セキュリティ・ミニキャンプ in 名古屋 2014に参加しました。名古屋市千種区不老町にある名古屋大学で開催されました。今回は、ウェブのセキュリティがメインの話だったので、参加してみました。

パンフレット(PDF)によると、「若年層のセキュリティ意識の向上と優秀なセキュリティ人材の早期発掘」が趣旨らしいです。そのせいもあってか、基礎的だが重要な話が多かったように思います。

webセキュリティ対策について

現在は、webセキュリティ対策の技術はかなり確立しており、セオリーを学べば、かなり安全なものが作れる、という話でした。ここは同感ですね。今はフレームワークやライブラリが充実していますから、かなりセキュアなコードがさっと書けます。WordPressでも、セキュアに作る為のヘルパーがたくさん用意されていますから、これらを適切に使えば比較的安全にプラグインが作れます。

それでもセキュリティホールが見つかるが

開発会社がセキュリティ対策を知らない、導入しようと思っていない、という原因があるらしいです。特に入札案件や、コストが厳しい案件だと、セキュリティに当てる予算を削減してしまう、というケースもあるようです。

脆弱性を見つけた場合どうするか

開発者と知り合いであれば、直接報告するのが速いらしいです。そうでない場合は、IPA等に届け出る方法を検討したほうが良いらしいです。一般的な問い合わせフォームからだと、開発者に届くまでに時間がかかったりします。IPAに届けても、必ず対処してもらえる保証は無いらしいです。(私が報告したケースWordPressセキュリティニュース22号では、開発者に迅速に対処していただけました。)

脆弱性を報告したら攻撃者扱い

脆弱性(XSS)を発見して、ウェブサイト運営者に報告したまでは良かったものの、その後ISPからインターネット接続を止められてしまった、という話がありました。脆弱性を見つけたのは偶然だったらしいですが、それでも攻撃されたと判断されるリスクもあるらしいです。なので、他者のサイトに、勝手に脆弱性検査等を行うのは避けるべきらしいです。

脆弱性か仕様か

発見者は脆弱性だと思っても、開発者は仕様だと思っているケースもあります。WordPressで言えば、exec phpプラグイン等がそうでしょうか。exec phpプラグインは「管理画面からPHPコードを書く」という仕様なので、かなりリスクが高いです。(自分以外が運用する場合は危険すぎますが)しかしそれ自体は脆弱性では無い、という主張もあり得ます。

実際、「脆弱性を届け出たら『仕様です』と返された人は？」という問いかけには、フロアから何人かが手を挙げていました。結構あることのようのですね。

懇親会では

懇親会会場での受付はノーチェックでした。お金を払っていなくてもこっそり参加できたかもしれません。そこで、懇親会の参加者の認証を手軽に行う方法が無いかな？という話で盛り上がりました。といっても、現時点で画期的な案が無い事から分かるように、これだ、という解決策が出てきた訳でもないですが。

中京大学の鈴木先生のDNS毒入れ実演を見せてもらいました。数分で毒入れできてしまいました。実際に見せてもらうと、危険性が明確に分かるので、興味深いですね。

運営スタッフの皆さん、講師の皆さん、懇親会でお話させていただいた皆さん、ありがとうございました。