Aqutras Members' Blog

株式会社アキュトラスのメンバーが、技術情報などを楽しく書いています。

セキュリティ・ミニキャンプ in 四国 2016 参加レポート

イベント参加

こんにちは。nechinechiです。
5/21, 22に、セキュリティ・ミニキャンプ in 四国 2016が開催されました。
22日にあった専門講座の方に参加してきたので、今回はそのことについて書いていこうと思います。

ミニキャンプへの参加のきっかけ

もともと、セキュリティには興味を持っていましたが、最近まではセキュリティ・キャンプやミニキャンプというものを知りませんでした。
しかし、所属するサークルで、四国でミニキャンプがあるという情報を得て、調べてみました。
すると、内容がとても面白そうで、ぜひ参加したい!と思いました。
「こんな面白そうな内容の講義が自分の住んでる近くであるのに、この機会を逃すのはもったいない!」と思い、参加を決意しました。

話の流れ

ミニキャンプでの講義は以下の3つがありました。
このうち、「パケット盗聴ハンズオン」に関しては、講義内容を話さないように言われているので、省きます。

  • セキュリティ基礎
  • HTTPプロキシビギナーズ
  • パケット盗聴ハンズオン

セキュリティ基礎

ランサムウェアについて

ランサムウェアとは、ファイルを暗号化して、ファイルの所有者自身もファイルを見れないようにし、その復号化をする代わりに身代金を要求するマルウェアです。
以下のサイトがランサムウェアの種類などもかなり詳しく書いているので、良ければご参照ください。

ランサムウェアの被害状況が悪化!感染時の対処法と対策とは?

この講義では、ランサムウェアについて、参加者で4~6名ずつのグループに分かれて議論し、最後に全グループが各グループで出た考えを発表しました。
ランサムウェアとは、保有するファイルを暗号化し、復号化の代償として身代金を要求するものです。 議論した内容は以下についてです。

  • PCに詳しくない人のすべき対策
  • コンピュータウイルス対策とは異なる、特にランサムウェアに向けた対策
  • 身代金は支払うべきか

PCに詳しくない人のすべき対策

この課題に対しては、まず、脆弱性を放置しないために、「OSをアップデートする」ことが挙げられました。それに加え、「セキュリティソフトのインストール」といった意見も挙がりました。
また、やはり無知のままではまずいため、「ネットワーク知識の学習を促す」といった声もありました。

コンピュータウイルス対策とは異なる、特にランサムウェアに向けた対策

この課題においては、どこの班でも、「定期的にバックアップを取る」といった考えが見られました。バックアップさえ取っておけば、仮に暗号化されてもファイルを置き換えれば済みます。
「アドオン等で、不要な広告を非表示にする」といった考えもありました。広告のリンクへアクセスすることで最終的にランサムウェアにかかるといった事例があるようです。

YouTube上の偽広告からランサムウェア感染へ誘導 | トレンドマイクロ セキュリティブログ

また、この講義をしてくださった先生は「性能の低いPCを使えば、仮にランサムウェアにかかったとしても、暗号化に時間がかかり、その間に対処が可能なのでは」といった考えも期待していたそうです。

身代金を支払うべきか

個人的に、この課題は他に比べ一番考えさせられる問題でした。
まず、前提として、身代金を支払えば、情報が見れる状態に戻るとは限りません。そこから、さらにお金を求めてくるかもしれません。
仮にファイルを元に戻してもらえることを前提としたとしても、身代金を支払えば、相手を勢いづかせることになります。そうすれば、より被害件数が多くなってしまうかもしれません。
以上から、支払わないのが正解かと言われれば、そうとは限りません。
例えば、病院でランサムウェアの被害が発生したとすると、人質として取られた情報には、患者の生死に関わるものもあるかもしれません。

この課題に対して、実際に挙げられていた回答で最も多かったのは、情報の重要度で支払うかを判断するというものでした。とても重要な情報を人質に取られたとして、身代金を支払って情報が返ってくる保証がない場合を前提とします。それでも、情報が返ってくる可能性があるのであれば、その望みに掛けるほかない、ということです。
変わった意見として、支払うかどうかに対する回答としては少し違うと思いますが、ランサムウェア用の保険を用意するというものもありました。その保険に入っていれば、仮にランサムウェアの被害にあったとしても、身代金の全額を支払う必要はなくなり、負担を少しでも減らすことができます。とても面白い考えだと思いました。

 HTTPプロキシビギナーズ

この講義では、Burp Suite というHTTPプロキシツールを利用しました。講師の方は、Webサイトの脆弱性を見つけるために、プロキシツールを使っているようです。
この講義は、プロキシツールを用いて、個々人でWebページの脆弱性を探るというものでした。

HTTPプロキシとは

HTTPプロキシは、自身の利用するコンピュータと、Webサーバの仲介役となるものです。プロキシサーバであれば、以下の図のように機能します。
外部ネットワークから、プロキシサーバを介することで、内部ネットワークに入ることができます。また、Proxyサーバを介して内部ネットワークにアクセスするように設定することで、外部からの攻撃を防ぐこともできます。

f:id:nechinechi:20160531141749p:plain

出典:プロキシサーバ(Proxy Server)とは | IPラーニング

プロキシツールとは

プロキシツールとは、ブラウザからのリクエストを受け取り(キャプチャ)、パケットを改変するなどして、Webサーバにそのリクエストを送信することができるものです。

f:id:nechinechi:20160531142211p:plain

出典:IPA セキュア・プログラミング講座:Webアプリケーション編のブートアップセミナー資料より

Burp の利用

注意

プロキシツールをサイト管理者の許可を得ずに使用すると、不正アクセス禁止法等の法令により処罰されます。
また、他者に対して損害を与えた場合は業務妨害罪に問われる場合があります。
これらに注意して、利用する場合は必ずサイト管理者の許可を得るようにしてください。

Burp Suite のインストールとブラウザのプロキシ設定

Burp のインストール手順と、ブラウザのプロキシ設定は以下のサイトを参考に行ってください。

HTTP通信の中身を覗いてみよう!Burp Suite Free Edition 1.6編【前編】

Burp Suite の使い方

Burp の使い方は以下のサイトを参考にしてください。

HTTP通信の中身を覗いてみよう!Burp Suite Free Edition 1.6編【後編】

講義内でやったこと

この講義では、講師の方が用意してくださった、2015年度のセキュキャン本大会で実際に利用したWebページに対して、Burpを用いてパケットの改変を行いました。講師の方が用意してくださったWebページは以下の仕様になっています。

  • ユーザ登録を行うことでサービスが受けられる
  • ユーザ登録を行ったユーザは、ユーザリストにあるユーザに対し、友達リクエストを送ることができる
  • ただし、サイト管理者のアカウントは、ユーザリストには表示されない
  • 友達リクエストが来れば、承認、あるいは拒否できる
  • 友達リクエストを承認して友達となれば、双方向でメッセージを送ることが可能となる

上記の仕様のサービスを提供するWebページ上で、以下のようなことをBurpを使って実現させようと取り組みました。

  • ユーザリストに表示されていないサイト管理者のアカウントに対して、友達リクエストを送る
  • サイト管理者の承認を得ずに、強制的に友達になる
  • 全ユーザの情報を引き出す

私ができたのは、「サイト管理者に対して友達リクエストを送る」ことだけでした。ここは、正直難しくなかったです。友達リクエストを送る対象となるユーザはidで指定されていました。なので、友達リクエストを送る際のパケットをBurpでキャプチャして、パケットでidを指定しているところを1にしてみたところ、簡単にできました。
「サイト管理者と強制的に友達になる」は隣にいた人ができていたので、そのやり方を教えてもらいました。自分宛に来ている友達リクエストを承認する際に、承認する側のユーザの識別はidのみで行っていました。なので、自分宛に来た友達リクエストを承認するときのパケットをキャプチャして、承認する側のユーザidを管理者アカウントのidに変えて承認することでできました。
「全ユーザの情報を引き出す」方法は結局わからなかったです。

まとめ

このような内容の講義は、学校では受けられないのではないでしょうか。
私は大学生ですが、今回の講義では初めて経験するものばかりでした。
ランサムウェアについて、ここまで深く考えたことは初めてでした。 身代金を払えば、情報は復号化されることを前提で考えていました。また、「身代金を払うことが相手を調子づかせてしまうから、払うべきではないのでは」、「それでも重要な情報が人質に取られたときはどうするか」などとても深く考えさせられました。それぞれの課題に、あまり聞けない考えが聞けたこともよかったです。
プロキシツールも使ってみたのは初めてで、とても面白かったです。すこしハッカーのような気分にもなれました。個人で何らかのサービスを提供するサイトを作成などして、また使ってみたいと思います。 ここでは紹介できませんでしたが、「パケット盗聴ハンズオン」もとても面白い講義でした。
セキュリティ・ミニキャンプは各地で行われているみたいなので、一度チェックしてみてください。
とても良い経験ができます。
また、セキュリティ・キャンプの全国大会のほうも、ぜひチェックしてみてください。
全国大会には、私は行ったことはありませんが、こちらも良い経験になると思います。
全国大会には弊社中矢も講師として参加します!