2018/12/7の金曜日に秋葉原の以下の勉強会にスピーカーとして参加してきましたので記事にしていきます。ハロウィンの記事ではありません。
今回、25名程の参加者がいました。また発表者は8名でした。
発表内容のまとめ
今回も発表内容の簡単なまとめ(メモ)を以下に記載します。
取り漏れも多少あり、間違えてメモしている個所もある可能性があるので、その場合は指摘していただければ適宜修正します。私は一番最後の発表でした。
「クリプトジャッキングについて」:ytakahashi1228 さん
・現代の攻撃の流行り
一二年前はランサムウェアが絶頂期
今ではランサムが減りクリプトジャッキングが増えた
今後もこれが増えるだろうといわれている
仮想通貨を得ることを目的とした攻撃
勝手に人のPCを使用してマイニングするマルウェア
お金を得るという目的ではランサムと同じ
仮想通貨のマイニング
仮想通貨の取引をいち早く承認することで仮想通貨を得ること
・手口
ユーザのコンピュータにマイニングのコードを埋め込む
ユーザがクリックして発言
・Webサイトやバナーにコードを埋め込む
ユーザがページを閲覧すると実行される
メッセージの送信方法としては、SNSやメッセンジャーなどもある
・感染したときの挙動
処理速度の大幅な低下
過負荷による熱暴走や停止
意図しないところで再起動が起こりえるかも
・テスラ社の事件
今年2月に被害が発生
AWSに埋め込まれる
・対策
ブラウザの拡張機能から不要なものは取り除く
javascriptも切っておく
OSのアップデートや基本的なセキュリティ対策が大事
・まとめ
基本的なセキュリティ対策は大事
PCの動きが重いときは気を付ける
所感
一時話題になっていたのですが、すっかり忘れていました。
マイニングをさせる攻撃は今や旬の攻撃ですね。
マルウェアに感染させるよりも足がつきにくいのだろうか。
たしかWebサイトにスクリプト埋め込んでマイニングさせる攻撃は日本で逮捕者が出た気がする。
「Eyes on Your Browsing History – あなたの”履歴”を狙う攻撃たち」:lmt_swallowさん
ブラウザ履歴は自分のことを表している
他との関係性も出せる
ブラウザの履歴を欲しい人と守りたい人がいる
ブラウザの履歴が欲しい人たちがやる方法
①CSSをうまく使ってやる
②キャッシュを使って取る
昔は直接できた方法では今できない
各社のブラウザがセキュリティに対応している
今は直接抜けないが計算の処理の差分を利用して情報(履歴)を抜こうとする。
所感
スライドを以下に置いておきます。結構難しいので、直接読んでもらった方がいいと思います。この内容をちゃんと理解しているのはすごいな~。
確かにブラウザ履歴は抜かれると色々な情報を取得されてしまいますよね。私の履歴とか見られると色々やばい・・・
「Eyes on Your Browsing History – あなたの”履歴”を狙う攻撃たち」
「 Hardening II SecurEach 参加してきました!」:sec-chick さん
ハニーポッターの人
PSOCのアナリストをしている。
セキュリティの堅牢化を競うところ
セキュリティの甘い状況からセキュリティの設定等を変えて堅牢化する競技
人材派遣サービスの仕組みが競技に追加
セキュリティとビズリーチをかけたもの「セキュリーチ」
学生も含む、SEや色々な経歴の人がいる
組織図もある
順位は最下位になってしまった。
協賛している会社から賞はもらえた。
事前準備から戦いは始まっている。
打ち合わせも事前に3回程度行った。
どんな攻撃があったか
1.ランサムウェア感染⇒バックアップを見取得で、復旧のためのサービスを購入
2.個人情報流出⇒勝手にサイトを停止して、役員報告会を実施
3.Wordpress 改ざん
4.DNSサーバへのDOS攻撃
5.Kuromame6からのブロードキャストメッセージ
MPサービスの選定基準
・検知だけより、防御してほしい
・エンドポイントの前に、NWレイヤでふさいでほしい
・人材サービスは、やることを明確にしてからにしてほしい
非常に様々な攻撃を体験できた
※ランサム感染、情報流出、その他
優先度をつけて対応することが大事
手を動かすので、事前に練習した方がより楽しめる
金額としてはタダなのでオススメ
所感
私も4年前くらいに参加したことがあります。確かに面白いイベントなので興味ある方は参加してみるといいかもしれませんね。
最近は仕事・家庭が忙しく、そういったイベントに参加できていないな~もう少し落ち着いたら外部のイベントにも参加したいですね。
「タイムラインから読み解くマルウェア感染」:massu-tochimasu さん
システム運用・保守とかをやっている
タイムラインって
ファイルの変更履歴アプリケーションの起動とか
発生したイベントとその時間を記録したものを、時系列にしたもの
タイムスタンプの種類
M Time
A Time
C Time
E Time
タイムスタンプの確認にはFTEを使用
Windowsではファイル名を決めた時間にEtimeはなる(少しずれる時がある)
所感
A timeとかの話は前にnachosさんがしていましたね。ログの調査とかするときに惑わされるし、ちゃんとそういったことを理解していないと間違った結果になってしまうので注意しないといけないですね。私もそのうちその内容の記事を作成しましょうかね。
「リダイレクトにご用心」:haruki1992 さん
HTTPのリダイレクトについて
フィッシング詐欺サイトへの誘導などで用いられている。
リダイレクトの実装で注意する事例
・オープンリダイレクト
Webアプリケーションにおける脆弱性
ユーザの攻撃者の用意した罠ページへ遷移させる
ログイン後のURLを変更させ、攻撃者の罠ページでログインさせ認証情報を取得する
・対策
遷移先を固定しちゃう
しかし、正規表現の設定がミスっている場合がある
情報の露出
認証後のみ閲覧できるようなページへユーザがアクセスしてきた場合にログイン画面へリダイレクトを行う。
しかし、ソース内容には情報が記載されているかもしれない。
所感
同じような仕事をしているっぽい方でした。今回初参加ということでした。
フリーで仕事をしているようなので、羨ましかった。
こういった脆弱性の話はやっぱり面白いですね。
私もやったことがある脆弱性でももう一回再構築して発表しようかな~
「qrコードについて」:nachos さん
qrコードはデンソーウェーブが特許を保有する2次元バーコードとも呼ばれている
通常のバーコードは1次元シンボル
1次元<2次元で情報が取得できる
QRコードの構成
5個々の領域がある
・ファインダパターン
・アライメントパターン
・タイミングパターン
・クワイエットゾーン
・データ領域
QRコードの使用例
電子決済、広告、キャンペーン、地図情報
神戸大学の森井教授たちのグループ報告
QRコード自体は符号化法でしかない
所感
QRコードは最近また注目され始めている気がします。
やっぱり便利な反面攻撃にも使用できる可能性も高く、日本では今一つだけど海外(中国)ではシェアがすごいようなので。
使う人がたくさんいるものはやっぱり攻撃の標的になりやすいので、そういったものを追いかけていくようにしなければいけないですね。
「徳丸さんの『間違ったCSRF対策』問題に挑戦してみた」:kmrr さん
徳丸日記に載っていたCSRFの問題に挑戦した際の内容
ちゃんと自分で解いていたので、流石だなと!
所感
あまり時間がなく、結構さくっとでした。
ただ、ちゃんとソースコードを読んでこういったところが怪しいと思って対応されていたので、流石開発をやっていただけありますね。
「公開されてるバックドアを使ってみた」:tokoroten さん
私が発表した内容です。近日ブログに載せますので、お待ちください。
最後に
今回は発表者が8人もいたので、時間が押していましたね。
私の内容はそんなに長いものではなかったので、さくっとやりました。
出産の報告も載せたので、お祝いの言葉を頂けたのは嬉しかった。
次回は忘年会又は新年会をやるとのことなので、非常に楽しみですね
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント