セキュリティ・ミニキャンプ in 北海道 2019を開催しました
#北海道ミニキャンプ201911月9日(土)~11月10日(日)の2日間、「セキュリティ・ミニキャンプ in 北海道 2019」を開催しました。
17名の学生が北海道をはじめ全国各地から集まりました。今回は参加者の皆さんが二日間寝食をともにしたこともあり、講義が終わる頃には非常に仲良くなっていたのが印象的でした。
- 11月9日(土)
- 『解析して学ぶスマートフォンアプリのセキュリティ』白木 光達氏 株式会社イエラエセキュリティ
- 『情報倫理とセキュリティ』清川 敏幸氏 北海道警察サイバーセキュリティ対策本部 企画班長 警部
- 11月10日(日)
- 『NFCとしゃべってみよう』藤田 優貴氏 合同会社Georepublic Japan/セキュリティ・キャンプ修了生
- 『脆弱性診断演習』国分 裕氏 三井物産セキュアディレクション株式会社
今回のミニキャンプでは、スマートフォンアプリやNFCといった、皆さんが普段よく使っているものが題材になっていました。
1日目
『解析して学ぶスマートフォンアプリのセキュリティ』
1日目前半の講義は白木 光達氏(株式会社イエラエセキュリティ)による、『解析して学ぶスマートフォンアプリのセキュリティ』でした。
前半はAndroid OSの基本構造について座学で学んだ後、実際に手元でAPKファイルを展開し、設定が書かれたマニフェストファイルやネイティブライブラリを覗いてみました。
また、Android Debug Bridge(デバイスと通信するためのコマンドラインツール)を用いて、デバイスへのログインやアプリのインストールを試しました。 次にiOSについても同様に説明があった後、Android OSのセキュリティ機構について学びました。
株式会社イエラエセキュリティ 白木 光達さんによる講義『解析して学ぶスマートフォンアプリのセキュリティ』が始まりました。この講義では演習用スマートフォンアプリの調査・解析を行うことを通して、アプリにおいて生じやすいセキュリティ上の問題とその対策について学びます。 #seccamp pic.twitter.com/JDV3NBeRhB
— セキュリティ・キャンプ (@security_camp) November 9, 2019
後半はCTF形式で問題にチャレンジしました。講義が終わった後も熱心に取り組まれていて、なんと全問解き切った方もいらっしゃいました!
講義『解析して学ぶスマートフォンアプリのセキュリティ』では、Android/iOSアプリケーションに関する基礎知識やその解析・調査の技術を学んだ後、実際にCTF形式の演習を行いました。#seccamp pic.twitter.com/QrNlOGUrEa
— セキュリティ・キャンプ (@security_camp) November 9, 2019
『情報倫理とセキュリティ』
1日目後半の講義は清川 敏幸氏(北海道警察サイバーセキュリティ対策本部 企画班長 警部)による、『情報倫理とセキュリティ』でした。
セキュリティ・キャンプ/セキュリティ・ミニキャンプでは技術面の講義だけではなく、倫理・法律面の講義も積極的に開講しています。今回は北海道警察より清川さんにお越しいただき、「犯罪とは何か」「逮捕されてしまったらどうなるか」「犯罪の種類」「不正アクセス」などのトピックについてわかりやすく解説していただきました。
セキュリティを学ぶ上で法に関する知識は必ず持たなくてはならないものなので、この機会に得た知識を是非今後の活動に生かしていただけたらと思います。
初日夜の講義は北海道警察サイバーセキュリティ対策本部 企画班長 清川 敏幸警部による講義『情報倫理とセキュリティ』です。この講義ではセキュリティに関する専門知識を身に着けていく上で必要不可欠な倫理感や法的知識について学んでいきます。 #seccamp pic.twitter.com/bhyQikL3Qs
— セキュリティ・キャンプ (@security_camp) November 9, 2019
2日目
『NFCとしゃべってみよう』
2日目前半の講義は藤田 優貴氏(合同会社Georepublic Japan/セキュリティ・キャンプ修了生)による、『NFCとしゃべってみよう』でした。
NFCは交通系ICや学生証などに広く使われており、私たちの生活に欠かせないものとなっています。今回はNFCの仕様について学んだ後、NFCリーダーを用いて手元のカードを読み取ってみました。
例えば交通系ICの場合は、残額や利用した駅の履歴が書かれています。隣の人のカードの残額を当ててみたり、表示されたバイナリ(実際に表示されたものは駅に割り振られた専用のコードです)から駅名を推定したりと楽しんでいました。
セキュリティ・ミニキャンプ in 北海道 2019 2日目午前の講義は合同会社 Georepublic Japan 藤田 優貴さんによる講義『NFCとしゃべってみよう』です。この講義ではNFC対応機器が行っている通信を見たり、NFCパケットを自力で組み立てたりしながら、その仕組みを学びます。#seccamp pic.twitter.com/VEcDmzIDQD
— セキュリティ・キャンプ (@security_camp) November 10, 2019
講義『NFCとしゃべってみよう』では現在、実際に NFC リーダーと Python を使って手持ちのカードを読み取りながら、その通信の内容を調査してみています。#seccamp pic.twitter.com/SZnj8roQOU
— セキュリティ・キャンプ (@security_camp) November 10, 2019
『脆弱性診断演習』
最後の講義は国分 裕氏(三井物産セキュアディレクション株式会社)による、『脆弱性診断演習』でした。
この講義ではやられWebアプリケーション(演習用に脆弱性を含んでいるサイト)を診断することによって、脆弱性診断の基礎を学びました。
実際の診断業務ではサイトにどのような機能があるかの確認や、見積もりといった作業から始めていきます。今回の講義でも同様に見積もりから始め、準備を整えてからツールを使った診断に入りました。 発見が難しい脆弱性も含まれていましたが、脆弱性を見つけようと熱心に調査していました。
講義『脆弱性診断演習』では、班ごとに作業を分担しながら架空のECサイトの脆弱性診断を行いました。発見が難しい脆弱性もいくつか埋め込めれている中、しっかりと診断対象の脆弱性の有無を判断するため、一つ一つの対象とじっくり格闘しました。#seccamp pic.twitter.com/phdYguAbAK
— セキュリティ・キャンプ (@security_camp) November 10, 2019
契約前に脆弱性診断を行うと不正アクセスになってしまうという話や、脆弱性が見つからなかったときは「脆弱性がなかった」と伝えることも重要であるといった、業務として脆弱性診断を行う心構えについても取り上げられました。
技術だけではなく、脆弱性診断という仕事についても深く知ることができたのではないでしょうか。
終わりに
今回のセキュリティ・ミニキャンプは、NFC対応カードやスマートフォンといった身近にある機器を取り上げた回となりました。いつも使っている機器の仕組みを知るのはとてもワクワクしますね! 参加者の皆さんにもきっと新しい発見があったと思います。
セキュリティ・ミニキャンプは今後も全国各地で開催していきます。 この記事を読んで少しでも興味を持った皆さん、ぜひミニキャンプに参加してみませんか。あなたのご応募をお待ちしています。
最新の情報は セキュリティ・キャンプ協議会の Web ページ をご覧ください。
