエンジニアも参加しているようで、この分野の関心の高さが伺える。
データ消失事故や社内不正調査及び事件捜査に役立つバイナリデータの解析Tips
発表者:しもがいと だい さん
遅刻したためほとんど聴けず。HDDの全セクタを完全消去できるソフトは無いという話をされていた。
15分でわかる『Webアプリケーション脆弱性診断』
発表者:上野 宣 さん
Webアプリケーションの脆弱性診断
- 脆弱性
- セキュリティ機能の不足
- 設定できるパスワードの精度が弱いなど
プラットフォーム脆弱性診断
- 既知の脆弱性
- バージョンが古い、サポート切れのソフトなど
- 設定の不備
※Webアプリケーション脆弱性診断は主にゼロデイ探し
⇒他に誰も発見してくれない
2つの診断手法
- 自動診断
- 自動ではうまくいかないケースがある⇒セッションIDなどは自動では判別できない
- 手動診断
- アクセス制御などのルールの判断は診断する人に依存
⇒自動と手動の併用が必要
診断ツール
- Proxyツール
- サーバとクライアントの間に割り込んで通信の内容を見る
- OWASP ZAP
- OSS
- 自動・手動のツール
- Burp Suite
- 無償版(自動診断ツールなし)
- 有償版($349/year)
(診断サービスに発注すると50〜100万が相場)
Webアプリケーション診断ガイドライン
Pentester Skillmap Project JP - OWASP
以降はLT枠の発表
物理的脅威にあった話
発表者:Aya Sugieさん @rougelecca
インフラエンジニアで大分県日田市の支社に行ってスイッチの設定を実施
⇒今年7月に大分県日田市で起きた水害で建物ごと流された
水害が起こったので交通機関が使用不可⇒そもそも行けない
⇒バックアップを現地にリモートで渡して仮稼働(後日スイッチは見つかった)
災害・障害対策
想定外のことが起こりうる可能性を考慮しておく
セキュリティの○○○を買ってみた
発表者:chocopurinさん
コミケにはIT系技術書もある
⇒セキュリティの薄い本を買ってみた
めもおきばTechReport 2017.08
Coterie magazineシリーズ
きじゃくせい (ソース不明)
TomoriNao Vol.1
低レイヤーの話、テクニカルサポート詐欺、Vimの話など
※参考
まとめ
- 一般書籍やネットに流れないニッチな情報が得られる
- 情報の真偽は自己責任
プログラミング初心者へのセキュリティ教育から思うこと
発表者:萩原さん
- 求職者向けにWeb関連のプログラミング・デザインの技能取得のためのセミナーの仕事をしたが、セキュリティに関する授業が組み込まれていなかった
- 教えたほうがいい⇒勝手に作った
事例の紹介だけで1時間ぐらい実施
- 2014年のSQLインジェクション対策漏れ判例
- ECサイトのクレジットカード情報が漏洩
- 開発会社も責任があるとの判断
- 最低限のセキュリティ対策はやって当たり前
- 契約にない、知りませんでしたは言い訳にならない
ポイント
一般的に実感できることで説明
⇒ お金(結果いくら払ったか)で伝える
- セキュリティは専門家だけの仕事ではない⇒専門家でなくてもできることはある
- 専門家だけではセキュリティは守れない
- 各々の立場でできることをできるようにする
- 専門家育成をクローズアップしすぎない
黒林檎のお部屋 - IPカメラハッキング
発表者:黒林檎さん
イニシャルB の記事について検証
(実際に乗っ取れることを試した動画の紹介)
- 中国製の部品を扱った安価なIoT機器が日本のメーカーから販売されている
- IoT物理セキュリティまで見れる人間は珍しい
- 脆弱なチップセットは使わないように
DEF CON OSINT CTF
発表者:seraphさん
DEF CONとは
- 世界最大規模のセキュリティカンファレンス
- ラスベガスで開催
参加方法
- Team pinja(binja + ping)
- 4人1チーム(大阪からリモートで参加)
- 丸2日実施
⇒190チーム中8位
感想など
自分の領域からすると馴染みが薄くハードルが高く感じる内容もあるが、LT枠でも言われていたがWebのエンジニアもセキュリティ知識は必要で知らないでは済まされないことも多いので、毎回とても勉強になっている。「Webアプリケーション診断ガイドライン」は知らなかったのでぜひ使ってみたい。
なお、次回は12月13日に開催とのこと。