こんにちは。会津大学学部二年生の杉山です。

今回は関根くんに引き続き、セキュリティ・ミニキャンプ　in 東北　２日目　について書きたいと思います。

２日目は１日目とは違い演習形式で、普段大学などでは経験することができないよう講義でした。

■午前中は脆弱性のある仮想SNSサーバーを徹底調査しようという内容の演習でした。この演習のために二日目参加者の人にはSNSのソースコードが配られて脆弱性を見つけるという事前課題があり、参加者はそれぞれ家でSNSサーバーを動かし脆弱性を見つけてきました。私は5つの基本的な脆弱性を見つけることができましたが、その脆弱性はある程度できる人ならば見つけることができるような脆弱性だったのと、あまりソースコードを見ずに実際にSNSの投稿欄に入力、通信のある値を変えて偽装の通信を送るなどで脆弱性を発見する動的解析で脆弱性を発見していたので自分の実力不足を実感しました。しかし今年の2月に開催されたhealth2.0というSecurity hackathonに参加しとき医療ソフトウェアの脆弱性を一つも見つけられず悔しい思いをしたので、そのときよりは成長したのかなと思い嬉しかったです。

脆弱性を調査する時間の後はSチーム Qチーム Lチーム Injectionチーム という四つのチームに分かれてそれぞれ見つけた脆弱性を発表しました。発見しただけでなく、その脆弱性をどのように攻撃を利用できるかなども、それぞれでおもしろかったです。

そして最後に西村さんとらまっこ氏による演習の解説でした。これ脆弱性なの！？みたいなものから、これは全く気づかなかったというものなど、自分が見つけられなかった脆弱性の話や脆弱性を使った攻撃手法や脆弱性がどのようなコードで生まれて、どのように対策すればいいのかなど聞けてとても勉強になりました。

■午後は竹迫さんの攻撃検知システムを自作しようという演習でした。具体的にどのようなことをやったかというとweb serverからディレクトリトラバーサルの脆弱性を利用して/etc/passwdの中身を見たり、Linuxのopenシステムコールを全てフックしてディレクトリトラバーサルの脆弱性を検知するカーネルモジュールを作ったり、普段あまり触らない分野だったので新鮮でした。講義を聞いていて思ったのですが、やはりこの分野は難しいですね（笑）元々勉強してみたいと思っていたのですが、あまり手をつけていなかったのでこれを機会に勉強してみようと思います。

二日間を通し多くのことを学んだり、自分の知識のなさを改めて実感したり、多くの人と知り合いになれたので、本当に参加してよかったなと思いました。それと同時に同世代や下の世代の人たちまた講師陣と交流することによって、これからのモチベーションも上げられたのでよかったです。ぜひ来年のセキュリティ・キャンプ全国大会に参加したいです。

著者:杉山