狠狠撸

LOOKING BACK: 2023
OWASP SAITAMA MTG #17, TALK #1
Image by Abubakr Saeed on flickr, CC-BY 2.0

TEXT
SESSION FLAGS
? 録画?録音?公開: OK
Image by Nico Kaiser on flickr, CC-BY 2.0

TEXT
WHO I AM
? Takahiro Yoshimura (@alterakey)
https://keybase.io/alterakey
? Monolith Works Inc.
Co-founder, CTO
Security researcher
? 明治大学サイバーセキュリティ研究所
客員研究員

TEXT
WHAT I DO
? Security research and development
? iOS/Android Apps
→Financial, Games, IoT related, etc. (>200)
→trueseeing: Non-decompiling Android Application
Vulnerability Scanner [2017]
? Windows/Mac/Web/HTML5 Apps
→POS, RAD tools etc.
? Network/Web penetration testing
→PCI-DSS etc.
? Search engine reconnaissance
(aka. Google Hacking)
? Whitebox testing
? Forensic analysis

TEXT
WHAT I DO
? CTF
? Enemy10, Sutegoma2
? METI CTFCJ 2012 Qual.: Won
? METI CTFCJ 2012: 3rd
? DEF CON 21 CTF: 6th
? DEF CON 22 OpenCTF: 4th
? 発表?講演など
DEF CON 25 Demo Labs (2017)
DEF CON 27 AI Village (2019)
CODE BLUE (2017, 2019)
CYDEF (2020) etc.
Image by Wiyre Media on flickr, CC-BY 2.0

2023..
Image by Transformer18 on flickr, CC-BY-ND 2.0

FEBURARY
Image by Paul Sobczak on flickr, CC-BY 2.0

TEXT
FEBURARY - #12
? 2023年初めの開催
? 春日部市開催: ふれあいキューブ 4F
? この時懇親会を行なったピザ屋が潰れた… orz
Image by Erik Weibust on flickr, CC-BY-NC-ND 2.0

TICKET TO THE DARK WORLD
FRONT
Image by Alexandre Gallier on flickr, CC-BY-NC-ND 2.0

TEXT
FRONT: TICKET TO THE DARK WORLD
? 無法地帯であるダークウェブ環境
? アクセスにはTorブラウザが要求されるが遅い
→TorはFirefox ESR
→Firefox自体の改良が進んでいるのだが…
? では自家製環境がどれだけ通用するのか？
またより安全な環境を作るには？
→検証だ！
Image by Alexandre Gallier on flickr, CC-BY-NC-ND 2.0

TEXT
FRONT: TAKEAWAYS
? 決してナメてはいけないJSの執念を垣間見た回
→non-JS環境ならRFP+FPI+少しの工夫でイケる
→JS環境はかなりのリスク; Torブラウザが必須
→いずれにしても全画面モードの使用は絶対NG
? より安全な環境を作るには？
→Torブラウザを基本的にSafestで運用
→Extensionの導入: uBO/LocalCDNは有効
※Hard modeが良いが許可履歴に注意
Image by Andrew on flickr, CC-BY-NC-ND 2.0

TEXT
FRONT: TAKEAWAYS
? あなたをいつでも見守るGuard nodeの恐怖
→Guard nodeはプライバシーのアキレス腱
→立候補さえすれば誰でもなれる
→たまに多数の同質ノードによるcampaignが
? そんな装備で大丈夫か？ — 大丈夫だ問題ない (r
…そんな展開が普通にある世界;
? 信頼できるbridgeを大切に、どうかご安全に。
Image by KaCey97078 on flickr, CC-BY-NC 2.0

TEXT
BACK: CHAPTER INTRO.
? 2月は片手落ち

APRIL
Image by Walter on flickr, CC-BY-NC 2.0

TEXT
APRIL - #13
? 春の季節
? 所用のため最終火曜ではなく1週間早まる
→さいたま市会場が点検という憂き目に
? 春日部市開催 (2nd): ふれあいキューブ 4F

FILL IN THE BLANK
FRONT
Image by Ars Electronica on flickr, CC BY-NC-ND 2.0

TEXT
FRONT: FILL IN THE BLANK
? ChatGPTに代表されるLLM…
膨大な知識を持って自然言語で会話できる機械
学習モデル
? 情報漏洩は？攻撃は？日本語では？
→検証だ！（多分我々が初めて）

TEXT
FRONT: TAKEAWAYS
? 情報漏洩については若干騒ぎ過ぎの感
→そのままcorpusに入るわけでもない
→オプトアウトもできる (OpenAIのみ)
※むしろGoogleなどのほうが問題
? Prompt Injection: 自然言語境界が曖昧なことを利
用して指令を挿入する攻撃
→完全に防御する手立ては現状ない
→日本語でも十分に有効
→利用するならリスクヘッジ策を
Image by Howard Ignatius on flickr, CC-BY-NC-ND 2.0

KIA? CHALLENGE?
? 「Kia Boyz（起亜ボーイズ）」とは、起
亜自動車を盗み、盗んだ韓国車を使って
暴走運転、乗り捨て、事故を起こすなど
した動画をTiktokやYouTubeなどに投稿
するティーンエージャーのこと
? この“悪質なゲーム”のことを「Kia
Challenge（起亜チャレンジ）」または
「Kia Boyz Challenge（キア?ボーイズ?
チャレンジ）」と呼ばれている
THIEVES #1
BACK

TEXT
BACK: THIEVES #1
? 車の盗難事件が続発
→どうなっているのか？

TEXT
BACK: TAKEAWAYS
? 初めkia, 次いでRAV4
? 手法と対策の共進化（i.e. イタチごっこ）
? イモビライザーの存在と回避
? キー認証プロトコルは万全とは言えない
? もはや物理的に守るしかない
Image by KaCey97078 on flickr, CC-BY-NC 2.0

JUNE
Image by Thai Jasmine (Smile..smile...Smile..) on flickr, CC-BY-NC 2.0

TEXT
JUNE - #14
? 雨の季節
? 春日部市開催 (3rd): ふれあいキューブ 4F
Image by Pom' on flickr, CC-BY-SA 2.0

TEXT
FRONT: THIEVES #2
? 前回はkiaとRAV4だったが、実はhondaも…
→なぜ？

TEXT
FRONT: TAKEAWAYS
? CANバス構成に潜在する問題に加え
RFリモコン信号の構造にも問題が
? rolling codeで対策したと思えば、その対策にも
欠陥が
? …しばらく続くのだろうか。

TEXT
? この月も片手落ち

AUGEST
Image by Joe Penniston on flickr, CC-BY-NC-ND 2.0

TEXT
AUGEST - #15
? 焼けつく猛暑
? さいたま市開催: RaiBoCホール集会室
? OWASP Sendai 小笠さんのご厚意による
初のワークショップ
? 開催目前に僕がCOVID-19で急遽リモートに…
→各位ご迷惑をおかけしました
Image by Shawn Harquail on flickr, CC-BY-NC 2.0

脅威モデリングワークショップ
WORKSHOP

TEXT
WORKSHOP: 脅威モデリングワークショップ
? OWASP Sendaiチャプターリーダーの小笠貴晴
(@TakaharuOgasa) さんから
? 脅威モデリングワークショップ
→中身が濃いのでオフライン限定に
? 参加各位、ありがとうございました！

TEXT
? 僕がうっかりCOVID-19に冒された(すみません)
→遺影参加でチャプター紹介を…

OCTOBER
Image by berniezang on flickr, CC-BY-NC 2.0

TEXT
OCTOBER - #16
? ビールの月
? 春日部市開催; ふれあいキューブ6F ..
予想以上の圧迫感に以降は4Fでと決意した回
? 暗黙的だったスピーカー保護ルールを整備し、
「チャタムハウスルール」を適用する旨明記
Image by 5chw4r7z on flickr, CC-BY-SA 2.0

※チャタムハウスルール:
得られた情報を他所で利用する際、発言者やその他の参加者
の身元および所属に関しては、本人の明示的許可や確認が得
られない限りは明示的にも黙示的にも明らかにしない。
よろしくお願いいたします?
TEXT

ECHIDNA: PENETRATION TEST ASSIST &
COLLABORATION TOOL
FRONT

TEXT
FRONT: ECHIDNA: PENETRATION TEST ASSIST & COLLABORATION TOOL
? 開発者の寺田悠 (@chayakonanaika) さんから
デモおよび内部設計に関する貴重な話
? BlackHat EU 2023 Arsenalで発表
? 攻撃を可視化?チーム内で共有し初心者でも十
分な成果を出せるように強力に支援するツール
? https://github.com/Echidna-Pentest/Echidna

TEXT
FRONT: TAKEAWAYS
? Echidnaは初心者やセキュリティチームが攻撃手
法を学習できるように設計されている
? 状況に応じて次のコマンドを提案
? コマンド出力から重要な箇所を抽出しサポート
? 初心者でもクリックだけで侵入可能
? ブラウザ経由で共有ターミナルを提供すること
でチーム内連携をサポート

TEXT
BACK: THREAT DRAGON
? OWASP Sendaiチャプターリーダー
小笠貴晴 (@TakaharuOgasa) さんから、
OWASP Threat Dragonの紹介とハンズオン
? OWASP公式の脅威モデリングツール
? これもまた大変に貴重な話
? https://owasp.org/www-project-threat-dragon/

TEXT
BACK: TAKEAWAYS
? 脅威モデリングは開発者の教育に有用
? 開発前にリスクを洗い出す（WFでは重要）
? 診断や侵入テストの代替ではない
? OWASP Threat Dragonの利点
? DFDを書き、STRIDEを視覚的に表現
対策一覧を作成し、それを保存
? 構成要素ごとの発生脅威カテゴリを考慮 (!)

DECEMBER
Image by joanne clifford on flickr, CC-BY-ND 2.0

TEXT
DECEMBER
? 年末
? さいたま市開催: RaiBoCホール集会室
Image by DaPuglet on flickr, CC-BY-SA 2.0

LOOKING BACK 2023
FRONT

TEXT
FRONT: LOOK BACK 2023
? 今年の活動のふりかえり
? KPT: Keep, Problem, Try

TEXT
KEEP
? できたこと
? ワークショップの開催
（小笠さんありがとうございます！）
? 公募スピーカー各位のみでの開催
（寺田さんありがとうございます！）
? オフラインのみ開催
Image by willi_bremen on flickr, CC-BY-NC-ND 2.0

TEXT
PROBLEM
? 今一つだったこと
? 活動状況が見えにくい
? 話題の告知が遅い
? 解析系の話題をもう少しやれたな
? 火曜だと店が休んでいるケースが多い…
Image by Leonid Mamchemkov on flickr, CC-BY 2.0

TEXT
TRY
? やっていきたいこと
? SNSへ写真を入れて活動報告
→誰か！
? スピーカーの依頼
→依頼がいったらよろしくお願いしますmm
? appsec, 特にアプリ解析
? ワークショップあるいはCTF類（※会場が問題）
? 開催曜日の再考
Image by Heiner Engbrocks on flickr, CC-BY-NC 2.0

FIN.
18.12.2023 TAKAHIRO YOSHIMURA (@ALTERAKEY)
Image by Paul Moody on flickr, CC-BY-NC 2.0

狠狠撸

Looking Back 2023

Recommended

More Related Content

More from Takahiro Yoshimura (19)

Looking Back 2023