オンラインを活かすセキュリティ人材育成

オンラインを活かす セキュリティ人材育成 園田道夫

Who am I ? • 園田道夫(@sonodam) • 国立研究開発法人情報通信研究機構(NICT) ナショナルサイバートレーニングセンター センター長 • https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://colosseo.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ企画、 講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • 中央大学理工学研究所客員研究員 • 大阪大学非常勤講師 2

Who am I ? • SECCON実行委員(事務局長) • https://www.seccon.jp/2019/seccon/executivecommittee.html • SecHack365主催・トレーナー • https://sechack365.nict.go.jp/ • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員 • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催＆プログラム(ドリンク)委員 • http://ja.avtokyo.org/ • Hack in the box, Review Board • https://cfp.hackinthebox.org/ 3

Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo 2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html 4

主な関係コンテンツ • 監訳：｢ブラウザハック｣,｢ファジング｣, ｢ハニーネットプロジェクト｣,｢実践パケット解析第一版｣ • 翻訳：｢実用SSH第二版｣,｢暗号技術大全｣,｢ Snort2.0侵入検知」 • 著作：｢アクセス探偵IHARA ｣, ｣,｢Winnyはなぜ破られたのか｣, ｢アクセスガール明日香危機一髪｣, ｢企業情報ネットワークの保護管理｣他 • Web連載：｢にわか管理者奮闘記シリーズ｣ • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • 「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns 5

研究関係 • 数理モデル的な･･･ • 攻撃検知(分類) • 学習効果の可視化、スキルの可視化 • 設問評価(数学,CTFなど)、設問自動作成 • デマ検知 • 目grepによる攻撃検知 • 他多数 6

Stay Home, Stay Safe 7

オンラインコミュニケーションの特徴 • 会議用システム • 順番に喋る→スピードが落ちる • ノンバーバル部分の情報量が落ちる ノンバーバルコミュニケーション（非言語的コミュニケーション） とは、言葉によらないコミュニケーションのことで、顔の表情、顔色、 視線、身振り、手振り、体の姿勢、相手との物理的な距離の置き方な どのこと。これらの要素によって伝わる情報の量はかなりの割合を占 めると言われている。 8

足りないところを補うには？ • 音質向上という対策 • 良いマイク、良いヘッドフォンイヤフォンスピーカー • https://music.yale.edu/news/yale-led-effort-yields-zoom-upgrades • 画質向上 • 良いカメラ • 会議システムの限界 9

並列チャットの可能性 • 手を上げて質問するより心理的なハードルが低い • 慣れさせたり上手に促したりすれば圧倒的に活性化する • 誰かが喋り終えるのを待つ必要が無い • ｢質問用時間｣に限定されない • メインを録画済み動画にしたら話者本人がチャットに 参加可能 • →フィードバックの量と質を大きく向上させる 10

11

12

13

メインを事前作成動画にする • ライブはリスキー（笑） • いろいろな魔物が棲んでいる • 品質が上がる • 編集可能 • 話者に客観視を促す • 自分の動画を視聴すると、既存動画の見方が違ってくる • (1.25)倍速で客観視を加速 • デメリットはライブ発表の経験値の機会損失くらい？ • どのくらいのインパクトがあるのか、人生スパンでは不明 14

オンラインでのグループワーク • コミュニケーション効率が落ちていることを認識する • 会議システムの限界 • いわゆる｢会議システム｣じゃないものを選ぶ • discord • Slack 15

https://discord.com/ 16

https://discord.com/ 17

グループワークの工夫 • みんなでひと言チェックインとチェックアウト • 共同作業で勝手にアイスブレイキング • モデレーターは任命 • 一度は顔を出そう • 急に｢今日は顔を出そう｣とやらないこと • (音質が良い前提で)少人数グループで会話 • 会話を促す仕組み(共通の課題に時限で当たらせるなど) • サポートはチャットメインで 18

グループワークもう一工夫 • グループで当たる課題の工夫 • 社会的に未解決の課題など、検索で答えに到達できない課題 • Capture The Flag(CTF) • 環境などの変化をプロトコルにしてみる • 人間はパターン認識に優れている人も多く、すぐ飽きる • メタな予想を裏切る刺激で集中力を上げる • メインは会議システムでもチャットやQAシステムを別立て でやってみる 19

20

21 注：現在は開催されていません

グループワークもう一工夫 • コラボレーションのためにgithubなどをいよいよ使い こなしていく必要がある • ペアプログラミング、モブプログラミング的にツール使い こなしわいわい会をやってみる • 会話の坩堝や雑談を明示的に承認する • 雑談の設定 • 喋りすぎず聞きすぎない • 飲み会じゃない方が良い • 前述の｢変化｣は話題になる 22

自己研鑽企画 • 講演や講義の動画を数人で一緒に視聴する • 人目ドリブン • 教え合い話し合い • 動画輪読会 • もくもく会集まって黙々と何かをやる、人目ドリブンの 作業集会 • プログラミング由来 • オンラインCTF • 海外カンファレンスのトレーニングやワークショップ 23

自己研鑽企画その2 • 新しい手法や考え方について自分ならこうする(守る・攻 める)というのを考える • 海外カンファレンスの発表が素材に • 持ち寄って発表しても良い • 集団的内省は効果的(経験学習) 24

Understanding security mistakes developers make: Qualitative analysis from Build It, Break It, Fix It • https://www.usenix.org/conference/usenixsecurity20/presentation /votipka-understanding • ｢セキュアなソフトウェア開発は、多くの可能性のある脅威と緩和策を考慮しなければ ならない困難な作業です。この論文では、基本的なセキュリティ経験があるにもかかわ らず、プログラマがセキュリティに関連したエラーを犯す方法とその理由を調査します。 これを行うために、我々は、現実世界の制約（正確性、性能、セキュリティ）を模倣す るように設計された安全なプログラミングコンテストに提出された94件の参加者の詳細 な分析を行いました。参加者は、安全なコードを書くことに加えて、他のチームのプロ グラムの脆弱性を検索するよう求められました。私たちは、6 ヶ月間の集中的な期間を かけて、反復的なオープンコーディングを用いて、提出された各プロジェクトと脆弱性 （私たち自身が特定した脆弱性を含む）を手作業で、しかし体系的に特徴付けしました。 脆弱性の種類、攻撃者の制御、悪用のしやすさ、プロジェクトをセキュリティ実装戦略 に基づいて分類しました。その結果、いくつかのパターンが浮かび上がってきました。 例えば、単純なミスが最も一般的ではなく、そのようなミスが発生したプロジェクトは 21%に過ぎませんでした。逆に、セキュリティ概念の誤解に起因する脆弱性は、78％の プロジェクトで顕著に多く見られました。この結果は、セキュアプログラミングAPI、 API文書化、脆弱性発見ツール、セキュリティ教育の改善に意味があります。 www.DeepL.com/Translator（無料版）で翻訳しました。｣ 25

26

EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://www.offensivecon.org/speakers/2020/aristeidis-thallas.html • ｢ハイパーバイザーは、システム仮想化のために一般的に使用されているだけでなく、 実行時の攻撃からカーネルを保護するために、Androidエコシステムでも採用されて います。各OEM/ベンダーは、ARMの仮想化拡張機能を採用することで、独自のハイ パーバイザーを自由に実装することができます。Androidエコシステムでは、一般的 に適切なデバッグやシステム検査のサポートが不足しているため、このような実装 は、監査/リバース/デバッグが非常に困難でした。この状況は、OEM/ベンダーがド キュメント、ソースコード、ツールなどを公に提供しないことでさらに悪化してい ます。このプレゼンテーションでは、デバッグを含むエミュレートされたシステム の完全な制御をユーザに提供するQEMUの下でのプロプライエタリなハイパーバイ ザのエミュレーションに焦点を当てます。詳細には、ARMシステム開発と仮想化拡 張に関する情報を提供し、ブートストラップとSamsung S8プロプライエタリハイ パーバイザとの相互作用を可能にするために必要不可欠な機能を含むフレームワー クを開発して導入した概念を紹介します。その後、この知識を発展させて、この セットアップの下でファジング機能を組み込むことを目指します。このプレゼン テーションの最後までに、聴衆/読者は、ARM仮想化拡張機能と、他のハイパーバイ ザーを監査/リバースし、提供された最小限のフレームワークを拡張したり、審査中 のハイパーバイザーのニーズに合わせた独自の実装を行うために必要な様々なシス テム要件/制約を理解していることが期待されています。www.DeepL.com/Translator （無料版）で翻訳しました。｣ 27

EMULATING HYPERVISORS; A SAMSUNG RKP CASE STUDY • https://census-labs.com/news/2020/07/22/emulatinghypervisors-a-samsung-rkp-case-study-offensivecon-2020/ • https://census-labs.com/media/athallas-offcon-2020-wide.pdf • https://www.youtube.com/watch?v=SxezUdv1whQ • http://www.phrack.org/papers/emulating_hypervisors_sam sung_rkp.html 28

29

自己研鑽 企画例 ① Ransomware as a Service(RaaS)について対 抗する手段を考えてみよう  Weakest Linkを狙ってRansomwareを起 動させてデータを人質に取る  仮想通貨(暗号資産)で身代金をいただく ② 連携先を狙う攻撃について対抗する手段を 考えてみよう  本体では無く、予算も無く人も居ない現 地法人、連携先を狙う  システムだけでなく人も狙う 30

自己研鑽企画素材：ドメインジャック • https://blog.liquid.com/ja/20201115-important-notice • ｢2020年11月13日05時58分頃、｢GoDaddy｣内の当社 アカウントにおいて、第三者によりドメイン登録情報 が変更されていたことが確認されました。 • その後テクノロジー部門により社内調査を行った結果、 本事象により、2020年11月13日～11月14日の期間に お客様からお問い合わせを頂いた一部のメールを第三 者が不正に取得できる状態になっていたことが判明い たしました。｣ 31

ドメインジャック(続) • ｢2020年11月13日～11月14日にメールを経由してお問い 合わせいただいたお客様について、記載されているメー ルアドレスおよび記載されている情報が流出した可能性が あります。 また、これとは別にお客様のAPIトークンが不正取得され た懸念がございます。｣ • ｢次に、APIトークンにかかる対応として、「APIトークン （IPホワイト登録の無いもの）無効化処理のご連絡」でご 案内を差し上げたところですが、誠に恐縮ではございます が、該当のAPIトークンについて安全確保に細心の注意を はらいたく、11月14日15時44分(日本時間)頃から緊急に 強制的に無効化の処理をさせていただきました。｣ 32

ティーププラクティスを意識する • 常に自分よりちょっと強い敵と戦うのが一番伸びる • 反復練習に｢ちょっと強い｣要素を入れて常にチャレンジ • ちょっとだけ速く、ちょっとだけ効率良く • 目標としたい人を分析して、構成要素を徐々に獲得して いくアプローチ • 悪口やダメな人の分析は有害なだけ 33

世界中で大流行のCTF • ctftime.orgに登録されたCTFは2014年に60、2019年は198、そして 2020年は230！ • 初心者向けCTFも増えている • kusuwadaさんのオススメの初級者向けCTF • https://tech.kusuwada.com/entry/2020/12/02/065100 • CTF Advent Calender 2020 • https://adventar.org/calendars/5338 • Bandit: Over the wire • https://overthewire.org/wargames/bandit/ • レクチャー動画も多数 • 活用例：freeCodeCampからpicoCTFのはじめの一歩！ • https://daily-postit.hatenablog.com/entry/20201214-freecodecamp-picoCTF-start 34

CTF：初級→中級の壁 • 出題傾向は多様なものからpwn系に • しかし、ハードルが高い • WriteUp（めちゃくちゃある）でお勉強 • 問題ファイル等をGETしてチャレンジしてみる • WriteUpを見ながらなぞる • pwn.collegeがあるよ！ • SECCON 2020 電脳会議の講演動画に詳しい • https://www.youtube.com/watch?v=rc8mjqvki2Y 35

36

脆弱性を探すコンテスト • PWN2OWN • https://www.thezdi.com/blog/2020/3/17/welcome-to-pwn2own2020-the-schedule-and-live-results • https://www.zerodayinitiative.com/blog/2019/10/28/pwn2ownmiami-bringing-ics-into-the-pwn2own-world • SECCONもやってる(た) • https://2018.seccon.jp/2018/07/seccon-2018-x-cedecchallenge.html • https://www.atmarkit.co.jp/ait/articles/1311/26/news033.html • 天府杯 • https://i.eqxiu.com/s/jG0Fs4ZG?bt=yxy&share_level=1&from_user= 2020100835b82e13&from_id=de570acd9&share_time=1602217487848 • https://forest.watch.impress.co.jp/docs/news/1288055.html 37

Team Fluoroacetate https://twitter.com/RZ_fluorescence PWN2OWN2020:$130,000 USD PWN2OWN2019:$375,000 USD(plus a vehicle(Tesla Model 3)) Photo from https://twitter.com/thezdi/status/1109241913209556992/photo/1 38

脆弱性を探して賞金をもらう • 常設バグバウンティプログラムポータル • https://www.bugcrowd.com/ • https://www.hackerone.com/ • https://hackerone.com/playstation • https://hackerone.com/nasa • →年間のCVE数は36000以上。探すパワーはまだまだ不足 • https://cve.mitre.org/data/downloads/index.html 39

まとめ • オンラインの利点は、超豊富なコンテンツと物理的な距離 の超越 • コミュニケーションの冗長さは有る程度まで克服可能 • フィードバックの量と質はオンラインの方が良い • グループワークは設計と準備次第 • 動画などのコンテンツ作成含む準備が大変だけど（笑） • セキュリティの課題は自然とディーププラクティス • 今ならオフラインの良さをもっと活かせる！ 40

41

事前登録制 (無料) ここのリンクを クリック! 42

2月開催有 Aコース初心者向け B-2コース国の機関等、 重要社会基盤事業者、 民間企業等向け ここのリンクを クリック! 43

終 44