本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

最新情報

2015.11.10

MBSDセキュリティ勉強会を開催

 10 月 14 日 19 時から赤坂で、MBSD プロフェッショナルサービス事業部が主催して、社外のエンジニアや学生の方を主な対象として、第 1 回 MBSDセキュリティ勉強会を開催しました。


 第 1 回の MBSD セキュリティ勉強会の目的は、セキュリティや脆弱性診断に興味を深めていただくことが目的でした。少人数制として、当日は約 10 名の方にご参加いただきましたが、参加いただいた方の約半数が、開発業務に従事されておりセキュリティの知見を業務に活かしたいとお考えの方で、残りの半数が将来セキュリティの仕事に関心をお持ちの学生の方でした。


 今回のテーマは「Burp Suiteの使い方と基本的な脆弱性の再現」。セキュリティ診断などで使う代表的ツール「Burp Suite」を使って、弊社で準備した、<脆弱性が存在する仮想 SNS サイト>を用い、脆弱性の再現と診断を行いました。


 勉強会のために準備した仮想 SNS や脆弱性は、すごくよかったと僕たちは自負しています。実際に Web サービスで起こった攻撃を脆弱性として作り込んでおり、いわゆる XSS や SQL インジェクションといったテクニカル系の脆弱性ではなく、あまり語られない「プログラムの仕様的脆弱性」を作り込みました。


 具体的に説明すると、SNS の友達申請は「ともだちになってください」「いいですよ」というやりとりが必ず発生します。ここでたとえば「いいですよ」を、別に申請を受けていない人に対して送ってしまうと、送り先の人が申請していないにも関わらず、承認されたことになって、友達になれてしまうという問題があり、これは実際に利用者の多い SNSで発生した攻撃です。



 今回の勉強会は、どちらかというと入門的な内容で、身近な日常生活に潜む脆弱性をつく手法を再現しました。こういった脆弱性を、勉強会やセミナーで取りあげた例はあまり多くないと思います。


 こうしたプログラムの仕様的脆弱性は、XSS や SQL インジェクションのようなバリバリの技術寄りの話ではなく、仕組みをお話すれば、「なるほど、そういう仕組みだからできるんだ」と、理解していただくことができます。今後の勉強会では、今回取り上げなかったテクニカル系の脆弱性や、より高度な脆弱性を取りあげていこうと考えています。


 勉強会後に回収させていただいたアンケートでは、「参加してよかった/とてもよかった」があわせて約 90 %、「次回の勉強会に参加したい/是非参加したい」もあわせて約 90 %という回答をいただいています。熱心な受講者の皆さんに集まって頂けて、主催者側も事前準備の苦労が報われました。


 次回の開催は、2016 年1月頃を予定しています。もしご関心をお持ちでしたら、DoorKeeperの「MBSDセキュリティ勉強会」をフォローしてください。


プロフェッショナルサービス事業部
山谷晶英, 角田朱生