北海道ミニキャンプに行ってきた。

序論
セキュリティミニキャンプの企画が札幌であったので参加しました。いろいろ学んだことを思い出せる限りで書いておこうと思います。

学んだこと
企画では主に与えられたソースコードを読解し、どのようなエラーや攻撃があり得るかを検証するタスクを行いました。備忘録程度に書くので内容はあまり具体的ではないですが、記事内のキーワードが誰かの学習のきっかけになればよいかと思います。

一日目：
スクリプトインジェクション
昨今のPHP言語はwebサイトでの利用が中心であり、有用な情報リソースであるwebを攻撃から守るためにはセキュリティホールを如何に防ぐかが差し迫った問題です。スクリプトインジェクションとはこのようなhtmlやPHPスクリプト内の脆弱性をつき、元のスクリプトの代わりに悪意あるスクリプトを実行させる攻撃で、理解してしまえば誰でもできるため脅威です。本講義ではIoTCar（respberry pi搭載）にファイルを実行させるhtml内のPHPコマンドに脆弱性を見出し、訂正する作業を行いました。

倫理
現役の北海道警察の方からセキュリティエンジニアの倫理観について、初歩的な話を講義してもらいました。ハッキングや機密情報にアクセスするだけで法律違反とみなされる現代だからこそのエンジニアの倫理観を小学生にも分かるように説明してもらいました。

二日目：
CWEの脆弱性
個々の製品についてではなく、ソフトウェアそのものに内在するバグやセキュリティホールを修正するプロジェクトをCWE（Common Weakness Enurmeration）といいます。（スクリプトインジェクションはスクリプト上（xxxx.html,xxxx.jsなど）の不具合ですがCWEはそのスクリプトを編集、実行するソフトウェア、たとえばv○m、at○mなどを検証するということです。）講義ではメモリ関連の障害を分析するために、仮想環境上でサンプルコードを実行して問題点を検証しました。
サンプルコードなどは著作権の関連上アップロードを自重します。

BadUSB
USBをPC本体に接続するだけで任意の操作を実行させるプログラムを書きました。Digimouse.move(),Digimouse.setbutton()などの関数を用いて簡単なマウスの動きを再現する（円を描く動き、直線、三角関数）コードを書いたりしました。
興味がある人はBadUSBとかで検索してください。

考察
IT人材の不足が叫ばれる中でセキュリティ人材の不足は特に顕著で人材育成が重要視されているようです。もちろん国内にいないなら海外の優秀なエンジニアを呼べばよいでしょうが、セキュリティに関する知識が全くないと自分が書いたコードのセキュアリスクを判断することすらできなくなります。専門的でなくとも知識としてセキュリティを学んでおくことは重要なんじゃないかと考えさせられた体験でした。

結論
セキュリティを少しでも多く学んでおくことは、サイバー上での護身につながるかもしれない。