2012年4月版 新入生も新入社員も勉強会に寄っといで!


山本洋介山
bogus.jp

2012/5/14

 4月は暖かくなったからか、新入生や新入社員がやってくる時期だからか、週末は至るところでセキュリティ系の勉強会やCTFなどのイベントがあり、その中継や内容に関連したツイートが盛り上がっていました。引き続き、Androidのセキュリティやプライバシーに関する事件も発生しました。

「CODEGATE 2012」開催、日本勢の結果は……

 4月2日からお隣の韓国で、セキュリティカンファレンス「CODEGATE 2012」が開催され、同時に「YUT Challenge」という競技大会が行われました。カンファレンスの基調講演にはジェフ・モス氏が登場し、日本からは愛甲健二(@07c00)さん、フォティーンフォティ技術研究所の鵜飼裕司さんがスピーカーとして参加されました。

 YUTは他のカンファレンスで行われているCTF(Capture The Flag)とは違い、「ユンノリ」という韓国の双六のような競技を模しているそうです。Twitterだけでは、詳しいルールまではよく分からないままでしたが、ありがたいことに、@sutegoma2と@togakushiの両アカウントが競技中ずっと、YUTの得点経過や順位などの情報についてツイートしてくれたため、日本からでも観戦している気分に浸れました。

 3月に行われた予選では余裕の通過を果たし、今年こそはと優勝への期待が高まっていたSutegoma2ですが、決勝はシステムエラーに巻き込まれたこともあって、思い通りにいかなかったようです。一時は2位まで順位を上げたものの、惜しくも去年と同様、4位に終わってしまいました。


Congrats LeetChicken int3pids KAIST GoN! #codegate http://t.co/A65oWF2C
Apr 03 via TwitBird Favorite Retweet Reply

 その他、CODEGATE 2012に参加している人たちによって、競技以外の講演や韓国でのご飯の様子などについても多数のツイートが行われ、それらを見ているだけで、韓国に行った気分を味わえました。日本で参加できるセキュリティカンファレンスも少ない現状ですが、ツイートを見て、「次回は韓国に行ってみよう」と思った人も多かったのではないでしょうか。

【関連リンク】
CODEGATE2012まとめ(Togetter)

http://togetter.com/li/282338

 一方日本では「Hardening Zero」という、ECサイトを攻撃や脆弱性に対応しながら運営を続けていくという競技大会が行われました。動画中継があったものの、CODEGATEとは対照的にツイートはあまり行われず、結果も後日発表ということで、どのようなことが行われているのかは外部からはあまり分からず、残念でした。

 ただ、参加している人は楽しそうで、しかも参加チームの中からDEFCON予選に参加するチームがいくつか現れそうです。近いうちに、海外のCTF決勝大会に日本から複数のチームが参戦するなんてことがあるかもしれません。楽しみですね。

Webセキュリティ好きが大盛り上がり、Shibuya.XSS

 4月4日には「Shibuya.XSS テクニカルトーク」というイベントが開催されました。

 どのような内容の発表があるか当日まで明かされなかったにも関わらず、「XSS」というタイトルと、@Hamachiya2、@bulkneets、@hasegawayosuke、@ockeghemなど、Webセキュリティでおなじみの面々による話が聞けるということで、一瞬で参加枠が埋まってしまったイベントです。当日も会場、Twitterともに、期待に違わぬ大きな盛り上がりを見せました。

 特にTLの流れが加速したのは、@Hamachiya2さんによるプレゼンの最中でした。@Hamachiya2さんは、Google Chromeが対応している「x-autocompletetype」というフォーム自動入力機能の危険性をプレゼンすると同時に、検証ページをインターネットで公開。Twitterのハッシュタグを追いかけていた人たちも多数試したりRTしたらしく、この検証ページの情報がTLを埋め尽くしていました。

今からShibuya.XSSで喋る資料です! http://t.co/NEMmC6og
Apr 04 via Hatena Favorite Retweet Reply

 他にも、@bulkneetsさんは、最近発見されることの多いDOM Based XSSの傾向と対策について解説。@hasegawayosukeさんは、FirefoxのJSONハイジャックの話を披露するなど、参加者30人のクローズドイベントにもかかわらず、#shibuyaxssハッシュタグは大盛り上がりでした。

 Togetterのまとめにもたくさんのアクセスがあり、Webアプリケーションのセキュリティに関心を持っている人は想像以上に多いと感じた1日でした。

【関連リンク】
Shibuya.XSSまとめ(Togetter)

http://togetter.com/li/283573

 他にも4月には、多数の勉強会やセミナーなどのイベントが開催されました。その中でも印象的だったのは、「第3回名古屋情報セキュリティ勉強会」です。パスワードの話がテーマだったこともあり、TLがすごい早さで流れていきました。パスワードの話は誰にとっても身近な話題であるという理由もあるのか、いつも盛り上がりますね。

「The Movie」アプリで@luminさん大活躍

 このところたくさん見つかっているAndroidのマルウェアですが、その中に「連打の達人 the Movie」や「桃太郎電鉄 the Movie」のように、人気アプリ名の後に「the Movie」と名付けられたアプリがたくさん出回っていました。

 この「the Movie」アプリ、うかつにインストールすると、Android端末に記録されている利用者の電話番号やメールアドレス、そしてアドレス帳の中身が盗まれるという大変な代物でした。しかし、公式のAndroidマーケットからダウンロードできるうえに、結構な人気があったようで、約100万人が被害に遭った可能性があるというくらい広範囲に被害を与えたようです。

Androidマーケットにて、人気アプリ名のあとに「the Movie」とつけた不審なアプリが複数出回っています。これらのアプリは「連絡先データの読み取り」と「端末のステータスとIDの読み取り」が目的と思われるため、インストールは避けるのが安全でしょう。 #androidjp
Apr 11 via web Favorite Retweet Reply

 この「the Movie」アプリを解析し、配信元を突き止めて、アプリを配信するサーバを停止させたのが、ネットセキュリティ企業、ネットエージェントの社長でもある@luminさんでした。解析を素早く成功させ、Twitterに状況を報告しながらサーバを停止させて被害の拡大を食い止めるとともに、アプリの配信元サーバや作者の住所、電話番号を突き止めるさまは、さながらドラマのよう。その巧みさに、「さすがプロ」との声が多数上がっていました。

the Movieアプリを作っていると思われる人の電話番号ゲット!これで電凸できると思うけど。
Apr 12 via web Favorite Retweet Reply


The Movieアプリの作者と推定していた人ですが、某サイトのアカウントごと消えていたので逃げたと見て、これで黒当選確定です。 身柄が確保できていたら逮捕まで秒読み段階かなと思います。
Apr 17 via web Favorite Retweet Reply


the Movie アプリの結果をまとめました。 http://t.co/PmvLkoue
Apr 14 via web Favorite Retweet Reply

 他にも、Android携帯電話の通話を盗聴する「TigerBot」や、Javaの脆弱性を利用し、60万人に感染したともいわれる「Flashback」といったトロイの木馬が流行しました。自分や周りの人が何かの拍子に感染してしまい、ひどい目に遭った人もいたかもしれません。引き続き注意が必要ですね。

【関連記事】
個人情報を外部に送信する日本語のAndroidアプリに注意(@ITNews)

http://www.atmarkit.co.jp/news/201204/13/themovie.html

セキュリティクラスタ、4月の小ネタ

 このほかにも、4月のセキュリティクラスタでは以下のようなことが話題となりました。5月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

  • ローソンWi-Fiの規約がいろいろおかしい
  • IPAから出された情報セキュリティ人材についての調査報告書が面白い
  • Googleの脆弱性を見つけると2万ドルもらえることになって、賞金稼ぎの目の色変わる!?
  • 元アイドル、DNS情報書き換えというマニアックな手法を使い、Webサイトを書き換えて逮捕
  • プライバシー問題で吊るし上げられたミログが会社清算
  • 欧州でハッキングツール違法化!?
  • 日本では、いよいよダウンロードするだけで違法になるらしい
  • 2つの図書館サイトでAnonymous FTPから内部データが見放題
  • 「パスワードはツイートしても自動的に隠される」というウソツイートに騙された人が多数
  • ポイント交換サービス「Gポイント」でなりすまし事件発生
  • Windowsコモンコントロールの脆弱性により、任意のコードが実行される脆弱性(MS12-027)がヤバげ
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年3月版へ    


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間