2019/2/25の月曜日に秋葉原の以下の勉強会にスピーカーとして参加してきましたので記事にしていきます。今回は無事に参加することができました!
今回、30名程の参加者がいました。また発表者は5名でした。
発表内容のまとめ
今回も発表内容の簡単なまとめ(メモ)を以下に記載します。
取り漏れも多少あり、間違えてメモしている個所もある可能性があるので、その場合は指摘していただければ適宜修正します。私は一番最後の発表でした。
「最近のスパムメール事情」:ytakahashi1228 さん
最近思ったこと
勉強会がゼロからってわけではないんじゃない?
スパムメールとは(トレンドマイクロからの引用)
電子メールの総数2100億通/日
スパム1750億/日
※ほとんどスパムメール!
スパムメール紹介①「私はチンパンジー」
女性からのスパムメール;ライブチャットへの誘導
スパムメール紹介②「嵐からのメール」
スパムメール紹介③「日本ターゲット」
IQYファイルを利用するマルウェアスパム、日本のみを標的に50万通拡散
スパムメール対策
とにかく受信しないように
①GWでのフィルタ
②クライアントPC上でのフィルタ
怪しいなと思ったら
Webサイトで安全性を評価するサイトに該当のURL情報を入力して確認
GoogleやYahoo!で検索
送り主の企業のホームページに記載されている問い合わせに尋ねる
実行してしまったら
LANケーブルを抜く
ウイルス対策ソフト古スキャン
ウイルスベンダーに問合せ
スパムメールは今も流行っている
クライアントは極力受信しないように頑張る
フィルタで防げない場合は見つけたら削除
所感
確かに最近初心者向けから少し逸脱している内容になっている場合もあるな~と
セキュリティといっても技術的な内容ばかりではなく、同時に全ての人が技術的な内容を求めているわけでもないと思うので、ちゃんとそういったことも考慮しないといけないと個人的に反省・・・
次回はそういったことも考慮した内容にしようかなと
それを考えると今回実施した監査の話は結構良かったのではないかとも思いました。
「最近の残念な実装例(仮)」:nachos さん
SQLインジェクション自体の紹介ではない
本質は一緒なものがたくさんある
SQLiの説明
情報漏洩の原因のよくある問題の一つとしてよくなる
確認⇒完了
完了ではtokenしか飛ばず、実際の入力は確認のリクエストで行われている
確認画面に遷移する際にSQLiを挿入する。
その後、SQLiは完了処理のリクエストで発生する。
診断方法をちゃんとしないと見逃すかもしれない。
単体の画面画面でのチェックでは脆弱性を取り逃す可能性は多い。
ナレッジを共有するのは本当に大事、外部内部関わらず
WAF入れたからOKというわけではないので注意しましょう!
報告書の共有とかは大事!
一度でた脆弱性が数年越しに違うアプリケーションで出たりもする(共有不足)
所感
最近のWebアプリケーションの動作として入力⇒確認⇒完了とあると完了時の遷移はパラメータとして保持しているのはトークンのみで、入力したパラメータはセッションIDに格納することが多い。
なので、確認画面での入力した値は完了処理まで確認しないといけないのは確かにそうですね。
この話は結構大事なので、そのうち記事にしたいですね。
またナレッジの共有等の話もあったので、それも記事にしたいな~
「ゼロから始める?マルウェア動画クッキング」:sec-chickさん(ハニーポッター)
表層分析で解析できなかったマルウェアを動作させ解析する
静的な解析のようなマルウェアの挙動が全て把握できるわけではないが比較的短時間で可能
感染用にHDDは二枚用意する
HDDのクローン等を使用してHDDのコピーを行う
独立したネットワークではないと他の機器に感染してしまう可能性がある
VMはダメなのか?
仮想環境だと最近のマルウェアは動かない可能性もある
使用するツール群
・Process Monitor
・Process Hacker(強制終了やどういったツールが動いているかを確認できる)
・Wireshark(最近のマルウェアは外部へ通信行くことが多いので)
・Autoruns(再起動した後にマルウェアがまた起動したりする)感染前の状態を保存することができる
感染前と後を比較することができる!
・マルウェアはググると出てくる(新しいものが重要)
実際のマルウェアの感染動画
所感
やっぱり実践や検証をやっている人は強いですね。
今のマルウェアってVMで動かない場合があるんだなと・・・知らんかった。
マルウェアも進化していて、顔認証で特定の個人だけで起動するマルウェアがあったりと本当にいたちごっこになっていますね。
上に書いてる通り、色々なツールも教えてもらったので機会があれば動かしてみようかなと。
「How to use Google Dorks?」:kmrr さん
Google先生に上手く聞け!
site:
inurl
filrtype
だったりで検索すると色々捗る
ただし、悪用もできるので注意!
Google Hacking Databaseをみると色々出てくるので調べてみると良い
Googleハッキングは悪用することができるので使用方法には注意!
所感
Googleハッキングは私も仕事でお世話になっています。Google先生いろいろありがとうございます!
Googleの検索方法は脆弱性診断はもちろんですが、色々調べたりするときも方法を知っていたりするだけで時間短縮にもなるので、一度勉強して損はありません。
kmrrさんは三月にCTFの勉強会もやる予定とのことなので、そちらも参加したいですな~
「システム監査のお仕事について」:tokoroten さん
私の発表
後日早めに資料ベースでブログにアップします。
結構手ごたえがあったかなという感じでした。この分野は今後も仕事としてもやりたい部分なので、さらに研究します!
最後に
忙しい時期ですが、皆さん時間を作って来ているんだろうな~と。
私も勉強会に出るために定時で会社を出たいがために、日曜日は仕事をしていました(笑)
資格の勉強や検証のモチベーション維持にかなり役立っているので非常にありがたい勉強会です。
さて、そろそろ2月も終わりで、3月を乗り越えれば一息つける方も多いのではないでしょうか?
皆様体調には気を付けてこの忙しい年度末を乗り越えましょう!
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント