10月23日〜24日に、セキュリティ・ミニキャンプ in 広島 2020 を行いました。

この記事では、当日の内容を専門講座中心に紹介します。

• 開催概要
• 専門講座
  • ハニーポットで学ぶセキュリティとデータ分析基礎
  • 低レイヤを歩く準備
• 終わりに

開催概要

今回のミニキャンプは1日目に一般講座、2日目に専門講座という構成でした。 一般講座は年齢制限や選抜なしで参加できる講座で、専門講座は選考課題を通過した学生のみが参加できる講座です。

• 10月23日(金)
  • 『開演挨拶』HiBiS協議会会長／国立大学法人広島大学副学長 相原 玲二 氏
  • 『サイバー犯罪の現状について』サイバー犯罪対策課員 広島県警察本部生活安全部
  • 『サイバーセキュリティ業界のキャリアについて』川口 洋 氏 株式会社川口設計代表取締役
  • 『セキュリティ・キャンプ紹介』高岡 奈央 一般社団法人セキュリティ・キャンプ協議会
  • 『OSINT を用いた標的型攻撃メールの見分け方』横内 豊樹 氏 株式会社エネルギア・コミュニケーションズ
  • 『HiBiS インターネットセキュリティ部会紹介』久保 康司 氏 HiBiS インターネットセキュリティ部会 部会長
  • 『中小企業のセキュリティ課題とサイバーセキュリティお助け隊について』飯田 恒雄 氏 株式会社日立製作所セキュリティ事業統括本部 主管技師 中小企業診断士
• 10月24日(土)
  • 『オープニング』セキュリティ・キャンプ協議会 ステアリングコミッティ
  • 『ハニーポットで学ぶセキュリティとデータ分析基礎』濱本 常義 氏／伊藤 峰行 氏／宮城 正伸 氏　株式会社エネルギア・コミュニケーションズ
  • 『低レイヤを歩く準備』谷 昌典 氏 広島大学

専門講座

ハニーポットで学ぶセキュリティとデータ分析基礎

午前中の講義は、濱本 常義 氏、伊藤 峰行 氏、宮城 正伸 氏による「ハニーポットで学ぶセキュリティとデータ分析基礎」でした。

次は、株式会社エネルギア・コミュニケーションズの濱本 常義 氏、伊藤 峰行 氏、宮城 正伸 氏による、「ハニーポットで学ぶセキュリティとデータ分析基礎」です。ハニーポットシステムの一種「T-Pot」を用いて、セキュリティ診断の基礎とデータ分析の基礎について学びます。 #seccamp pic.twitter.com/0uVUnuaIjv

— セキュリティ・キャンプ (@security_camp) October 24, 2020

まず最初に、ハニーポットとは何かの説明がありました。

ハニーポットは、正規のシステムへの攻撃を防ぐおとりとして使われていたり、攻撃者の手口を調査・研究する目的で使われていたりします。 分析や管理のしやすいデータを取得可能であることや、新たな攻撃手法の情報を得られるなどの特徴があります。

今回演習で使用するT-Potは、複数のハニーポットを利用可能にしたハニーポットプラットフォームです。T-Potに搭載されている分析基盤(ELK)を活用しながら、攻撃の様子を見ていきます。

実際にT-potを使って収集したデータをElasticsearchやKibanaなどを用いて分析・可視化をしてみました。収集したマルウェアを実際にHybridAnalysisで解析もしました。攻撃を目の当たりにして、出てきた疑問を講師に質問している参加者もいます。 #seccamp pic.twitter.com/CsTy7N3mhw

— セキュリティ・キャンプ (@security_camp) October 24, 2020

演習ではチームで課題を分担し、気になった点などをMattermost(セキュリティ・ミニキャンプで使用しているSlackライクなコミュニケーションツールです)に書き込んでいきました。

この記事では課題の中から2つ抜粋して紹介します。

攻撃を受けた状況の調査

kibanaの過去ログから統計データを見て、どういった傾向があるかを見ていきました。ある参加者は特定の日や地域からのアクセスが多いことに着目していました。

Adbhoneyの分析

AdbhoneyはAndroid deviceのハニーポットです。攻撃者がどのような意図でコマンドを自動化し実行しているかを推測しました。 また、どのようなマルウェアが送り込まれたかをログから分析してみました。ある参加者は、Android Debug Bridgeを悪用した5555/TCPポートの通信を発見していました。

新型コロナウイルス感染症対策のため、演習中に直接相談できないのが難しい点でしたが、現地で目配りしつつMattermostを活用してうまくコミュニケーションを取っていました。

低レイヤを歩く準備

午後の講義は、谷 昌典 氏による「低レイヤを歩く準備」でした。この講義では、自作OSやエミュレータ作成といった低レイヤプログラミングに取り組むにあたって必要な知識を身につけていきました。

午後の講義は、広島大学の谷 昌典 氏による「低レイヤを歩く準備」です。初心者の方が将来自作OSやエミュレータ作成といった低レイヤの世界に入っていくための前提知識として、C言語からコンパイルしてできるバイナリを眺めるところから始めていきます。 #seccamp pic.twitter.com/1SHYd82Z6E

— セキュリティ・キャンプ (@security_camp) October 24, 2020

前半はアセンブリの読み方について取り上げました。 まず、C言語のソースコードから生成したアセンブリを眺めてみました。 アセンブリの中には、push、pop、movなどいろいろな命令が並んでいます。 それらを理解するために、レジスタやメモリレイアウト、スタックについて学びました。

続いて前半部分の総仕上げとして、アセンブリで電卓を実装してみました。多くの参加者が実装できていたようです。

後半はELFの読み方について取り上げました。仕様書を使って、実行ファイルやオブジェクトファイルがどのような構成になっているかを調べました。 checksecというスクリプトを用いて、バイナリのセキュリティ機構をチェックしてみたりもしました。

最後にスタックについての理解を深める目的で、pwntoolsを用いてバッファオーバーフローを実際にやってみました。

アセンブリの読み書きをしてみた後は、ELFの読み書きです。バイナリを手で打ち込んでみます。その後、gdb-pedaを使ったスタック構造の理解、checksecを使ったセキュリティ機構チェック、pwntoolsを用いたバッファオーバーフローの実践とステップアップしていきました。 #seccamp pic.twitter.com/ToEqKU8lOu

— セキュリティ・キャンプ (@security_camp) October 24, 2020

この講義をきっかけに、低レイヤに興味を持っていただけたらとても嬉しく思います。

終わりに

セキュリティ・ミニキャンプ in 広島 2020の一般講座では、サイバーセキュリティ業界のキャリアの話から標的型攻撃対策の話まで幅広くトピックが扱われました。 専門講座もまた、ハニーポットからアセンブリ、ELFまで幅広いトピックを取り扱った回となりました。

普段あまり触れていないトピックに触れられたミニキャンプとなったのではないでしょうか。

セキュリティ・ミニキャンプは今後も全国各地で開催していきます。 募集を終了した回もありますが、本記事の執筆時点でこれから応募可能な回もあります。 この記事を読んで少しでも興味を持った皆さん、ぜひミニキャンプに参加してみませんか。あなたのご応募をお待ちしています。

最新の情報は https://www.security-camp.or.jp/minicamp/index.html をご覧ください。