CODE BLUEにSECCONに、リアルが忙しかった12月:セキュリティクラスター まとめのまとめ 2014年12月版(1/2 ページ)
セキュリティクラスターが一堂に会したセキュリティイベントが多く開催された12月。一方、世界に目を向けると日本企業が深刻なサイバー脅威に見舞われていました。
2014年12月のセキュリティクラスターは、「The Interviews」というB級コメディ映画にまつわる一連の事件や、セキュリティイベントが盛り上がりを見せていました。
中でもCodeBlue、SECCONの予選に関してはツイートも多く、セキュリティクラスターのたくさんの人が参加していたのだと思われます。そして今月もまた、おなじみのパスワードの定期変更に関する小さな盛り上がりがありました。
世界につながるCTFへ「SECCON」予選開催される
2014年12月6〜7日にかけて、日本最大のCTF大会といっても過言ではない、「SECCON CTF」の予選が開催されました。開催前日に突然「SECCONの優勝者にはDEFCON CTFのシード権が与えられる」ということが発表されると、海外からも多数の強力なチームが参加することになりました。今回は総勢800チーム以上が参加したようです。
CTFの場合、競技中はツイートしている暇はないのでTLは静かなのですが、その中でいちばん盛り上がっていたのは、ある意味SECCON名物といってもいい「箱庭XSS」でした。箱庭XSSとは、用意されたアプリケーションにクロスサイトスクリプティングを成立させる文字列をたくさん入力させるというシステムです。
箱庭XSSは、2013年に開催された「SECCON×CEDEC CHALLENGE」において、「XSSスピードラン」としてデビューしました。2014年7月の予選大会では「箱庭XSSリターンズ」をリリースするものの、コード一発でクリアできてしまうことが判明。毎回本意ではない解かれ方が行われてしまうため、チート対策をしっかり行っていたようです。
しかし、当初Visual Studioが入っていない環境では動かなかったり、チート対策を厳しくしたせいでアプリケーション自体が正常に動作せず、競技途中でリアルタイムに修正が入ったりするなど、今回もいろいろ大変だったようです。作者の山崎さんも反省しきりな感じでした。その苦労の様子は、山崎さんが投稿した下記の「【XSS Bonsai】 受賞のご挨拶」を見ると分かります。
なお、世界のバイナリアンは普通に解析し、CTFの得点を得られる「フラグ」文字列を見つけ出していた(見つけられたのは途中のフラグまでだったそうですが)ようなので、アプリケーションでXSSというのは難しいことがたくさんあるのかもしれません。
また、競技後にはたくさんのWriteUpがツイートされていました。解けなかった問題のWriteUpを見て、小さなミスや気付かなかったことにモニターの前で声を上げた人も多かったのではないでしょうか。
日本発のセキュリティイベント、第2回CODE BLUEが開催
2014年12月18、19日には第2回「CODE BLUE」が開催されました。参加者だけでなく開催関係者、講演者にも日頃セキュリティクラスターでおなじみの人がとても多かったようで、有料のイベントにもかかわらず、講演の内容や、やり取りなどに関して大量のツイートが行われていました。現地の参加者に加え、イベントのツイートを見た人が反応することで大きな盛り上がりを見せていました。
どの講演についてもたくさんのツイートがありましたが、その中でも反響が大きかったのは「物理セキュリティ」に関する講演でした。身近な機器のコネクターにキーボードやメモリを挿すだけでいろいろできることは盲点だったのか、感心するツイートも多くあった他、「自分もやってみたい」というツイートもありました。
また、OS Xが簡単にハックできる脆弱性をいくつも紹介していた講演では驚きのツイートが多く見られました。特にCTFなどで活躍されている、バイナリやアセンブラが好きな人たちの心に刺さっていたようです。
ニュースなどで大きく取り上げられていた「ドローン」と呼ばれるラジコンヘリをハックする講演に対しては、ドローン自体がセキュリティに気を使っていないだけで技術的にはそれほど大したことではなかったので、セキュリティクラスターは冷静な反応が多かったです。
またクロスサイトスクリプティングで有名な@MasatoKinugawaさんの講演では、そのライフスタイルと収入に対する驚きのツイートも多かったです。
Twitterではお互いをよく知っているけど、実は会うのは久々だったり初対面ということもあったりするものです。このように外に出て直接顔を合わせるのも楽しい、と感じさせてくれるイベントでした。
【関連記事】
「寝ている人がいないカンファレンス」、第2回CODE BLUE開催へ:
日の当たる場所で、セキュリティの話をしよう(@IT)
http://www.atmarkit.co.jp/ait/articles/1412/16/news147.html
CodeBlue1日目まとめ(Togetter)
CodeBlue2日目まとめ(Togetter)
Googleへの報告件数は世界2位:
脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった(ITmedia エンタープライズ)
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html
Copyright © ITmedia, Inc. All Rights Reserved.