第２５回 ゆるいハッキング大会開催レポート

無事に第２５回ゆるいハッキング大会開催終了しました！

今月の５月20日（土）、東京都中央区新川のコワーキングスペース茅場町 Co-Edoにてゆるいハッキング大会が無事終了しました。５０名定員で今回は２日間で定員となってしまい参加できなかった方には大変申し訳ございませんでした。当初数名で始めたこの会ですが、本当に感謝です。また皆様のセキュリティに関する意識の高さに運営側も感心するばかりです。特にこの会は何かソフトや商材を紹介するという訳ではなく、純粋にセキュリティの知識を高めようという心意気で始めた会ではありますので、非常に感謝です。またゆるくお酒を飲みながら参加できるのも”ゆるく”て良い感じでした。

今回も初心者や初めて参加する方も多くいて参加しやすい会になっていることにも感謝が尽きません。……あ、開催後の飲み会参加したい人も多いというのも嬉しいです（笑）

今回の内容は？

今回は３回ターンの最終回ということで無線ＬＡＮのアクセスＳＳＩＤを１１個設置し、サーバを実際に３台用意して無線ＬＡＮから攻撃するという流れでした。開始から僅か40分程で無線ＬＡＮパスワードを解析、１時間半程でCMS/サーバに侵入という方もいて非常にインスパイアされました。無線ＬＡＮは以前と同じパケットを送りながらの解析で、サーバについては”技術者ならやりそうな癖”をついた脆弱性を狙うという実践に近い形でした。また無線ＬＡＮ機器については今までの機器にプラスして最近某家電屋さんが一押しのＴＰ－ＬＩＮＫ社のAC1900も使ってみました。

家電屋さんがお勧めだけあって、値段も設定もしやすく非常に良い機器です。次回の実践の時はもう１台ぐらい増やしたいです。新しい無線ＬＡＮ機器は接続しやすく実質１0名で連続攻撃でも落ちない耐久性でした。逆に接続しやすいというのは攻撃されやすいという面について、セキュリティ観点から正しく設定するの必要性も改めて再認識です。

参加者様の状況と統計

今回もアンケートをご記入いただきましたので、統計とご意見を掲載させていただきます。

ご参加頂いた方はセキュリティの専門家から趣味でＰＣを触るかたも、ＷＥＢ開発者も各々からの視点から参加されたようでなによりです。

また当初、非常にクレームも多かった運営側の対応も概ね良いご意見でしたので、安心しました。実情は慣れたというか……やっといい感じになったと自画自賛しております。感謝です。

開催内容については今回初参加の方はいきなり無線ＬＡＮの解析からというのは多少難しかった模様です。

ご意見

実際に参加された方のご意見も掲載させていただきます。

大変勉強になりました。WordPress以外でもアタックの事例があれば紹介していただきたいです。

実践の回では、どこから攻撃先の情報（ヘッダ情報など）を拾ってくるかを教えて欲しい。またもう少し情報が欲しい。

説明をもう少し詳しくして欲しい。出来ればハンズオンでやって欲しい。

組み込みエンジニアのため、1回目からの参加が良かったと感じました。

今回初参加でしたが、1～2回目を受けていないので不明点が多かった。今回聞いたコマンド等は今後調べますが、NDAに触れない一般的なものはキーワードだけでも事前にもらえるとうれしいかと思いました。勉強不足を感じました。普通に楽しかったです。

是非、参加したいです、次も。

無線ＬＡＮパケットは16万Data集めてきましたがログインまで行きませんでした。　次回こそログインしたいです。

時間が短すぎる。もう少し長い時間開催して欲しい。

今回初めて参加させていただき、会議室の後ろの方で初心者むけの講義を聞かせていただきました。現在私は個人事業主として、ｻｰﾊﾞｰを管理しておりますが、今回のイベントの内容は大変勉強になりました。私の持参したノートPCはUbuntuにVirtualBoxでKaliLinuxをインストールしてありますが、VirtualBoxをブリッジモードにしても課題をこなせませんでした。このあたりのことについてもっと詳しくお話をお伺いしたかったです。また是非参加させていただきます。丁寧に指導してくださり、ありがとうございました。

無線LAN（自宅練習用)購入について情報が欲しい。店名・メーカー・型番（その時その時でお店に物があるかどうかはわからないと思いますが、この辺に最近あった程度の情報でも良いので欲しいです。

事前に5月だけではなく6月の何日って告知してほしい。色々と調整しやすいので

パスワードが○○○○○ので、SSHでログインできた。考え方と手法が少しわかったので、練習と勉強をして自宅でも試してみたい。SNSで交流もしたいのでそういうサービスを速くやってくれると嬉しい。家でのハックテストのためのサーバ構築設定等サンプルがあると(内環境で）練習しやすいかもしれない

ifconfigでwan0がどうしても出てこなかった。
インストールの方法が悪いかもなので、もう一度行ってみます。

Wifi入ってからが苦労した。どれがサーバー見分けるのか探りを入れる時、周りの人の端末に探りを入れることになるので、しばらく暇していた。（サーバのIPを教えてもらうまで）
遅刻なので聞いていなかっただけかも。

簡単な資料等学習を進める上で補助かツールがあれば助かります。Linux勉強会についても告知お願いします。

ヒントが出ていたが、初心者ではやはりアイデアを実行するためのツール等がわからずその時間が手持ち無沙汰になってしまった。

3回目は思い切って初心者お断りにすれば良いのでは？初心者としては「ちょっとわからない」ではなく「わからないところがわからない」感じ。カトーさんが考える「初心者」と世間の「初心者」の乖離があると思う。今後、毎回、中上級者(常連）ようにアタック用のｻｰﾊﾞｰを立てて欲しい

KaliLinuxが入っていないと何も出来ないと思った。見に来た人にはただただ辛い。FW、IDS/IPSを同侵入していくのかが見たい

多い意見として３回ターンで今回は実践なので、１～２回に参加してないと判らないというご意見と時間が短いというご意見が多かったです。これは確かに今回初参加という部分では難しいので、何か運営方針として考えないといけない部分です。運営側として次のターンで改善していきますのでご協力お願いします。

懇談会

開催終わり、２２名で近くのアジアン系の居酒屋、そして２次会、最後は会社で朝まで過ごすというハードは懇談会を開催。それぞれの立場から色々な話題をお酒を飲みながら会話。こういう交流会が開けるのは本当にうれしく思います。特になかなか話せない技術者同士の会話は貴重です。ちなみに社長カトーは途中で倒れてましたが。

総括と次回

次回は６月１７日（土）に開催予定です。告知・申し込み受付は６月１日予定ですので、ぜひ、よろしくお願い申し上げます。