Chapter 02

セキュリティショートショートで使った技術と所感(@rinruren)

SecHack365文芸部
SecHack365文芸部
2020.11.08に更新
このチャプターの目次
  1. 自己紹介
  2. 記事の概要
  3. 作品内に出てくる技術
    1. DDoS攻撃
    2. ダークウェブ
    3. ソーシャルエンジニアリング
    4. フリーWi-Fi
    5. OSINT(open source intelligence)
  4. 終わり!

自己紹介

はじめまして、凛流レン(@rinruren)です。
とある高専に通っており、セキュリティ全般とKotlinを用いたモバイルアプリ開発に特に興味があります。
最近はセキュリティを広く浅く楽しく学べる『セキュリティショートショート』という物語形式の技術書を執筆し、現在も技術書典9のオンラインマーケットにて販売中です。

リンク→ https://techbookfest.org/product/5658972004548608?productVariantID=5508769347796992

記事の概要

『セキュリティショートショート』は知識ゼロでも読めるようにしており、あまり難しい説明を入れていないので、その補足や個人的に思っている事を書きたいと思います。

この記事は『セキュリティショートショート』をお読みいただいた方も、そうでない方もお読みいただける内容となっております。
しかし、一部ネタバレになる部分がありますので、気になる方は読まないほうがいいかもしれません。

それではどうぞー。

作品内に出てくる技術

DDoS攻撃

読み方はディードス(DDoS)です。
複数のコンピュータが一斉にアクセスを集中させて誰もホームページにアクセス出来ないようにするやつです。

私はこの攻撃を情報セキュリティマネジメントという資格試験勉強で知り、比較的わかりやすくイメージしやすい攻撃だと思ったので本書で紹介させて頂きました。

どうやらDDoS攻撃には代行サービスがあるらしいですね。
規模にもよりますが高校生でも払えるような価格でサービスが売られているようです。
なので、いたずらや興味本位で既存のツールを用いてサイバー攻撃をするスクリプトキディにも使えちゃいます。

簡単にサイバー攻撃が出来てしまうなんて恐ろしいですね。

ダークウェブ

ダークネットと呼ばれる事もあります。
TorやI2PやFreenetいう専用のソフトウェアを使わなければアクセスすることができないWebサイトのことで、基本的に通常の検索エンジンではアクセス出来ません。
ただし、拡張機能を使えばChromeなどのWebブラウザでアクセスすることも可能だそうです。

ダークウェブを構成する技術に興味があるのですが、興味本位で使うものだと思っていないので実際に使ったことはありません。
ダークウェブを使うことに危険は付きものだと本やネットには書いてあります。その一方で通信が匿名化されることで言論の自由が手に入るという利点はやはり大きいと思います。
アンダーグラウンドなイメージが強いのですが、立場上使う必要があるだけで犯罪に使用しない人もいますので、一概に悪いものとも言えないと思います。

ソーシャルエンジニアリング

人間心理を利用して秘密情報を入手する方法です。

いわゆる人間の脆弱性を突くものですので、具体的なやり方はいくらでもあると思います。
本書で扱った手口は、もしかすると似たような前例があるのかもしれませんが、私が独自に作ったものになります。
これはあくまでもフィクションであり、実際に検証した事を書いているわけではないので、実際にそんな事が出来るのかと聞かれると困ってしまいますが、「やろうと思えば出来そうだしありえない話ではないよなー」と考えながら書きました。

それからお話を考えている間、人間の脆弱性は尽きないなと感じました。
もし、完全に安全でどんな攻撃も絶対に通用しないようなシステムが完成したとしても人間の脆弱性を突けば攻撃できてしまうのなら意味が無くなってしまいます。
「じゃあ人間にいっぱいセキュリティ教育をすればいいやん!」となるのかもしれませんが、完璧な人間など存在しませんので、いくらセキュリティ意識の向上を促したところで完全に安全になるのは厳しいと思います。

ということで極論ソーシャルエンジニアリング対策までしてこそ、本当にセキュアな作品になるのでは?と思いました。すごく難しい事を言っている気がしますが…

フリーWi-Fi

使っちゃった事ありますよねー。

ある程度セキュリティ対策されているフリーWi-Fiもありますけど、これは本当に大丈夫なのか?と思ってしまいます。

特に何も気にすること無くフリーWi-Fiに接続する人は、危険性を知らないか、もしクラッカーに盗聴されていたとしても重要な通信はしてないからへっちゃらだよーと思っている人が多いのかなと予想しています。
それにフリーWi-Fiでオンライン授業を受けないといけない方もいるようなので、危険を承知の上で仕方なく使用している場合もあるのでしよう。
何気にフリーWi-Fiも新型コロナウイルスの影響を受けているみたいですね。

とても身近な存在でありつつ、大きな問題であると思います。

OSINT(open source intelligence)

公開されている情報を活用して機密情報などを収集することです。
CTFという旗取りゲーム(よくセキュリティ界のトライアスロンと比喩されている)でも見かける事があります。
実はOSINTについてあまり詳しく無く、初めは「公開されている情報を基にするなら簡単そうだなー」なんて事を考えていたのですが、やはりそんな事は無いみたいです。
楽しそうだと思うので、挑戦してみたいなと思います。

終わり!

最後までお読み頂きありがとうございました!
本・記事のご感想・ご指摘などをTwitter(@rinruren)のDMまで頂ければ幸いです。