• ログインログイン
  • 新規登録新規登録

MENU

2013年8月13日から幕張で開催されたIPA主催のセキュリティキャンプに参加してきました。

こんにちは。今回エンジニアインターンにて2013年8月13日から8月17日に幕張で開催されたIPA主催のセキュリティキャンプに参加してきた、レポートを書かせて頂く遠藤と申します。

実際にセキュリティキャンプに参加してみてのお話を皆様にお伝えできればと思います。

1. IPAが主催しているセキュリティキャンプとは?

キャンプと聞いて思い浮かべるのは外にテントを張って自然を楽しむものだと思うでしょうが、このキャンプはキャンプと言ってもIT分野への強い興味、関心がある22歳以下の学生がセキュリティについて学ぶものです。それぞれの専門分野に分かれ、5日間かけてしっかりとセキュリティの奥深い所まで学びます。また、分野の壁を超えて協力しながら問題を解いたり、課題についてまとめて発表をしました。また、企業見学等もあります。

より詳細については、IPAのホームページにもあるのでぜひこちらからご覧になってみて下さい。

2. セキュリティキャンプの開催日程紹介

セキュリティキャンプでは、ネットワークセキュリティクラス、ソフトウェアセキュリティクラス、Webセキュリティクラス、セキュアなシステムを作ろうという4つのクラスがあります。

私の今回参加したクラスは、Webセキュリティクラスでした。5日間のセキュリティキャンプの開催日程は下記の通りです。

[1日目]

(1)名刺交換

(2)セキュリティ基礎

  • Winnyの暴露ウイルスについてのディスカッション
  • NICTERでのセキュリティの可視化
  • ハッカー検事の特別講演

[2日目]

(1)Webクラス専門講義

  • XSSについて
  • CSPについて
  • 脆弱性の届け出について
  • XSSハント入門
  • 脆弱性検査について
  • 通信プロトコルについて
  • セッション固定化攻撃について
  • 実技(簡易SNSの脆弱性発見&修正&攻撃)

[3日目]

(1)企業見学

  • 複数のアカウントを簡易的にかつセキュリティを維持して管理方法に関するディスカッション
  • 施設見学

(2)Webクラス専門講義

  • 実技

[4日目]

(1)Web専門講義

  •  実技(最終発表)
  • 実技模範デモ

(2)CTF(Caputure The Flag)の実施

[5日目]

(1)グループワーク発表

(2)終了式

3. セキュリティキャンプの内容について

セキュリティ基礎の講義内容

セキュリティ基礎の講義では、まずWinnyの暴露ウイルスに感染しないようにする為の対策についてグループでディスカッションを行いました。ディスカッションの中ではWinnyを使用しない、使用者の教育をしっかりと行うべき、重要な書類等はWinnyでは使用しないといった意見が出ました。

NICTERの使い方に関する講義では、パケットを大量に自動解析し、分かりやすくしたものを実際に見させていただき、リアルタイムでどこが攻撃されているのかがはっきりと分かりました。

最後にハッカー検事こと、大橋検事の講義はセキュリティ犯罪についてでした。セキュリティを学ぶ事で、いろいろな技術を試したいと思っても、少し間違えると悪質な攻撃になってしまい、セキュリティ犯罪につながってしまう恐れもあるので、緊張感を持つべきであるというお話を大橋検事の実体験を交えながらお話しして頂きました。

日本TOPレベルのWeb専門講義

専門講義では基礎からではなく応用から。非常に高度な内容のもが多く、SQLインジェクションはほぼ対策ができているのに、何故XSS(クロスサイトスクリプティング)は対策しきれないのか?についてや、日本ではまだ広まっていないCSPについてディスカッションを行ったり、実際にサイトの脆弱性を発見したらどうすべきか、脆弱性を報告されたらどうすべきかについて講義をうけました。

実践では、3チームで、SNSサイトの脆弱性をみつけ、改善し、相手チームに対してセキュリティ攻撃を仕掛けるプログラムを書きました。

防御する側、つまりはSNSサイトの運営側は脆弱性が発見されたらすぐに改善しなければならず、攻撃側(ハッカー)は事前に攻撃前の準備が可能であり、時間をかければハッキングできる可能性は高くなります。

今回は攻撃側の時間制限がありましたが、現実の状況下では、圧倒的に攻撃側が有利なのが現実です。

最後に、講師陣が脆弱性を実際につくと、どのようなことが可能になってしまうのかのデモを見せてくれました。IEの特性を生かした攻撃で、プログラムを書き替えて、サーバを落とした後に再起動させると、サーバがたたずに、パソコンの電卓アプリが立ち上がるという芸術的なハックは今でも印象に残っています。 

CTF(Caputure The Flag)を実際にやってみて

CTFとはCapture The Flagの略で、セキュリティ技術を競うコンテストの総称です。今回はグループを組み、協力しながら6時間かけてクイズ形式の問題をときその得点を競いました。

問題はアセンブラ短歌や、XSSについて各専門分野の問題が出題されていました。初めてCTFにチャレンジした私にとっては難易度が高いものでした。

CTFの競技中には、妨害コンテンツといって作業者の集中力を削ぐような音楽が絶えず流れている状態でコードを書かねばならず、非常に苦労しました。気にせずにはいられないような、音楽が流れてくるからです。

余談になりますが、実際にどのような音楽が流れていたのが実際に紹介してみたいと思います。

3. セキュリティキャンプに実際に参加してみて

セキュリティキャンプに参加したことで、セキュリティに留意した開発を行うことの重要性や面白さ、難しさはもちろんの事、それ以上に自分の知識、技術のなさが痛いほど分かりました。講義の内容、実践の内容、CTFすべてにおいてレベルが高くてここに自分がいてもいいのだろうか?と思うほど、参加者のレベルは非常に高いものでした。

毎日挫折感と劣等感を味わいましたが、もっとセキュリティについて学びたいと思うようになりました。セキュリティキャンプの参加をきっかけとして、もっとセキュリティについて勉強してみようと思い立ち、現在パケットの勉強をしています。ぜひ興味関心のある方は今の現状の能力で参加するかしないかを決めるのではなく、一度ぜひセキュリティキャンプに参加してみてはいかがでしょうか?

オススメ記事一覧

もっと見る
完全無料!

1で登録完了!

エンジニアの仕事・年収や選考ノウハウ記事が読めるほか、
会員にはプログラミング講習やES・面接対策などリアルな無料サポートも充実。
ここだけの求人情報も多数。

今すぐ新規会員登録
Page Top