立命館大学IoTセキュリティ研究センター x OWASP Kansai 〜セキュリティの未来についていろいろ学ぼう〜

本日お邪魔したのはこちら。
https://owasp-kansai.doorkeeper.jp/events/193572
前回から2ヶ月ぶりのOWASP Kansaiです。

会場は大阪茨木にできた立命館大学の新キャンパス。
駅を降りて線路沿いに少し歩いたら到着という好立地。
茨木は初めてですが、周辺はショッピングセンターが複数存在。
tktkセキュリティ勉強会で行った高槻と同様、梅田や京都に出るには
めちゃんこよさそうな環境ですね。

以下メモですが、ハンズオンについては全部ネタバレするわけには行かないので、
それなりにぼやかしてます。

1. オリエンテーション

電車の乗り継ぎミスとキャンパス内迷子により、思いっきり遅刻でほとんど聴けず。
ごめんなさい。

2. ハンズオン：AWSの設定ミスが引き起こすセキュリティリスクを体験してみよう

• コンテンツ：うどんの知識を出してくれるAIチャットボット
  • 普段は5時間くらいのボリュームだが、それを2時間弱にカスタマイズしている
  • みんなが一斉にAIに問い合わせを行うと、すぐにAPIコールのレートリミットに到達してしまう（使うときは優しくしてね）
  • 脆弱に作っているので今回は通るが、本来は目的外の質問はしちゃダメ
• 課題
  • 使われているAWSサービスの設定ミスの内容から、クレデンシャル情報を取得する
• 所感
  • 環境と参加人数的に仕方ないが、エラー内容がみんなが叩きまくってるからなのか、本当にエラー処理としてなされてるのかわからなくなるときがあった
  • 「LambdaはPaaSなので開発者はアプリに専念できる」という説明があり、その通りと思いますが、実際運用してみるとEOL対応大変なんだよなあ（Python寿命来るの早すぎ・・・）
  • 今回はWAFのないところから機微情報を取れるので、WAFをきっちり入れようねというものでしたが、実運用では費用/リスク/技術/その他諸々を鑑みてどこまで導入するかが決まる（ある意味、この辺が技術者としての腕の見せどころ）
  • （AWSに限らずだと思うけど）作る構成によって、同じセキュリティ対策でも実現方法が違ってくるのが厄介

3. 講演：先を見通せるエンジニアになろう 〜2038年問題はどれくらい大変だろうか〜

• AIの隆盛はソフトウェアエンジニアの仕事を奪うのではないだろうか
  • LinuxカーネルをコンパイルできるようなCコンパイラをAIで作るのに成功したらしい（AIコールに300万くらいかかったらしいけど）
• 未来予測はいつでも難しいが・・・
  • ハイプカーブ
• 技術は時に爆発的に進むが、その時の予想はたいてい外れる
  • 若いうちの予想はよく外れる
    • プログラマ30歳定年説
• 今のAI得意なのは模倣
• AIがソフトウェアをかけるのは「正しい入力」と「正しい出力＆動作」
  • 想定しない入力に対する対処は難しい
• PCも未来予想はよく外した
  • ネットワーク戦隊NEWSMAN
    • 63bitもアドレスはいらない（32ビットを超えるデータは想像の外）
    • 1990年代に書かれたコードが今も動いている
• 32bitのUNIX時間は2038年1月19日に終わる（オーバーフローを起こす）
  • C言語はPOSIX準拠しており、これを使って作られているともれなく影響受ける
  • ANSI-Cでtime_t方で扱えとなったが、準拠してないものが今も生きている
• 32bit UNIX timeはそんなに残っているの？？
  • サーバー、PC、スマホは置き換えのペースが速く、問題にならないはず
  • 組み込みがやばい
    • インフラ系と家電
      • 家電の製品寿命は伸び気味（TVや白物家電は15年以上使われる例もザラ）
      • 2018年時点で駅のサイネージで使われていたのはWindows2000
    • 設備寿命20〜50年はザラ
      • 「動いている物は触るな」の文化
      • テレホンJJY問題
      • 2004年1月10日「2038年問題」発生（UNIXタイムの折り返し地点）
      • ラズパイは32bitが主流（最近ようやく64bitになったばかり）
        • おうちのラズパイも思いっきり32bitだよ・・・
    • テレビ放送
      • BML番組表は32ビットUNIX TIMEが使われている（仕様上は符号なし扱いだが正しく動作するかわからない）
      • B-CASカードも影響あり！？
    • 保守のない民生品ならではの難しさ
  • Cのルールとして「引き算をしてはいけない」があるが、守られてることが少ない
  • 互換性問題
• 若い人へのメッセージ
  • あなたの書くコードはいつまで使われるか、利用終了するときに何が起こるかをぜひ見通してほしい（AIに書かすとこれを考慮したものが出てくるか怪しい）

4. 講演：おかんでもわかるセキュリティの話　わかる言葉で語れるセキュリティエンジニアになろう

• 朝日新聞は創刊からこれまで本紙を全部残している
  • 上原先生、学生時代に取材受けてたのか・・・
• 技術の話は難しい
  • Geminiに「VPNについておかんがわかる言葉で説明して？」と投げてみたら・・・
    • 大元の概念がどこかに行ってしまいがちで、何かに例えて説明するには限界がある
    • 「技術」は誰のため？何のため？
      • 「社会」を支えるための「技術」と考えると、技術を必要としている「社会」そのものについて考える必要があるのでは？
  • 日本のネットワークカメラを全スキャンして、丸見えになっているところに実際に取材に行った
    • お店、施設、組事務所（！？）
  • ネットワークにつながる機器について、下記が未だにまかり通っているというのは社会が良くないのではないか？
    • 機器設置業者に丸投げ問題
    • 見えているからOK
    • パスワードなし
  • 「技術」の説明だけでは「社会」は広がらない（例：Booking.com世界規模の詐欺被害（2023年11月））
    • 国交大臣
      • 記事2日後に対策指示を発出
    • セキュリティ企業
      • 発覚2ヶ月前にレポート公開していたが、テクニカルな技術解説ばかりで世の中に気づかれていない
        • 観光業界にリーチできるような形になっていたら、もっと早く対処できたのではないか？
        • 2000年代の「第一次情報セキュリティ基本計画」がインターネットの安心・安全の確保が主眼に置かれており、それを今でも引きずっているのではないか（インターネットの中だけで考えるのではダメではないか）
• 「社会」とは「ひとの営み」
  • 人が行動を起こすきっかけに

5. LT：Amazon SESを乗っ取られてSPAMをばらまかれた話

• Amazon SESは利用するための敷居が高い（ほんまそれ）
• バウンスメールの警告がAmazonから来た
• やるべきこと
  • バウンス監視
  • 対処
  • 報告
  • 原因究明と恒久対策
    • 放置状態の問い合わせページのメール自動返信用PHPモジュール（CMS起因）に脆弱性があった
      • 暫定対応：CMSを最新に更新、問い合わせページ廃止
      • 恒久対応：再構築予定
  • Good & Bad & Nnowledge
    • 終了したサイトを7年間も放置していた
    • 長期クレデンシャルを放置していた
    • CMSの脆弱性を放置していた

6. LT：文系でもわかるセキュリティの話

• はせがわさん学生時代ご近所さんだったのか
• セキュリティは一人では達成できない
  • 協調的な取り組みが大事(文系学問の活かせる所)
  • 心理学とセキュリティ
    • セキュリティにおける心理学的な調査や研究が行われてないのではないか
  • 行動経済学とセキュリティ
    • セキュリティのために他社に行動変容を促す機会は多い
    • 部分的には（経験則的に）ナッジが取り入れられている
  • 倫理学とセキュリティ
    • 規範倫理学
    • セキュリティの世界では、法律に従うことに重きが置かれており、倫理学からは遠いところにある
  • セキュリティ対策を他社に呼びかける際の倫理的な懸念
    • パターナリズムは個人の自立や自由を侵害する
    • 単一の価値観で全体が方向づけられる
    • 呼びかけに応じた自発的な行動変容が求められる

　

　

7. ついでチェック

2月14日にちなんだ差し入れ。


メガネのガキンチョくんとマルマルモリモリの人。
後者は今や朝の顔ですね。
　

最近の戦利品

• 魔法少女リリカルなのは EXCEEDS（2）
• 数字であそぼ。（15）
• GitHub Enterprise 設定・管理 大全