BETA

【参加レポート】MBSD Cybersecurity Challenges 2018

投稿日:2019-01-17
最終更新:2019-01-25

三井物産セキュアディレクション株式会社様主催の「MBSD Cybersecurity Challenges 2018」に参加してきたのでレポートです。

概要

ある会社で開発したSNSのシステムにセキュリティ上の問題があると指摘されていたにも関わらずそのまま運用を続けていたところ、何者かに攻撃されてしまったようです。
あなたのチームは、攻撃の全貌を解明できるでしょうか。
(公式サイトより)

攻撃が行われたあとのVMが渡され、その中のログなどの痕跡から攻撃者の行動を解析し、レポートを提出するという内容。
レポートの内容で1次審査が行われ、トップ10のチームは最終審査会でプレゼンを行います。

チーム編成

エントリーナンバー1番のチーム「わふ」として参加しました。
構成はネットワークエンジニア、サーバエンジニア、セキュリティエンジニアの3人です。
アピール文は「女の子三人で頑張るのん!」でしたが、女の子は一人もいませんでした。

作業の効率化のために使用したツール

  • HackMD (https://hackmd.io/)
    マークダウン形式の文章をリアルタイムで共有できるツール
    それぞれの専門が違うため、見つけた内容を全部ここに突っ込んでいきました。
  • Googleドキュメント (https://docs.google.com/)
    Word形式の文章リアルタイムで共有できるツール
    提出用の資料はこちらで作成。

解析の結果わかったこと

  • 攻撃者は複数人いた。
    • 接続元、ユーザーエージェントが異なる。
    • 活動時間が異なる。
    • 行動に一貫性がない。
  • 全体的に設定がガバガバ。
    • データベースのポートが開いている、パスワードが設定されていない。
    • ファイアーウォールが稼働していない。など
  • 情報の窃取が発生している。
    • サーバ内のアカウントの情報。
    • SNSシステム利用者の情報。
  • root権限が窃取された。
    • 窃取にはDirtyCOWの脆弱性を利用。

レポート作成の工夫

  • 要約と本文の2つのセッションで作成する。
    • 要約はできるだけ専門用語を使わずに作成し、ITに詳しくない経営層を想定。
    • 本文はコマンド結果などを詳しく記載。
  • 侵入者は複数人いると推測したため、攻撃者ごとに時系列順に行ったことを説明。
  • 設定の不備の箇所を指摘するとともに、改善策を記述。
  • 今回は脆弱性検査というよりはインシデントレスポンスが課題であるという認識から一次対応、二次対応などの事後対応の提案に力を入れた。
  • DirtyCOWはエクスプロイトコードを作成し、検証。

苦労した点

  • とにかく時間が足りない。
    論理的に無理がないように説明できるまで解析を行ったため、レポート作成に充てられる時間が数日しかありませんでした。
  • レポート作成の困難さ。
    初めてのレポート作成で何を書いたらいいのかもわかりませんでした。そこで、インシデントレスポンスの本を読んだり、省庁のインシデントの報告書を読みながら枠組みを作り、他のメンバーに内容を埋めてもらうといった分担をしました。

1次審査の結果

幸運なことに、トップ10に選んでいただき最終審査会に呼ばれました。
セキュリティコンテスト一次審査結果発表
http://setten.sgec.or.jp/cooperation/064.html

最終審査会のレポートは次回。

リンク

技術ブログをはじめよう Qrunch(クランチ)は、プログラマの技術アプトプットに特化したブログサービスです
駆け出しエンジニアからエキスパートまで全ての方々のアウトプットを歓迎しております!
or 外部アカウントで 登録 / ログイン する
クランチについてもっと詳しく

この記事が掲載されているブログ

セキュリティ勉強中のエンジニアがアウトプットの練習でいろいろ書くブログ

よく一緒に読まれる記事

0件のコメント

ブログ開設 or ログイン してコメントを送ってみよう