Tweet |
すごく今更ですが、先週の土曜日(3/19)に行われていた、
私の人生ではおそらく初となる、完全に外部の(オフラインでまだ関わりの無い)勉強会に参加してきました。
勉強会の名前は:神戸情報セキュリティ勉強会「セキュメロ」
今回で第14回だそうです。
勉強会の通称名が「セキュメロ」なのは何ででしょう・・・というささやかな疑問はさておいて、
(おそらくカーネギーメロン大学・兵庫県立大学(神戸市にある)+情報セキュリティについて学ぶ学科 からでしょうか)
今回は、Twitter上である方のお誘いを受けて、この勉強があることを初めて知り、
「おもしろそう」「せっかくだから」と言う理由と、なによりもまず「外部のいろいろな方と会える」と言う理由により、
参加を決定しました。
・・・・と、前置きはこれぐらいにして。
人生初となる神戸に到着。
今の場所からだと約一時間で到着するので、近いですね。
そして軽く腹ごしらえしたところで会場入り。
開始までしばし待ち。
参加者が増えたあたりで周りを見渡すと、結構ノートPC持参率高し。
今回は筆記用具程度しか持って行かなかったので「しまった?!」と思いましたが、
今回は必須ではなかったようで一安心。
まずは自己紹介。
老若男女様々な方が集まりました。学生さんも結構いました。
立場も様々で、大学・企業・団体で働いている方から自主起業している方までいました。
パスワードの管理の仕方も様々でした。ツール("KeePass Password Safe"らしいです)を使っている方まで。
中にはランダムパスワードを記憶する強者までいらっしゃいました。
(私はツールには一抹の不安を持っているんですよね・・・)
そして事前説明+前説スタート。
前説で一笑いしたところで、今回の講師である辻伸弘氏(twitter:@ntsuji)のプレゼン開始。
この方、ペネトレーションテスター(企業から依頼を受け、Webサイトやサーバーなどへのアクセスについての問題点の調査・指摘等を行う。・・・でいいのかな)であり、また@ITでセキュリティ・ダークナイト(https://www.atmarkit.co.jp/fsecurity/index/index_dknight.html)や、セキュリティ対策の「ある視点」(https://www.atmarkit.co.jp/fsecurity/index/index_view.html)ほか、様々なところで寄稿されています。
今回は勉強会の主題でもある「パスワード」の観点からのご説明でした。
以下「続きを読む」より・・・。
現場では様々な脆弱性(狙われると危ないところ)がみつかるそうです。
その中でもパスワードは最も問題として指摘されやすい/出やすいそうです。
今はパスワードを解析するソフトウェアが、オンライン(直接サイトに攻撃)/オフライン(別の方法で入手したパスワードハッシュに対する解析)問わず存在するようで、簡単なパスワード(約7文字まで)なら一瞬~数日以内解析できてしまうようです。
しかし、英単語や簡単な言葉、人名などはすでにパスワード辞書に登録が有り、これらだと一瞬で判明してしまいます。
そして現在、定期的な変更が叫ばれていますが、これが本当に有効なのか。
攻撃の対象によっては、わずか数時間で事を終えてしまうこともあるようです。
銀行等では2つのパスワードや、認証法を採用しているところが多いので、そうそう現金をすぐに動かせることは少ないようですが・・・。
定期的な変更が逆に、パスワードを甘くする要因(簡単なパスワードを設定してしまう)になっていないか。
「パスワードの使い回し」をしていないだろうか?
これは利用者である私も、私のみならず周りを見ていても、恐怖に感じました。
パスワードが盗まれると、同じパスワードを利用している他のサイトも一瞬で進入されてしまい、更に被害が拡大するのです。
この代表的な例として、アノニマスというハッカー集団によるHBGaryへの攻撃に関する事件を紹介していただきました。
詳細は他のページに譲りますが、SQLインジェクションによるパスワードハッシュの入手から始まり、使い回しを狙った他のサイトへのアタック、さらにはソーシャルハッキング(機械相手ではなく、人に対して問い合わせを行い、情報を入手する)までも行ったという、壮絶な物でした。
セキュリティの専門家(専門企業)がお粗末なパスワード(passwordや123456など、非常に簡単な物)を使っていた事実にもびっくりですが・・・。
そしてグループディスカッション開始。
パスワードを「覚えやすく、他人にわかりにくい」ものにするにはどうするかを話し合いました。
様々な活動・経験をされている方が集まったので、自分では思いも寄らなかったアイデアがぽんぽんと・・・。
中には「これは他の人にもお勧めできる!」とおもえるようなものまでありました。
ここでは詳しく書きませんが、周りの方には教えていこうと思います。
そして最後に森井教授@神戸大学による緊急講義まで開催されました。
いきなり呼ばれたようですが、それでもあの素晴らしい内容には感服しています。
最後は懇親会。
これはほぼオフレコでw
今回の議題から、あらゆる話題にw
そして辻さんから先日の記事vsftpdは一部の情報が標準入力から出力されるようです。 - PC破壊日記的ブログ
のこともお聞きしました。
本当に逼迫していたところに助け船を出せたようで良かったです。
私は気になったことがあるととことん調べないと落ち着かないタチなので、大きな驚きまで得られましたがw
まあ、たまたま「同じソフトを使っている環境」がそこにあったからこそできた話ですけどね。
また参加しようかな。
セキュメロスタッフの皆さん、今回参加していた皆さん、
そして辻さん、森井さん、
どうもありがとうございました。
- Newer: 2011年のエイプリルフールがやってきました・・・が・・・。
- Older: 東北地方太平洋沖地震 に関するすばらしい対応と最悪の対応
Comments:0
Trackbacks:0
- TrackBack URL for this entry
- https://pc-diary.com/movt_direc_post/mt-tb.cgi/1581
- Listed below are links to weblogs that reference
- 神戸情報セキュリティ勉強会「セキュメロ」 第14回にに参加してきました。 from PC破壊日記的ブログ