Security blog by Ierae Security,Inc.

脆弱性診断技術や関連情報を発信するブログメディア

セキュリティ・ミニキャンプ in 北海道 2016 を振り返って

札幌ラボ在籍の岸谷です。2016年11月5日(土)〜6日(日)に北海道札幌市で開催されたセキュリティ・ミニキャンプ in 北海道 2016の専門講義を1コマ弊社札幌勤務のスタッフで担当させて頂きました。初めてのことで準備はなかなか大変でしたが、参加者の皆さんにはそれなりに楽しく学んで頂くことができたのではないかと思っています。振り返って、簡単に所感や反省点を書いておきたいと思います。

なお2日間の様子はtogetterまとめに、例年より早めのドカ雪の様子も交えまとめて頂いています。

講義と演習の内容

2016年のミニキャンプ in 北海道は専門講座2日間の開催となり、情報セキュリティの基礎、組み込みからクラウド、アプリ、法律・倫理などの講義が開かれました。

私たちが担当した講義は「スマホゲームでサーバサイドアプリケーションへの攻撃と対策を学ぼう」というタイトルでスマホアプリをテーマにした内容でした。不正アプリなど端末側で悪意ある振舞いをとるもののお話ではなく、サーバサイドのAPIの脆弱性や、サーバからの応答を書き換えてアプリの動作をコントロールするチート行為など、通信の絡む不正行為を中心的な内容として取り上げました。

演習用のアプリはいわゆる「無理ゲー」仕様のゲームを用意し参加者の皆さんにプレイしてもらいました。RPGのような戦闘画面でモンスターをタップして全ての敵を倒すというだけの内容ですが、脆弱性やアプリの不備を利用した不正行為を行わなければクリアできないようなゲームバランスとし、皆でわいわい遊びながらセキュリティ上の問題点を探して目的を達成してもらおうというものです。

img_0924

講師側で用意した想定解法としては、ログイン認証の脆弱性や戦闘ダメージの書き換えなどのいくつかの問題点を組み合わせて悪用しなければクリアできないものとしており、機能数と発見するべき問題点の数は多くないものの、なかなか程よいラインをついた難易度設定だったのではないかなと考えています。

反省点

「講義資料をもっとわかりやすいものにできていたら」などのような反省点はいくらでもあるのですが、演習について想定解法以外に一点、ゲームを単純作業の繰り返しでクリアできてしまう不備があったことが一番記憶に残る反省点です。テストプレイの時間をもっととっておけば…(涙)しかし、そうした不備を見つけるのが演習の目的ですので、発見した参加者には素直に拍手を送りたい気持ちです。

こぼれ話

演習用のスマートフォン向けゲームアプリを開発すると決まった当時はポケモンGOが公開されて間もない時期で、そのオマージュネタで行こう!と社内で話し合っていたのですが、全国大会のネタと丸かぶりするという、今思えば当然ありうる展開を受けて結局モンスターと戦うゲームになりました。敵への攻撃方法がボールだったのはモンスターボールもどきの名残です。

また、冬の会場(北海道大学)敷地内で、参加者がすわ遭難かという一幕もあり若干肝を冷やしましたが、皆無事2日間の日程を終えて帰宅できたようで安心しました。

まとめ

参加者の皆さん、2日間おつかれさまでした。各講義では情報セキュリティを軸としつつもそれぞれ異なる分野の話を聞けたことと思いますが、何か興味を持ったり深まるものがあったなら関係者としてとても嬉しいです。学生のうちに先入観や好き嫌いなく色々な分野に取り組むことは確実に自分の未来の選択肢を広げることにつながりますし、その中で将来取り組みたい事が固まってきたりしたら素晴らしいなと考えています。全国大会のお話を聞いて興味を持たれた方は、ぜひ来年応募してみてください。

運営に携わった皆さん、準備期間から数ヶ月の間おつかれさまでした。また、各種のサポート本当にありがとうございました。また機会があったらぜひよろしくお願いします。

メディア掲載

本講演内容の記事が「@IT」に掲載されました。詳しくは下記をご覧ください。
セキュリティ・ミニキャンプ in 北海道 2016レポート:積雪を溶かす熱い講座で情報セキュリティを学んだ2日間