LT大会とは

MBSDのプロフェッショナルサービス事業部(PS部)でWebアプリケーション診断をしている小山と申します。
本記事は、先日12/5に実施いたしました弊社主催の「LT大会」というイベントのレポートとなります。

少し前提の説明をさせていただくと、弊部署では定期的に社外の方に向けて「MBSDセキュリティ勉強会」という勉強会を開催しており、そこではBurp Suiteの使い方など、Webアプリケーション診断の基礎的な知識についてレクチャーさせていただいています。

それとは別に、社内においても、各々が日頃の業務の合間に調査・研究した内容を「Lightning Talk（LT）」として共有しているという背景があります。
これまでの診断メンバーによるLT資料だけでも200以上の数が蓄積されており、これを内部だけに留めておくのはもったいない！ということで、そのほんの一部を社外向けにアレンジして発表する勉強会がこの「LT大会」となります。（「MBSDセキュリティ勉強会」の「特別回」という位置づけ）

LT大会は今のところ毎年冬季に開催されており、今回で4回目の開催となります。
本勉強会自体は通常回、特別回を合わせると通算55回目ということで、改めて考えるとなかなかの歴史ですね。

さて、それでは今回のLT大会で発表された内容をそれぞれ簡単にご紹介いたします。資料そのものは配布できないため、詳細については当日ご参加された方限定となってしまいますが、雰囲気をお伝えすることができれば幸いです。

発表1：ブラウザ拡張の沼から生まれた効率化ツール

トップバッターは、PS部の新卒メンバーである服部さんです。Web診断をより効率的に実施するためのブラウザ拡張の開発がテーマで、開発時の苦しみなども交えながら自作ツールの機能を紹介いただきました。
服部さんはまだ診断員としてのトレーニング期間中ですが、現段階でこうした取り組みをされているのは非常に頼もしいですね。

ツールには、Cookieの操作、セキュリティ関連のHTTPヘッダ調査、ダミーデータの用意……などなど、診断に役立つ様々な機能が盛り込まれていました。診断業務にはこうした細かな定型作業が多いので、私も診断員目線で普通に使わせてもらいたいなあと思ったり。

実際、社内にはこうした業務効率化のためのツール開発(ブラウザ拡張、Burp拡張、etc...)に取り組まれている方は多く、弊社内の取り組みをご紹介する上でも好例だったのではないでしょうか。

発表2：某チェーン店の本人確認コードは「ほたて」

2つ目の発表は本レポートの執筆を担当している私からです。

内容はタイトルの通りで、「某飲食チェーン店の順番待ち認証が「ほたて」みたいな8パターンの海鮮ネタを選ぶだけなんだけど、これって脆弱じゃないの？！」という日常の疑問から始まり、業界特有の認証の例をいくつか挙げながら深掘りしていくものとなっています。

今回取り上げた業界やチェーン店に対するネガティブキャンペーン的な趣旨ではなく、結論としては「認証方式としては許容可能だし、むしろあるに越したことはない」という話をしていますのでご容赦ください。

発表者として今回のテーマ選定理由について少しお話しすると、Web診断において「認証方式そのものの脆弱さを指摘する」ことって結構難しいんですね。なぜならXSSのようなテクニカルな脆弱性と違って、「そもそもの仕様がよくない」という前提を疑う発想が必要なので……。そういった問題意識が伝わればという、一応真面目なWebの話でもありました。

発表3：DBSCについて調べてみた

3つ目の発表は、こちらも新卒メンバーである近川さんで、「Device Bound Session Credentials(DBSC)」という現在draft段階の技術がテーマでした。

DBSCとは、何らかの要因でセッションIDが漏えいした場合の被害を軽減することが目的の技術です。と言いつつ私もこの発表で初めてDBSCについて知りまして、近川さんのわかりやすい解説で理解できました。
「セッションIDの漏えいを完全に防ぐのは難しいとして、いかに攻撃者が悪用しにくいようにするか」という発想のセキュリティ対策は最近多い気がしており、DBSCにも引き続き注目していきたいですね。

弊社内の普段のLTでも、こうした新しい技術や仕様、ガイドラインなどについての調査結果をテーマにしたものは多いです。セキュリティエンジニアとして常にアンテナを張っておきたいところではありますが、全てに詳しくなるのは難しいので、こうして共有いただけるのは非常に助かります。

発表4：日付・時刻にまつわるWebの脆弱性

最後は弊社のベテラン診断員である山本さんからの発表です。

今回のLT大会の中では最もWeb診断員らしいテーマですが、特定の脆弱性にフォーカスするのではなく、「日付・時刻」を起点に様々なセキュリティの話題に広げていくという、とても興味深い構成の発表でした。
Date型特有のSQLインジェクションのような実務上重要な脆弱性の解説もあれば、閏秒や火星時間といったマニアックな知識までカバーされており、参加者のみなさんにとっても初めて知る内容が多かったのではないでしょうか。

社内にもこうした脆弱性の調査・解説をテーマにしたLT資料はたくさんあり、普段の脆弱性診断業務でも大いに参考にさせてもらっています。その一部は弊社HPの「技術者ブログ」の元になっていたりもするので、興味のある方は過去の記事も色々覗いてみてください。

さて、LTの発表テーマの紹介は以上となります。
特に示し合わせたわけではありませんが、ライトなLTから技術的に突っ込んだLTまで幅広いテーマが揃っており、イベント全体としてのバランスも良かったのではと思います。

また、今回はオンライン・オフライン両方のハイブリッド開催となっており、現地ではこの後参加者の皆さんとの懇親会がありました。専門学生の方、同業他社の方、趣味でセキュリティを学んでいる方など、様々な背景の方々と交流することができて、我々としても刺激を受けました。改めてご参加いただきありがとうございました。

MBSDセキュリティ勉強会は今後も定期的に開催される予定です。開催時は弊社HPやSNS等で告知がされますので、気になる回がありましたらどなたでもぜひご参加ください。