検索
連載

CODE BLUEにSECCONに、リアルが忙しかった12月セキュリティクラスター まとめのまとめ 2014年12月版(1/2 ページ)

セキュリティクラスターが一堂に会したセキュリティイベントが多く開催された12月。一方、世界に目を向けると日本企業が深刻なサイバー脅威に見舞われていました。

Share
Tweet
LINE
Hatena
「セキュリティクラスター まとめのまとめ」のインデックス

連載目次

 2014年12月のセキュリティクラスターは、「The Interviews」というB級コメディ映画にまつわる一連の事件や、セキュリティイベントが盛り上がりを見せていました。

 中でもCodeBlue、SECCONの予選に関してはツイートも多く、セキュリティクラスターのたくさんの人が参加していたのだと思われます。そして今月もまた、おなじみのパスワードの定期変更に関する小さな盛り上がりがありました。

世界につながるCTFへ「SECCON」予選開催される

 2014年12月6〜7日にかけて、日本最大のCTF大会といっても過言ではない、「SECCON CTF」の予選が開催されました。開催前日に突然「SECCONの優勝者にはDEFCON CTFのシード権が与えられる」ということが発表されると、海外からも多数の強力なチームが参加することになりました。今回は総勢800チーム以上が参加したようです。

 CTFの場合、競技中はツイートしている暇はないのでTLは静かなのですが、その中でいちばん盛り上がっていたのは、ある意味SECCON名物といってもいい「箱庭XSS」でした。箱庭XSSとは、用意されたアプリケーションにクロスサイトスクリプティングを成立させる文字列をたくさん入力させるというシステムです。

 箱庭XSSは、2013年に開催された「SECCON×CEDEC CHALLENGE」において、「XSSスピードラン」としてデビューしました。2014年7月の予選大会では「箱庭XSSリターンズ」をリリースするものの、コード一発でクリアできてしまうことが判明。毎回本意ではない解かれ方が行われてしまうため、チート対策をしっかり行っていたようです。

 しかし、当初Visual Studioが入っていない環境では動かなかったり、チート対策を厳しくしたせいでアプリケーション自体が正常に動作せず、競技途中でリアルタイムに修正が入ったりするなど、今回もいろいろ大変だったようです。作者の山崎さんも反省しきりな感じでした。その苦労の様子は、山崎さんが投稿した下記の「【XSS Bonsai】 受賞のご挨拶」を見ると分かります。

 なお、世界のバイナリアンは普通に解析し、CTFの得点を得られる「フラグ」文字列を見つけ出していた(見つけられたのは途中のフラグまでだったそうですが)ようなので、アプリケーションでXSSというのは難しいことがたくさんあるのかもしれません。

 また、競技後にはたくさんのWriteUpがツイートされていました。解けなかった問題のWriteUpを見て、小さなミスや気付かなかったことにモニターの前で声を上げた人も多かったのではないでしょうか。

日本発のセキュリティイベント、第2回CODE BLUEが開催

 2014年12月18、19日には第2回「CODE BLUE」が開催されました。参加者だけでなく開催関係者、講演者にも日頃セキュリティクラスターでおなじみの人がとても多かったようで、有料のイベントにもかかわらず、講演の内容や、やり取りなどに関して大量のツイートが行われていました。現地の参加者に加え、イベントのツイートを見た人が反応することで大きな盛り上がりを見せていました。

 どの講演についてもたくさんのツイートがありましたが、その中でも反響が大きかったのは「物理セキュリティ」に関する講演でした。身近な機器のコネクターにキーボードやメモリを挿すだけでいろいろできることは盲点だったのか、感心するツイートも多くあった他、「自分もやってみたい」というツイートもありました。

 また、OS Xが簡単にハックできる脆弱性をいくつも紹介していた講演では驚きのツイートが多く見られました。特にCTFなどで活躍されている、バイナリやアセンブラが好きな人たちの心に刺さっていたようです。

 ニュースなどで大きく取り上げられていた「ドローン」と呼ばれるラジコンヘリをハックする講演に対しては、ドローン自体がセキュリティに気を使っていないだけで技術的にはそれほど大したことではなかったので、セキュリティクラスターは冷静な反応が多かったです。

 またクロスサイトスクリプティングで有名な@MasatoKinugawaさんの講演では、そのライフスタイルと収入に対する驚きのツイートも多かったです。

 Twitterではお互いをよく知っているけど、実は会うのは久々だったり初対面ということもあったりするものです。このように外に出て直接顔を合わせるのも楽しい、と感じさせてくれるイベントでした。

【関連記事】

「寝ている人がいないカンファレンス」、第2回CODE BLUE開催へ:

日の当たる場所で、セキュリティの話をしよう(@IT)

http://www.atmarkit.co.jp/ait/articles/1412/16/news147.html

CodeBlue1日目まとめ(Togetter)

http://togetter.com/li/759159

CodeBlue2日目まとめ(Togetter)

http://togetter.com/li/759570

Googleへの報告件数は世界2位:

脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった(ITmedia エンタープライズ)

http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html


Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  8. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  9. 廃止済みの「Internet Explorer」を悪用したリモートコード実行の脆弱性、Microsoftは対策パッチをリリース
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る