昨夜は、セキュリティ・キャンプに参加した感想を書いていきましたが、引き続きセキュリティ・キャンプに関した記事を書いていきます。
今回は、D(課題駆動)トラックに応募した際の課題を世間の皆様に晒すことと、セキュリティ・キャンプに参加して感じたメリットなどに触れたいと思います。(IPAの回し者ではありません)
セキュリティ・キャンプに参加したメリット
今年は、オンラインで開催されたため、以前の参加者がよく述べられている、美味しそうなご飯をメリットとしてあげることはできません笑しかし、オンラインは、オンラインなりにもメリットがあったのではないかのと思うので、そこらへんを書いていきたいと思います。
1.自分の未熟さと、他の参加者の好奇心旺盛さを肌で感じる
セキュリティ・キャンプでは、普段からセキュリティに慣れ親しむツヨツヨの方がたくさんいらっしゃいます。そうすると、自分はまだまだだなと感じることができます。この「まだまだだな」と感じることで、もっと勉強していこうと思うようになるので、非常に感謝しております。
今回は、全ての過程をオンラインで行っていたのですが、回を増すごとに、だんだんVRアバターでの参加者が増えていきました笑 私は、残念ながらOSの関係でVRの環境を整えることができませんでしたが、他の参加者が新しい技術をどんどん取り入れようとする姿勢には、感銘を受けました。
2.録画されているので、後から復習することができる
今年がオンラインと普段とは違ったからというのもありましたが、講義の様子を録画されており後で見返すことができました。講義中だと?となっていたところも、後からもう一度落ち着いてからみることで、なるほどとなることも多かったでした。
それに加えて、枠が空いていれば、集中トラック受講者は選択トラックの講義を、選択トラック受講者は集中トラックの講義を受講することができました(これもオンラインだったから)。私は、バイトとの兼ね合いもあって、集中トラックの講義を希望することができませんでしたが、応募しとけばよかったな〜と今更思います。
3.協賛企業からもいろいろもらえる
たくさんのアニメティグッズ頂きました!
— Kawazap (@mikan45593608) 2020年10月31日
ありがとうございます😆#seccamp pic.twitter.com/fXNJz0lR7I
上記のものは、協賛企業からいただいたものです。その他にも、必須講義の中に、協賛企業によるお話を自由に聞けに行ける時間も設けられていて、非常に楽しい時間でした。
応募課題晒し〜
応募課題を出すときの注意点!
いくつか注意していただきたいことがありますが、一番は提出締め切りです。
元々の締め切りは8月中旬ぐらいだったのですが、締め切り直前になって、9/3までと1週間締め切りがのびました。公式HPをチェックすることも大事ですが、Twitterなども要チェックです!
また、ずっと下書きの状態でいて、結局締め切り日すぎてた〜という寒いことになる前に、一度応募課題を提出してしまった方がいいと思います。一度提出してしまっても、後から編集できるようになっているので安心してください。
2番目は、公式HPに選考のポイントや講義内容も掲載してあるので、参考にするといいと思います。後で、自分の考えてたトラックと違った〜ということも減ると思います。
3番目は、集中トラックと選択トラックの違いです。集中トラックは、自分の選択したトラックの内容(OS作るなど)を開催期間中ずっと行います。しかし、選択トラックは、必修講義と選択講義に分かれるのですが、選択講義は、選択トラック内であれば、他のトラックの講義を受けれる可能性(必ずしもそうではなく、今年は希望順の抽選)があります。なので、選択トラックを希望する場合は、他の選択トラックの応募課題はどんな感じかなと軽く眺めてみるのもありかもしれませんね。
応募課題晒し[本題]
応募課題全体を見たい方は、以下のリンクからご確認ください。
セキュリティ・キャンプ全国大会2020オンライン 応募要項 :IPA 独立行政法人 情報処理推進機構
さて、お待ちかねの応募課題晒しを行っていきたいと思います。
Dトラックは問題が6つあるのですが、そのうちの3つを選択して回答することになります。それでは、早速晒していきたいと思います。
問4
1)以下のURLからPowerShellスクリプトをダウンロードし、フラグ(フォーマット:FLAG{xxxx})を見つけてください。
https://gist.githubusercontent.com/Sh1n0g1/e42100f2a8e7d767706b4e2c88a2c45d/raw/b02088c51a4639671bf796d9f60ca56645c35146/obf.ps1
FLAG{W3lc0m3_t0_S3cc4mp2020}
2)どのように解析したかを簡潔にまとめてください。フラグが見つかっていない場合でも、分かった箇所について、解説してください。
示された powershell の最初の方は、{-}に数字を足していっているので、最終的に{-}の計算結果がどう なっているのかをみたかった。{-}のコマンドの最後の方に、Write-Output ${-}を付け足すことで、{-}の計算 結果を表示させた。その結果、W3lc0m3_t0_S3cc4mp2020 というものが出てきたので、 後半部分を実行すると入力を求められる password に、「W3lc0m3_t0_S3cc4mp2020」を入力しエン ターキーを押すと、
+----------------------------+
|FLAG{W3lc0m3_t0_S3cc4mp2020}|
+----------------------------+
が表示されたので、これを flag だと断定した。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
powershallに関する問題を解いたことがなかったのですが、以下の記事を参考にして解いてみたところうまくいった感じです。
問5
ディープラーニングベースの顔認証システムのメリット/デメリットを、セキュリティの観点から教えてください。
また、デメリットを改善する方法も教えてください。
ディープラーニングを活用した顔認証システムのメリット・デメリットをそれぞれ3点のべる。 まず顔認証のメリットは3点ある。
1 点目は、顔は誰しもが持っているものだということである。身体的障害者など体のどこか不自由な場合 でも、顔はほとんどの人が存在しているため、判別するための有効な手段である。
2 点目は、気温による環境の変化や顔が濡れているなど顔の状態に左右されにくいという点である。指紋 認証であると、指が濡れていたり汚れたりしていると、認証ができない。しかし、顔はマスクなどで一部が隠 れない限りは、顔の凹凸や特徴点が一致しているかで認証するため、濡れたり汚れたりしていても認証で きる。
3点目は、特別な専用機器がなくてもカメラがあれば運用できる点である。他の虹彩認証や指紋認証で あると、特別な機器が必要となってきて初期投資がかかる。しかし、顔認証であれば、市販のカメラがある だけでも運用することができるため、初期投資がかかりにくく普及しやすい。
次に、デメリットについて述べる。
1点目は、双子などの顔の似た人を認証しようとする際に、誤認証が起きやすいという点である。これを改 善する方法として、他の認証と組み合わせるという方法である。例えば、静脈認証と顔認証を組み合わ せることに限りなく、顔認証の抜け穴を塞ぐことができるのではないかと考えた。
2点目は、顔認証に登録した人の顔を模したマスクを装着すると、誤認証が起きやすいという点である。 対策方法としては、顔の特徴点について調べるのに加えて、焦電センサーなどで体温が適切な温度にあるかを調べることにより対策できると考えた。マスクをつけていると、顔の表面温度が低いため認証できないからである。また、顔に何もつけていない時に、 体温が 38°以上あると風邪やCOVID-19への感染の疑いがあるとして利用者に報告できるので、ヘル ケア的にも有効であると考えた。
3点目は、マスクをしたままだと、顔の特徴点が隠れて上手く特定ができないという点である。マスクをする と、口や鼻や顎の輪郭など顔の特徴を決める重要な部分が隠れてしまうため、エラー率が高くなってしま う。このデメリットを改善する方法として、追加で耳の形をもとに追加で認証を行うという方法を考えた。耳 の形は、半永久的に変わらない上に、マスクで隠れてもマスクの紐を引っ掛けるために必要であるため、有 効な手段だと考えた。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
なんとかして、絞り出しながら書いていきました。私は、文章を書くのが非常に下手なので、以前セキュリティ・キャンプに参加した先輩に添削を受けました。身の回りにセキュリティについて詳しい方がいなくても、快く添削をしてくださる知人に依頼することをお勧めします。
問6
サイバーセキュリティのマンガを作成する場合、どんなストーリーのマンガにしたいですか?
作りたいマンガのテーマとあらすじを書いてみてください。
私が作りたいマンガのテーマは、フィシングメールに関してマンガある。 このテーマにした理由としては、身近なところでフィシングメールを受信したという経験をして、身近に迫るセキュリティの問題として啓発 したいと考えたからである。
以下が漫画のあらすじである。
1.とある場所に住む 情報 守くん(18)は、大学一年生。大学生になって晴れて一人暮ら しを始めたものの、CONVID-19の影響で、外出する機会が減り、商品は大手 E C サ イト「Seccan」で、ネット注文することが増えていた。
2.一人暮らしを始めて 1 ヶ月ほどたったある日、「@Seccan.com」から、無料会員の期限が切れたため、プレミアム会員になるよう迫るメールが届いた。メールに添付されたリ ンクを開くと、個人の名前やパスワード、クレジット情報を入力する欄があった。守くん は、外見は普段利用しているサイトとほとんど同じであったため、特に気にせずに、個人 情報を入力して、送信した。 3.それからしばらくして、守くんは、「Seccan」で新しく商品注文しようとしたとこ ろ、アカウントのパスワードが変更されており、「Seccan」を利用することができないこ とに、気づいた。
4.守くんは、警察や「Seccan」、クレジット会社に相談し、事なきを得ましたが、もう 少し遅ければ手遅れだった。このような形式の詐欺をフィシングメール詐欺という。犯罪 者は、不特定多数の人に、本物に似た HP のリンクを踏ませることによって、個人情報を 盗もうとする手段である。 2で出てきたメールの中身の文面を見ところどころ日本語がおかしかったり、リンクの URL が公式のものと違ったりしているため、こういったところが本物と見分けるポイント である。
少しでも怪しいと思ったら、警察に相談してみてね。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
漫画を書いたことないので難しいと思うかもしれませんが、身近なところでないか探してみるといいと思います。私的には、この課題をするのが一番楽しかったかもしれません笑
最後に
他に応募課題について触れられている方もよくおっしゃっていますが、講師の方々は、どれだけの熱意があるかをよく見ていらっしゃいます。 問題を解きなさいなどの課題において 途中までしかできなくても、「ここまでしかできませんでしたが、こういう方法があったら解けそう」とか自分ができる限りの誠意(どうしてもセキュリティ・キャンプ行きたいんです!)を見せられたらいいんじゃないかなと思います。
あとは、私は、自分の頭だけで悩まずに、周りの人に相談したりインターネットを漁ったりするのも全然ありだと思います。(来年のセキュリティ・キャンプ応募者が、こんな辺鄙なサイトをご覧いただいてるとしたら、十分漁られているかと思いますが笑)
最後に、応募課題の添削をしてくださった先輩に感謝しております。
では、この記事はこの辺で失礼します。
