今年度もセキュリティ・キャンプ全国大会でプロデューサーとしてバラエティトラックの企画をやってます。あと共通科目の「セキュリティ基礎」と選択科目の「CTF問題作成講座」を担当します。正式な募集開始はもうすぐなのでStay tunedでおなしゃす。 #seccamp #spcamp
NICTのSecHack365の方はもう募集を開始しています。課題フォームの申し込み締め切りが16日(火)17時JST。課題フォームの提出締め切りが19日(金)17時JST。ばしばし応募してくだされ。 #SecHack365
sechack365.nict.go.jpSECCONも2019年度の年間スケジュールを公開しました。 #SECCON
ぶっちゃけこんだけ重なってると裏の動きは大変なのだーあはははははヽ(´ー`)ノ
普通に使われているソフトウエア、システム、OSの脆弱性をガチで探すので有名なPWN2OWNをやってるCanSecWestに初参加。昨年PacSecにも(実は)初参加しましたが、ご本家のCanSecWestは規模もずっと大きく、三日間ものすごく充実したコンテンツを展開していました。今年も華々しい成果を上げたPWN2OWNについては他の記事に譲りますが、講演も、何て言うか攻撃対象が広がったというか、幅広い感じのバリエーションがあって勉強になることも多かったですね。
例によってタイトルを列挙してみましょう。
Day1:
Day2:
Day3:
https://cansecwest.com/agenda.htmlご本家もアジェンダが最新状態になっていたのでリンク。開催当日は最新状態じゃなかったんですよねw。
cansecwest.com全体としてあっしの興味を惹くテーマが多かったし、総花的総括よりは掘り下げる系が好きなんですがそういう講演が多くて楽しめたんですが、一つだけ不満なのはAI系列の話ですかねー。これはCanSecに限ったことでは無いんですが、学術系ではないところのAI系の発表って学術系での議論の周回遅れ的なものが多く、その点は学術系の方がおもしろいものが多い感じ。逆説的ですが、もしかしたらそれは学術の研究成果が実装として活かされてないということかなと思ったりしてます。わたしたちの研究グループでも実は数理モデルに基づいてWAFを作ったりしていますが、ご要望はあるもののまだきちんと公開・宣伝できていませんしね。そもそもコードが使える形になっていない研究とかも多いし。研究者とコード、github的なものとかとの断絶なんですかねーなんかそこが勿体ない気がします。
それはそれとして、CanSecWestそのものはすごく楽しかったし勉強になるところも多かったので(すごく大規模なのに運営や進行がめっちゃ手作りなところとかw)、クロージングで「また秋にPacSecやるから、AVTokyoもCODEBLUEもあるしみんなトーキョー行こうぜ!」と宣伝してくれてとてもありがたかったです。来年もまた行きたいなぁ。
3月は別れの季節(本当のお別れは4月だけどw)。使い始めてから早7年。最初にハコを作ったのはおそらく2012年4月1日。4月15日までで全然使えなくなるんですよね。いやーマジでお世話になりました。本格的に使い始めてからは運営の方々にいろいろ無理を言ったりしつつ使い倒してきた感がありますね。今に至るまで大慌てでデータのバックアップをし続けていますが、試しに参加してるハコの数を見てみたら201個もありましたよー。ROMのヤツも多かったんですが、書き込みも相当しましたねー。データ量カウントしたいところだけどまぁ止めとこうw。料金とか気にせずハコをたくさん作れる仕組み(中の人はいろいろ大変だったろうなぁ)にとても助けられました。サイボウズライブ無しではできなかったプロジェクトも多いと思いますね。ありがとうございました。
ベルリンで開催されたOffensive Security Conference(https://www.offensivecon.org/)に参加してきました。このカンファレンスは2018年から始まり、スポンサーも派手に募らず小規模にテッキーなことを追求するカンファレンスです(参加者450人程度とのことで、確かにそれほど大きく無いメイン会場とサテライトしかありません)。その名の通り攻撃をテーマとし、さまざまな手法やアイディアを披露し合う場になっています。
https://www.offensivecon.org/speakers/
講演タイトルを並べてみましたが、これを眺めるだけでもその「攻撃性」が垣間見えるのではないでしょうか。
このラインナップは楽しいとしか言い様がありません(笑)。香港VXのアンソニーは「ブラックハットよりおもしろい」って言ってましたが、その意見には完全に同意です(もっとも、わたし自身はブラックハットは通してちゃんと見たこと無いんですが(笑))。どこかテッキーすぎないようにコマーシャルに寄ってる印象がある近年のBlackHatより、突き抜けていておもしろい。さらに言うとDEF CONよりクオリティが揃っていて高い。各講演の前提知識もかなりハードコアで、知らないと楽しめないという側面はあるものの、だからこそ楽しいわけです。さすがにトレーニングまでは受講し得なかったんですがそちらも含めて魅力的なプログラムです。
以前ファジングの本を監訳したこともあり注目していたのですが、ファジングの活用が拡がっているのが興味深いところでした。ファジングの効率化、というアンビバレントなテーマの研究が最近目立っていますが(実はSecHack365でも二年続けてAmelican Fuzzy Lopの改良テーマが出ています(成果ポスターはこちらで見ることができます>https://sechack365.nict.go.jp/))、このカンファレンスでは研究的なアプローチというよりも実装面での応用、活用のアイディアが提示されていました。研究の成果によってドラスティックに効率化が図れたらそれはそれでとても良いことなんですが、コンピューターの性能向上っぷりにベットしつつ、ミニマムな活用で効果を上げるというのも併せ、両面の改良アプローチが必要だと感じさせられました。この分野は引き続き注目していきたいと思っています。
NHKの衝撃的な「無差別侵入」「プライバシーの侵害」というスーパーネガティブパワーワードな報道からの高橋睦美さんの記事。なんでこんなに差がついてしまうのかなぁ。
政府のIoT機器調査、無差別の「力業」に踏み切った背景は (1/4) - ITmedia NEWS
前例が無いことを国が大胆にやろうとすると、それこそあらゆる批判が巻き起こるのは仕方がないと思うんだけどねー。東洋経済の良い政策を褒めるって記事が好きだったんだけど、短期ですぐ終わっちゃった感。他媒体とかに同じようなの出て来るかというと全然無いし。
地味だけどいい政策を探しにいこう | 東洋経済オンライン | 経済ニュースの新基準
いや、褒めろって強制するとかじゃなくてですね(笑)、なぜそういう差になったのかってことですね。
やっぱあれだな、危機意識が共有できていなかったことが大きいのかなー。つまり、高橋さんの記事にある「なぜそんな力業に踏み切ることになったのか」って部分ですね。IDはよくあるものだけどパスワードがかかっている、という状態で出荷されるIoTなブツは、そのパスワードは一台一台別なものが設定されるのではなく、何百台何千台も同じパスワードが設定される、ということ。さらにそのパスワードは、紙に印刷されたマニュアル、メーカーのWebサイトに行けばPDF形式でダウンロードできる電子データのマニュアルにそのまんまの文字列が記載されていたりする。なので、あまりに公知すぎて不正アクセス禁止法が定義する「識別符号」ですらない(笑)「パスワード」なんだけど、そういう状態のものをあぶり出して「ヤバいですよーあっという間にやられちゃいますよー」というのをプロバイダー(ISP)さんたちにご報告。プロバイダーさんたちはその機器の持ち主に連絡して、パスワード変更等を働きかける、というのがこのNOTICEって事業なんだよね。んで、IDとパスワードを入力し、ログインできてしまうかどうかしか試さない。マニュアルに記載されているIDとパスワードをそのままにしているかどうか、この調査はそこにしか関心が無いし、ログインできたからといって中身を見るコマンドとかは一切叩かず、そのまま静かにログアウトするだけ。前段でポートスキャンはするけど、ザッツオールってヤツですね。
それで警告できてしまうような状態のIoTが世の中とても多いってことなんですよね。これが背景の危機意識。
この辺の理解がねー、NHKさんには足りなかったってことなんでしょうかねえ。
高橋さんの記事ではここまでを咀嚼していただいた上で、「今後NICTが公開する調査結果等の情報を注視し、その結果の対策にも注目しよう」とか「この名前を利用したさまざまな詐欺が出て来る可能性もあるので、それへの対策もお願いしたい」と書いてくれています。いやー建設的ですね。煽るだけ煽ってその姿勢を未だにあんまり変えていないNHKさんとは大きく違うよねー(笑)。「深掘り」って土曜日にやってた番組のために何度も取材に応じていろいろ助言して概念をディスプレイする模型とかの案までチェックしたのに当日出演無しとなった挙げ句クレジットすら皆無だったことなんて別に根に持って無いけど(爆笑)、もうちょっと頑張って欲しいなぁ>NHKさん
国際線に乗ると映画を見る。見るのは割と決まっていて、ハリウッド系列のを気に入ったら何度も見る。最近は「ミッション・インポシブル~フォールアウト」(レベッカ・ファーガソンがアクション凄くて可愛い。トム・クルーズってクレイジーすぎる(褒め言葉))や「15時17分、パリ行き」(実際の事件を題材としていて、なんと事件の当事者が出演(主演)してるんだそうで)、「コーヒーが冷める前に」「マイル22」(最新テクノロジーを使った戦闘のイメージがすごい)「泣き虫しょったんの奇跡」を見た。時々出現する「マッドマックス~怒りのロード」などもお気に入り。「シン・ゴジラ」好きなのでかかっていた短い期間は何度も見た。そして「レディプレイヤー1」もちょいちょい見る。
キューブリックの「シャイニング」が大好きでこれも何回となく見てるので、「シャイニング」の細かなフォロー、パロティが次々と繰り出される部分が楽しい。音楽がまんまだし、写真に現れるハリデーとキーラが「シャイニング」のラストシーンを彷彿とさせる。でもあれもともと原作では「ブレードランナー」だったんだよなー。「ブレードランナー2049」の制作と時期がかぶってて断念ってあるけど、そちらも大好きなので残念。
他にも日本物としてAKIRAの金田バイクやガンダム、メカゴジラにマッハ号アメリカバージョン(笑)も出て来るし、ゼメキスキューブとかデロリアンとか、「バック・トゥ・ザ・フューチャー」好きとしてもたまらん。ウルトラマンはこちらも残念だったけどもね。鉄の巨人ロボットがサムアップして溶鉱炉に沈むのはT2だよな。あとチャッキーが何気に強いのが愉快。
そして「ローズバッド」。日本では今やそれほど知られていないが、アメリカなどではオールタイムベストに必ず入るらしい鬼才オーソン・ウェルズの「市民ケーン」。あの映画も最高なんだけども、その映画の重要なキイワードがこの「ローズバッド(バラのつぼみ)」なのだ。そんなところまで映画好きの興趣をそそってくれる。音楽も70年代から80年代のヒットソングが使われていたりする。いちいちいろんなココロをくすぐる(詳しいネタ元は
にある)。
実はこの「レディプレイヤー1」、2018年3月のSXSWでプレミアム上映が行われていた(監督のスピルバーグの講演もあった)。長蛇の列だったのであきらめてしまったが、こういう映画だと知っていたらぜひともアメリカ人と一緒に見て、その反応を体感したかったところだ。スピルバーグとある意味趣味が似てる(笑)あっしとしては、散りばめられた小ネタはけっこう拾えていると思うんだけど、アメリカ人と見ると発見できていないネタを発見できそうな気がする。いつか一緒に見てみたいものだ。
JNSAのインターネット安全教室がもう最後だと聞いて思い出を語りたくなった(笑)。ま、じじいなんで許して。
初期からシナリオやプレゼンテーション資料作りに関わったり、ドラマ仕立て啓発ビデオの撮影にお邪魔してちょこっと出演したり(笑)、このイベントが無ければ行かないようなところに出張って行って旨い酒食事にありついたり、お客さんが少ないところやオープンなところ、いろんなところで開催したり。そのすべてが今の自分に凄く生きてると思いますね。
カメラを向けられても平気になったし、喋りの尺合わせみたいなのもすごくコントロールできるようになった。旅を楽しめるようにもなった。日本各地で啓発などに頑張る人たちにリーチできて、のちのセキュリティミニキャンプやらセキュリティキャンプキャラバンでもそのコネを活用させていただけたし。SECCONとかSecHack365にもいろいろ生きてる。
ぶっちゃけ商売を考えるなら関わってはいけない方のプロジェクトだと思うんだけど(笑)、それは表層的過ぎる見方で、学んだことは本当に多い。各地の現実とか、普通の方々のセキュリティへの関心とか、理解とか、そういう肌感覚も見に着けることができたと思う。
関わったみなさん、お疲れ様でした。(BGM:卒業写真(笑))
※一応追記しておくけど、JNSAが事務局をやめるだけで、インターネット安全教室事業そのものは続くそうです。
