radioc@?

レディオキャットハテナ

【勉強会メモ】総関西サイバーセキュリティLT大会(第5回)

sec-kansai.connpass.com

日時:2017/10/11(水) 19:00 〜 21:30

場所:さくらインターネット本社

何回か参加させてもらっているセキュリティの勉強会。毎回100人超のキャパが満席になるほど盛況で、セキュリティの専門家だけでなくインフラやアプリケーションのエンジニアも参加しているようで、この分野の関心の高さが伺える。

データ消失事故や社内不正調査及び事件捜査に役立つバイナリデータの解析Tips

発表者:しもがいと だい さん

遅刻したためほとんど聴けず。HDDの全セクタを完全消去できるソフトは無いという話をされていた。

15分でわかる『Webアプリケーション脆弱性診断』

発表者:上野 宣 さん

Webアプリケーションの脆弱性診断

プラットフォーム脆弱性診断

  • 既知の脆弱性
    • バージョンが古い、サポート切れのソフトなど
  • 設定の不備

※Webアプリケーション脆弱性診断は主にゼロデイ探し

⇒他に誰も発見してくれない

2つの診断手法

  • 自動診断
    • 自動ではうまくいかないケースがある⇒セッションIDなどは自動では判別できない
  • 手動診断
    • アクセス制御などのルールの判断は診断する人に依存

⇒自動と手動の併用が必要

診断ツール

  • Proxyツール
    • サーバとクライアントの間に割り込んで通信の内容を見る
  • OWASP ZAP
    • OSS
    • 自動・手動のツール
  • Burp Suite
    • 無償版(自動診断ツールなし)
    • 有償版($349/year)

(診断サービスに発注すると50〜100万が相場)

Webアプリケーション診断ガイドライン

  • 脆弱性診断士スキルマッププロジェクト
    • 個人の技術的な能力を具体的にする
    • ガイドラインがダウンロードできる
    • 手動診断に役立つ

Pentester Skillmap Project JP - OWASP


以降はLT枠の発表

物理的脅威にあった話

発表者:Aya Sugieさん @rougelecca

インフラエンジニアで大分県日田市の支社に行ってスイッチの設定を実施

⇒今年7月に大分県日田市で起きた水害で建物ごと流された

水害が起こったので交通機関が使用不可⇒そもそも行けない

⇒バックアップを現地にリモートで渡して仮稼働(後日スイッチは見つかった)

災害・障害対策

想定外のことが起こりうる可能性を考慮しておく

セキュリティの○○○を買ってみた

発表者:chocopurinさん

コミケにはIT系技術書もある

⇒セキュリティの薄い本を買ってみた

めもおきばTechReport 2017.08

d.nekoruri.jp

Coterie magazineシリーズ

きじゃくせい (ソース不明)

TomoriNao Vol.1

低レイヤーの話、テクニカルサポート詐欺、Vimの話など

tkmr.hatenablog.com

※参考

support.norton.com

まとめ

  • 一般書籍やネットに流れないニッチな情報が得られる
  • 情報の真偽は自己責任

プログラミング初心者へのセキュリティ教育から思うこと

発表者:萩原さん

  • 求職者向けにWeb関連のプログラミング・デザインの技能取得のためのセミナーの仕事をしたが、セキュリティに関する授業が組み込まれていなかった
  • 教えたほうがいい⇒勝手に作った

事例の紹介だけで1時間ぐらい実施

blog.tokumaru.org

  • 2014年のSQLインジェクション対策漏れ判例
  • ECサイトのクレジットカード情報が漏洩
  • 開発会社も責任があるとの判断
  • 最低限のセキュリティ対策はやって当たり前
  • 契約にない、知りませんでしたは言い訳にならない

ポイント

一般的に実感できることで説明

お金(結果いくら払ったか)で伝える

  • セキュリティは専門家だけの仕事ではない⇒専門家でなくてもできることはある
  • 専門家だけではセキュリティは守れない
  • 各々の立場でできることをできるようにする
  • 専門家育成をクローズアップしすぎない

黒林檎のお部屋 - IPカメラハッキング

発表者:黒林檎さん

イニシャルB の記事について検証

internet.watch.impress.co.jp

(実際に乗っ取れることを試した動画の紹介)

  • 中国製の部品を扱った安価なIoT機器が日本のメーカーから販売されている
  • IoT物理セキュリティまで見れる人間は珍しい
  • 脆弱なチップセットは使わないように

DEF CON OSINT CTF

発表者:seraphさん

DEF CONとは

  • 世界最大規模のセキュリティカンファレンス
  • ラスベガスで開催

www.defcon.org

参加方法

  • Team pinja(binja + ping)
  • 4人1チーム(大阪からリモートで参加)
  • 丸2日実施

⇒190チーム中8位

感想など

自分の領域からすると馴染みが薄くハードルが高く感じる内容もあるが、LT枠でも言われていたがWebのエンジニアもセキュリティ知識は必要で知らないでは済まされないことも多いので、毎回とても勉強になっている。「Webアプリケーション診断ガイドライン」は知らなかったのでぜひ使ってみたい。

なお、次回は12月13日に開催とのこと。