第25回 ゆるいハッキング大会開催レポート

無事に第25回ゆるいハッキング大会開催終了しました!

今月の5月20日(土)、東京都中央区新川のコワーキングスペース茅場町 Co-Edoにてゆるいハッキング大会が無事終了しました。50名定員で今回は2日間で定員となってしまい参加できなかった方には大変申し訳ございませんでした。当初数名で始めたこの会ですが、本当に感謝です。また皆様のセキュリティに関する意識の高さに運営側も感心するばかりです。特にこの会は何かソフトや商材を紹介するという訳ではなく、純粋にセキュリティの知識を高めようという心意気で始めた会ではありますので、非常に感謝です。またゆるくお酒を飲みながら参加できるのも”ゆるく”て良い感じでした。

今回も初心者や初めて参加する方も多くいて参加しやすい会になっていることにも感謝が尽きません。……あ、開催後の飲み会参加したい人も多いというのも嬉しいです(笑)

 

今回の内容は?

今回は3回ターンの最終回ということで無線LANのアクセスSSIDを11個設置し、サーバを実際に3台用意して無線LANから攻撃するという流れでした。開始から僅か40分程で無線LANパスワードを解析、1時間半程でCMS/サーバに侵入という方もいて非常にインスパイアされました。無線LANは以前と同じパケットを送りながらの解析で、サーバについては”技術者ならやりそうな癖”をついた脆弱性を狙うという実践に近い形でした。また無線LAN機器については今までの機器にプラスして最近某家電屋さんが一押しのTP-LINK社のAC1900も使ってみました。


家電屋さんがお勧めだけあって、値段も設定もしやすく非常に良い機器です。次回の実践の時はもう1台ぐらい増やしたいです。新しい無線LAN機器は接続しやすく実質10名で連続攻撃でも落ちない耐久性でした。逆に接続しやすいというのは攻撃されやすいという面について、セキュリティ観点から正しく設定するの必要性も改めて再認識です。

参加者様の状況と統計

今回もアンケートをご記入いただきましたので、統計とご意見を掲載させていただきます。

ご参加頂いた方はセキュリティの専門家から趣味でPCを触るかたも、WEB開発者も各々からの視点から参加されたようでなによりです。

また当初、非常にクレームも多かった運営側の対応も概ね良いご意見でしたので、安心しました。実情は慣れたというか……やっといい感じになったと自画自賛しております。感謝です。

開催内容については今回初参加の方はいきなり無線LANの解析からというのは多少難しかった模様です。

 

ご意見

実際に参加された方のご意見も掲載させていただきます。

 

大変勉強になりました。WordPress以外でもアタックの事例があれば紹介していただきたいです。

 

実践の回では、どこから攻撃先の情報(ヘッダ情報など)を拾ってくるかを教えて欲しい。またもう少し情報が欲しい。

 

説明をもう少し詳しくして欲しい。出来ればハンズオンでやって欲しい。

 

組み込みエンジニアのため、1回目からの参加が良かったと感じました。

 

今回初参加でしたが、1~2回目を受けていないので不明点が多かった。今回聞いたコマンド等は今後調べますが、NDAに触れない一般的なものはキーワードだけでも事前にもらえるとうれしいかと思いました。勉強不足を感じました。普通に楽しかったです。

 

是非、参加したいです、次も。

 

無線LANパケットは16万Data集めてきましたがログインまで行きませんでした。 次回こそログインしたいです。

 

時間が短すぎる。もう少し長い時間開催して欲しい。

 

今回初めて参加させていただき、会議室の後ろの方で初心者むけの講義を聞かせていただきました。現在私は個人事業主として、サーバーを管理しておりますが、今回のイベントの内容は大変勉強になりました。私の持参したノートPCはUbuntuにVirtualBoxでKaliLinuxをインストールしてありますが、VirtualBoxをブリッジモードにしても課題をこなせませんでした。このあたりのことについてもっと詳しくお話をお伺いしたかったです。また是非参加させていただきます。丁寧に指導してくださり、ありがとうございました。

 

無線LAN(自宅練習用)購入について情報が欲しい。店名・メーカー・型番(その時その時でお店に物があるかどうかはわからないと思いますが、この辺に最近あった程度の情報でも良いので欲しいです。

 

事前に5月だけではなく6月の何日って告知してほしい。色々と調整しやすいので

 

パスワードが○○○○○ので、SSHでログインできた。考え方と手法が少しわかったので、練習と勉強をして自宅でも試してみたい。SNSで交流もしたいのでそういうサービスを速くやってくれると嬉しい。家でのハックテストのためのサーバ構築設定等サンプルがあると(内環境で)練習しやすいかもしれない

 

ifconfigでwan0がどうしても出てこなかった。
インストールの方法が悪いかもなので、もう一度行ってみます。

 

Wifi入ってからが苦労した。どれがサーバー見分けるのか探りを入れる時、周りの人の端末に探りを入れることになるので、しばらく暇していた。(サーバのIPを教えてもらうまで)
遅刻なので聞いていなかっただけかも。

 

簡単な資料等学習を進める上で補助かツールがあれば助かります。Linux勉強会についても告知お願いします。

 

ヒントが出ていたが、初心者ではやはりアイデアを実行するためのツール等がわからずその時間が手持ち無沙汰になってしまった。

 

3回目は思い切って初心者お断りにすれば良いのでは?初心者としては「ちょっとわからない」ではなく「わからないところがわからない」感じ。カトーさんが考える「初心者」と世間の「初心者」の乖離があると思う。今後、毎回、中上級者(常連)ようにアタック用のサーバーを立てて欲しい

 

KaliLinuxが入っていないと何も出来ないと思った。見に来た人にはただただ辛い。FW、IDS/IPSを同侵入していくのかが見たい

多い意見として3回ターンで今回は実践なので、1~2回に参加してないと判らないというご意見と時間が短いというご意見が多かったです。これは確かに今回初参加という部分では難しいので、何か運営方針として考えないといけない部分です。運営側として次のターンで改善していきますのでご協力お願いします。

 

懇談会

開催終わり、22名で近くのアジアン系の居酒屋、そして2次会、最後は会社で朝まで過ごすというハードは懇談会を開催。それぞれの立場から色々な話題をお酒を飲みながら会話。こういう交流会が開けるのは本当にうれしく思います。特になかなか話せない技術者同士の会話は貴重です。ちなみに社長カトーは途中で倒れてましたが。

 

総括と次回

次回は6月17日(土)に開催予定です。告知・申し込み受付は6月1日予定ですので、ぜひ、よろしくお願い申し上げます。

 

 

最新情報をチェックしよう!

サイバーセキュリティの最新記事8件

>システム構築・保守に特化した会社です。

システム構築・保守に特化した会社です。

システムの構築・保守運用「システムガーディアン」 社内システム担当が欲しいが、専属で雇うほどの仕事量はない。 必要な時に必要なだけ頼りたいというお悩みを持つ企業様へ専門知識を持って対応を行っております。 サーバから各種システムまで自社・他社で構築されたシステムに対してサポートを行っております。

CTR IMG