セキュリティちっともわからないマンなので「第ニ回サイバーセキュリティ系LT会 in 東京」に参加して知見を獲得してきました.
everyone-cyber-security.connpass.com
https://twitter.com/search?q=%23%E3%81%BF%E3%82%93%E3%81%AA%E3%81%A7%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%80%80since%3A2020-01-10%20until%3A2020-01-16&src=typed_query&f=livetwitter.com
この日は hiro_it 参加の翌日で,朝は広島から東京に向かって飯田橋に直行しました.あの辺のランチは高く貧乏成人には打撃が大きい...... と嘆いていたのですが,700 円くらいで食べられる中華料理屋さんがあってひとまず瀕死は逃れました.家から都心の勉強会だと重い腰を上げて家の玄関を開けてから会場まで 1 時間 30 分くらいかかってしまうので,思い切って朝早い飛行機に乗ってイベント参加の方がパリッと起きてササっと移動してしまえるのでいいかも...... と思いました.
LT 会ではあるものの 4 時間近くの長丁場で,自分の小さな脳みそではなかなか追いきれませんでしたが,印象に残った発表からいくつか感想をまとめておきます.(網羅できるほどの脳みそを持ち合わせていなかった...... 発表者のみなさま申し訳ございません🙇💦)
質問の受け方
都会の勉強会ならではなのか,質問は sli.do を使って受ける形式になっていました.確かにあの大人数でいちいち受けていると,マイクはどうするとか,質問が多いと懇親会で質問行列とかそういうことも起きるだろうし,なにより登壇者が高速に回答していってくれるので,素晴らしい方式だなぁと感心しました.
一方でそれくらいはググろうと言われてしまう質問もでてきてしまうのですが,匿名ということでギリギリのところで集団の圧がかからない絶妙なバランスも会場では感じることができました.
SECCON2019予選 問題解説「Beeeeeeeeeer」
↑ こちらの著者の方がお話くださいました.
昨年から SECCON では,はんだづけワークショップ的なハードウェア体験会のお手伝いをさせていただいておりますが,隣で行われている CTF はよく知らなかったので,どんな問題が出されているのかの片鱗を見ることができました.今までコードを書くことはあれど,インフラ回りというか,そういった技術はあまり触れていなかったため,勝手に CTF はあんまりできないだろうなぁと思っていました.こういった問題であればいけるかも,と思えたのが救いでした.
当日の質問で「CTF 勉強するにはどうすれば?🤔」という質問に対して,後日じっくりきちんとした解答を出したいとおっしゃって,以下のツイートをされておりました.(重要メモ)
昨日はお疲れさまでした #みんなでサイバーセキュリティ
— kanata (@kanata201612) 2020年1月13日
「パソコンちょっとわかる」レベルの人のCTF入門は、どの本やサイトがおすすめですか?
というリクエストへの回答でございます
CTF入門のための情報https://t.co/f77mVcKH6U https://t.co/4t6JoVXQ4t
モザイクアプローチについて
(まずググったサイトをそのまま張る(いいのか))
文字,画像,位置情報などなどを集めて確かな情報を形づくっていくことを言うようです.当日は,実際に発表されている方ご自身の公開情報を客観的に見て,どこまで個人の動きを明らかにできるかということを実演されておりました.
こんなニュースもありましたね......
togetter.com
本人が投稿した情報のみではなく,乗っているであろうバスの時刻表を見たり,映りこんでいる景色とストリートビューを突き合せたり,他の公開情報と結びつけられさえすれば,たわいのないツイートも重要な情報源になるということが見てわかりました.
単に「ついた」とだけツイートされていたとしても,その時間あたりに到着する交通機関に絞ることができるわけですから,普段の生活範囲と行先のイベント等が分かればかなり限定されます.ライブとかそういったのはテンション上がって投稿してしまいがちですが,これはかなり情報が絞られそうですね......
対策としては,イベント参加ツイートや写真をリアルタイムに上げるのではなく,家に帰ってからまとめて上げるなど,時間と文字情報が密接に結びつく情報とならなければよいとのことでした.写真を撮った角度も時間と結びつけば,その時間に近くにいた人にはばれちゃうかもしれませんし,時間情報が正確な投稿であることはかなり強力な情報になりそうです.気を付けておきたいですね.
といいつつ,イベント参加ツイートは多くしてなんぼのモンと思っているので,特定されてもいい場合はその限りではないということでしょうか.(しかし,少なくとも家には自分が不在であることがわかってしまうため,これが気になる人は控えて然るべきなのかもしれません.)
キャプティブポータルについて
こちらの番組の「【実は身近に迫っている恐怖「ハッキング」】」についてのお話でした.番組の中でも触れられたようですが,誓約書がないと合法的に行うことが難しいことに挑戦されたとのことでした.
https://www2.ctv.co.jp/dounanoka/2020%e5%b9%b41%e6%9c%8815%e6%97%a5%ef%bc%88%e6%b0%b4%ef%bc%89/#oawww2.ctv.co.jp
たしかに,外に出て Free-WiFi があると無邪気につかんで,快適ネットライフを満喫したいというのが正直な気持ち.ラッキー!くらいの気持ちでいると,最初につなぐときは URL を確認もしないで,メールアドレスとなんならパスワードも入力してしまうのではないかと思います.お話の中では「これから身を守るとなると,キャプティブポータル登録用のメールアドレスとパスワードは分けておくというのが防御策になるわけだが,キャプティブポータル自体の種類が多すぎて,すべてで別のアドレスとパスワードを使うのは困難を極めるだろう」ともありました.かといって偽物を見抜くことができるかと言われても,なかなか自信がありません......
これ、一度記憶させた無線LANプロファイルがいつまでも残るのは、偽基地局問題の観点でもイヤかな。特にオープンは記憶させてはいけない。eduroam界隈では、卒業生の端末に残されたプロファイルが認証NWの負荷になる問題があって、数年で本体買い替えで消えると楽観視していたのに。 https://t.co/yzXyY4j6N8
— Hideaki_npc (@hgot07) 2016年12月23日
かなり前から同じような不安を抱えている Free Wi-Fi まわりの問題は,インターネットにつながるという利便性が強すぎて,危険性についての啓発が追いついていない感じがします.啓発が最も手っ取り早いとは言え,技術的,法的な対策が進んでいかないと被害はなかなか減っていかないのも悩ましいですね...... 無線LAN につなごうとすると,本当にここにこの SSID のネットワークはありますか?みたいな警告が出ることもあるので,できることは取り入れていっている感じはします.
......
他にも興味深い発表がたくさんあったのですが,まだまだ技術力が足りないために,記事にまとめたり手を動かすというところまで至ることはなく...... ↓ のデバイスを手に入れたので L チカだけでも動かしていきたいですね.セキュアな IoT を体験していこうな.(これを発表するとして自分に圧をかけるのが適切か......?💣🤯💣)
