秋と言えば食欲の秋、行楽の秋、そして、イベントの秋。徐々にオンラインでのコミュニティ活動やカンファレンスが活発になってきた。SECCON Beginnersも同様で、先日の札幌に続き、2022年10月10日には九州・福岡で「SECCON Beginners 2022 福岡」が開催された。
福岡には、行政の後押しもあって複数のIT企業が開発拠点を置いている。そこにコロナ禍も相まってリモート勤務に切り替えたり、Uターン・Iターンで就職するケースも増え、エンジニアが集まってくるようになった。そうした下地もあって、セキュリティに限らず、開発系、クラウド系などさまざまなコミュニティ活動が展開されており、学生らの関心も高い。そういった背景から、九州大学の学生が中心に、社会人も含め50名弱が参加した。
ステップバイステップで進めれば暗号だって理解できる!
SECCON Beginners 2022 福岡のカリキュラムは密度の濃いものとなった。午前中には、Webアプリケーションの脆弱性について解説する「Web」の、昼食を終えた午後には、Ghidraなどのツールを用いてファイルの解析にチャレンジする「リバーシング」の講義が行われ、休憩時間には「頭を使いすぎて疲れた」という声も漏れ聞こえるほど。しかし、順を追って理解し、手を動かして確認することで、CTFの問題が解けることも実感できたようだ。
講義中に頭を存分に使うだけでなく、休憩時間にも復習に余念が無い参加者も
そしてリバーシングの後には「暗号」の講義も行われた。講師を務めた@ushigai_subさんは、知名度が高く、数式が美しくかつ奥の深い例として「RSA暗号」を取り上げた。それとは意識しないが、普段Webサイトにアクセスする際のSSL通信の基礎ともなっているアルゴリズムだ。
それまでの講義とは異なり暗号の講義は、モジュロ計算(mod)や合同、オイラーの定理といった高校数学の知識をおさらいするところから始まった。コンピュータサイエンスと数学は切っても切れない関係にある。その基礎知識を確認しつつ、素因数分解をベースにしているRSAがどのように暗号化処理を行い、復号ができるのかを解説し、PyCryptoモジュールによる実装までを行っていった。
暗号の講義では攻撃そのものについてはお話ししませんでした。しかしRSA暗号を学ぶことで、攻撃を成功させるには『何をリークさせればいいか』がわかったと思います」(@ushigai_subさん)。他の講義と同様にsli.doを活用し、受講者からの質問やコメントを受け付けながら進められていき、「高校数学の知識、懐かしいなぁ」という声に加え、「これは、人間が計算するものではないことがよくわかりました」と、大いにわかりみのあるコメントもあった。
100分間の競技に集中してチャレンジ、オンライン大会のリベンジを果たした女子学生が優勝
3つの密度の濃い講義を終えた後は、お待ちかねのCTFだ。3つの講義内容を踏まえ、100分間とやや長めの時間で競技が行われた。CTF恒例の、集中力を散らそうとする運営陣によるトークにも気を取られることなく参加者は問題に取り組み、札幌同様に接戦が繰り広げられた。
長時間に渡った講義の後、CTFにも取り組み力を出し切った
優勝を飾ったのは、佐賀大学一年生でコンピュータ研究会(SCLA)に所属する女子学生だ。SCLAの先輩に誘われ、オンラインで開催された「SECCON Beginners CTF 2022」にも参加したそうだが、そのときは全く問題が解けず、悔しい思いをしたという。「今回は、一つ一つ丁寧に解説してもらえたので、とても参考になりました」と、リベンジを見事果たした形だ。
顔なじみの学生らが多く参加していたこともあってか、プログラムがすべて終了した後も、教室ではあちこちにグループの輪が作られ、一日を賑やかに振り返っていた。最前列で参加していた男子学生らは、「やさしく、わかりやすく教えてもらうことができ、これまで高校などで学んできた内容がセキュリティにつながることがわかった」と振り返っていた。仲間も「早く帰って復習したい」と、大きく刺激を受けていた。
やられWebサイトを作り、見せ合うことで生まれる新たな知見
今回はCTFと同時に、「やられWebアプリを作ろう」というテーマでワークショップも開催された。講義形式からさらに踏み込み、自分たちでもくもくと手を動かしつつ知見を共有していく場として用意され、社会人と学生、ほぼ半々の割合で12名が参加した。
やられWebアプリを作ろう」というユニークなワークショップの進行役を務めた九州大学の小出洋先生
ワークショップの進行を務めた九州大学の小出洋先生は、「クロスサイトスクリプティングなどのサイバー攻撃について学ぶには、話を聞いているだけではわかりません。実際に手を動かして攻撃することも必要ですが、一般のWebサイトに行うと法に反してしまいます。そこで、世の中にはいろいろな『やられWebサイト』が用意されています」と述べた。
最も有名なのがOWASPの「Broken Web Applications」(BWA)やWebGoat、DVWA(Damn Vulnerable Web Application)だ。ただ「技術は常に新しくなっていきます。使われるフレームワークにもトレンドがあり、攻撃手法も新しいものが出てきますが、やられサイトは基本、過去のものしか試せません」(小出氏)。ある程度やり尽くされており、研究という意味では面白みがないという。
そこでワークショップを通してチャレンジを呼びかけたのが、自分でオリジナルのやられサイトを作ることだ。「自分が作ったサイトならば、細かいところまでどのように動作しているかという中身がわかります。そして、どのように修正していけば攻撃に強くなるか、本質的なところも学べます」(小出氏)
ただ、自作自演を繰り返していてもあまり面白みがない。今回のワークショップでは「やられWebアプリファンが集まって、互いに自分が作ったものを見せ合い、試し、知見を見つけ合いながら、サイバー演習場を作っていくコミュニティにつながればと考えています」と小出氏は述べた。
事実参加者の中には、ファイルのアップロード機能や掲示板機能を備えたシンプルなWebアプリをFraskで作成してきた人もいた。普段は大分の企業で情報システム部門を担当しているが、セキュリティやCTFに興味を持ち参加したという。
また別の参加者は、「Webサイトでありがちな脆弱性はチャットボットでも再現できるかもしれない」というアイデアに基づいて脆弱なDiscordボットを作成し、披露していた。
「他の参加者が作成したやられアプリやコードを見ることで、視点が広がり、別のところにも着目できると思います」(小出氏)
参加者は数時間にわたるワークショップを通して要所要所で機能を紹介したり、参考資料を確認したりしながら作業を進め、成果として、手作りサイバーレンジ共有コミュニティ」のためのフレームワークとしてGitHub Organizationを作成するに至った。
ワークショップでは時折意見交換を交わしつつ、各々がもくもくと目標に向かって作業に取り組んだ
ワークショップに参加した福岡在住の学生は、「これまで主に開発をしてきましたが、攻撃者目線に立つとこういうことができるんだと実感しました。作っているだけでは気付かないことが実感できました」と振り返り、同じ時間に重なっていたCTFにも興味津々だった。
目の前に受講者がいることで生まれる「つながり」を再確認
札幌と福岡、日本列島の北と南でそれぞれ一日がかりのイベントを終えたSECCON Beginnersの運営チームにとっても、久しぶりのオフラインイベントは大きな刺激になったようだ。
機材も含めた現地への移動やネットワークも含めた設営準備は、大変といえば大変だったという。実は、現在のSECCON Beginnersのメンバー体制になってから、オフラインでのイベント開催は初めて。オフライン開催にあたっての手順やノウハウもあまりなく、手探りしながら準備を進めていったそうだ。事実スタッフは、いよいよ当日のプログラムが始まるか、始まらないかという直前まで、CTF競技環境のチェックなどに取り組んでいた。
オンラインならば、自宅で、一枚のスライドにまとめた情報を共有すれば事足りるのに比べ、オフライン開催は労力がかかるのは事実だ。だが、実際に顔と顔をつきあわせてみると、参加者のリアクションも手に取るようにわかる。目の前に受講者がいることで、より実感を持ち、責任を持って講義を進めなくてはという思いを強く持ったという。また、参加者らの質問を受けることで、自分たちでは当たり前だと思っていたり、普段無視してしまいがちな点に気づき、今後のCTF作問や競技中の思考に参考になりそうな学びを得る機会にもなったそうだ。
一日のプログラムが終了した後は、学生参加者が多いこともあってか、まるで大学のゼミ後のような雰囲気に
残念なのは、感染対策の観点で、コロナ以前とは異なり気楽に話せる交流会が設けられなかったこと。だが「今回の機会を通して、対面でしか感じれない人とのつながりを感じ、より充実したコンテンツを作る意欲が湧きました」とスタッフらは語っている。
