2019/6/28の金曜日に秋葉原の以下の勉強会にスピーカーとして参加してきましたので記事にしていきます。
今回も初めて来られる方が数名いました。参加者は30名程でそのうち発表者は7名でした。
発表内容のまとめ
毎回恒例ですが、発表内容の簡単なまとめ(メモ)を以下に記載します。
取り漏れも多少あり、間違えてメモしている個所もある可能性があるので、その場合は指摘していただければ適宜修正します。私は一番最後の発表でした。
「オリンピックにちなんだサイバー攻撃例」:ytakahashi1228 さん
2012年
ロンドンオリンピック
サイバー攻撃2億件
DDosが主
オリンピックスタジアムへの電力供給に対する監視制御システムがターゲット
このほかにも、オンライン詐欺などが
2014年ソチオリンピック
ロシアのネットワークに入るとマルウェアがダウンロードされる。
2016年リオ
4000万件のさいばー攻撃があった
DDoS⇒標的型攻撃にシフトしていた。
平昌オリンピック
550万件のサイバー攻撃
大会準備期間に6億件のサイバー攻撃が発生
一次的に入場チケットが印刷できない状況もあった
東京オリンピック
2016年からあった。
オリンピックのチケット関係
2018年フィッシングメール17万8000人
2019年
チケットサイトの類似ドメインが約1000件
いい席譲るよ的なフィッシングメール等も・・・
オリンピックの時はサイバー攻撃は増えている傾向
ワールドカップも同じようにあるので、基本的には多い・・・
「オリンピック事件 サイバー攻撃」で検索すると出てくる
所感
オリンピックがもう来年ですね。
攻撃の傾向をみることで事前にできる対策もあると思いますので関係者の方はチェックしておくと良いかもしれません。
それ以外にもワールドカップやら日本でやる国際大会は色々あるので、常に対応していないといけないですが・・・
セキュリティ界隈はまだまだ需要がありそうです。
「偽サイトをOSINTツールで追う!」:hiro さん
コンパスに資料はアップされている。
資料はこちらから行けます。
OSINTとは
公開情報、オープンソースの情報
知るべき情報の98%を知ることができる
Google Dorks
shodan等
Passive DNS
代理アクセスaguse.jp
文字列操作
RSSフィード
東京地方検察庁偽サイトによる詐欺事案
電話で偽サイトへ誘導し振込させる詐欺
どうやって観測しているか
一つの情報を手掛かりに芋づる式にわかる場合がある。
所感
とても内容の濃いスライドですごいな~と尊敬しています。(私も頑張らないと。)
猫も好きな方なので非常に好感です。(セキュリティ界隈の人はネコ好き多い説)
OSINT(shodan.io)とかはまだ手を出していないので、この機会にやってみようかなと。
それにしても実際の詐欺事案を追っているなんて、凄すぎる。
私も負けないように頑張らないと。。。
「デジタルフォレンジックで刑事ドラマの鑑識っぽいことをやってみる」:massu-tochimasu さん
デジタルフォレンジックの説明
インシデント発生した際の証拠を集め裁判等に使用したり。
デジタルフォレンジックでわかること
電子機器上で起きた出来事がわかる
・ファイルのタイムスタンプ
・マルウェアの操作・解析
・各アプリの起動時間
・ネットワークの通信の解析
証拠となるデータを取得する
・複製元にできるだけ変更を加えないこと
・複製したデータも取得後から変化しないようにする。
集められるデータ
ハードディスク全体のコピーまたは一部
ハードディスクに依存しないデータ
・メモリ内のデータ
・稼働プロセス情報
・ネットワークのログ
・コンピュータの物理的情報
証拠を基に解析を行っていく
デジタルフォレンジックを行うには
専門的な技術が不可欠⇒専門家に任せた方がいい
ただし、どこまで自社で行うかは予め決めておいた方がいい
CFReDS
デジタルエビデンスの調査を行う人のためのテスト用データ
所感
フォレンジック調査は私実際にやったことあるのですが、マジでしんどかったです。
色々な想定をして対応する必要がありますし、落としどころを考えたりするのも必要なので非常に疲れます。
「CFReDS」は面白そうですね。やってみたいな~。
個人ブログに書いても良いのだったら是非チャレンジしてみたい。
「ゼロから始めるCTF」:Ichikawa さん
自分で環境を作ってみた。
DockerでCTFdを使用
配布している
Google Drive上にある。
やってみよう!
所感
今回はいつものハニーポット関係ではなく、CTFについてでした。
自分で問題を作って公開なんていいですね。
「CTFd」は私が前に探していて名前を思い出せなかったやつなので助かりました。
今度問題解いてみます。
「RDPの脆弱性CVE-2019-0708について」:nachos さん
BuleKeepの検証
本脆弱性を使用したWarmの注意喚起もある
コードが実行できる
ネットワークレベル認証(NLA)が行われていない場合に影響
※ネットワークレベル認証の解説についてはここが分かりやすいかも
CVSS2.0では満点の10
CVSSv3による深刻度は9.8
どのように確認するか
・パッチは適用しているか?
・サーバの設定を確認する(NLA有効、RDP無効)
・スキャナで見てみる?
・実行POCを実行してみる?(まず必要ない)
基本的には脆弱性いかに関わらず古いクライアントで接続することが無いのであればNLAを有効にした方がいいかも
Windows10やServer2019にはCVE2019-9510が存在するのこちらにも注意
所感
最近話題になっていた脆弱性の解説ですね。
通常の端末は特に設定をいじっていなければ自動でwindows updateされるからいいのですが、サーバとか特殊な環境にあるマシンだと難しい場合がありますね。
最近はインターネットに公開していなくても、中に侵入してから色々やるマルウェアも多いので、大変です。
やはり組織でどんな機器やソフトを使用しているかはちゃんと把握しておくべきですね。
また最近だとmacを狙ったゼロデイ攻撃もあったりするので、windowsじゃないから平気と言えない時代になりました。
ELFヘッダについて:kmrr さん
ELFファイルフォーマットの一部
Linuxのディストリビューションで多く採用されている
ELFヘッダ、プログラムヘッダ、データ領域、セクションヘッダの四つに領域がある
何が楽しいの
プログラムの動的解析を行時に難読化やパッキングといったアンチデバック技術に遮られる
そういった時にプログラムの構造をしっているといい!
readelfコマンドで見れる
でも手でじっくり見るのも重要ですね!
所感
どんどんバイナリアンになってる・・・
仕事は脆弱性診断、趣味はバイナリ解析とかやばい。
技術書典にも応募したとか。確かに面白そうではある。
出るんだったら、今回は技術書典行ってみるかな~
「CISについて検討してみた」:tokoroten
私の発表です。結構反応がよかったので、後日記事にします。
勉強会終了後
月末の金曜日ということで飲みに行きました。(そうじゃなくても飲んでますが・・・)
最近よく行くところはIT業界で活動している人があまりいないところなので、いろんな話を聞けて面白いです。(IT業界の方々と飲むのも面白いですが)
7月は家族旅行があったりとドタバタですがブログ、勉強会、ISACAの支部の活動、もちろん仕事も頑張っていきます。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
CISSPの勉強が進まない~
コメント