2017年8月26日(土)に都内中央区湊にて弊社主催のセキュリティセミナー第28回ゆるいハッキング大会 in TOKYOを開催しました。こちらはそのレポートになります。
今回の参加者の動向
今回は定員50名で参加者は43名、スタッフ合わせて47名で開催しました。また有効アンケート回答数は36枚でした。IT系のイベントだと参加率が良いほうです。他の開催を見てると申し込み70名で来る方は30名とかありますので、ほっとしております。
参加者は半数が仕事で触る程度で、30%程がセキュリティ担当者で趣味で触る程度の人もいましたので初心者も参加しやすい会を維持できました。感謝です。またイベント内容も概ね良かったようです。想像と違ったと思われる方とまあまあの内容というご意見には初期設定部分をもっと丁寧にレクチャーしてほしいというご意見とコマンド部分の突っ込んだ情報が欲しいという意見もございましたので、次回、この意見を参考にさせていただきます。
また悩ましい問題ですが、開催費用は社長カトーの給料から差し引いて開催していたのですが、可哀想なので、現在は皆様の参加費を当てています。相変わらず機材はカトーの給料から引いています。もっと参加者が入る大きい会場や良い機材も考えていますが、費用が高くなるので、皆様のご意見参考にしております。当初は怪しい雑貨ビルで開催していたので、良くはなってきておりますが……。
今回は少し広い会場で開催。今後も少しづつですが、人数を増やす予定ではございます。急に大きな会場となると費用面と本来の勉強会の意味が変わってくるのではないかと少しつづ検討しながら開催しております。こちらも悩ましい問題です。
また今回も累計参加者も順調に約1400名程になっております。本当に毎回少ない人数で開催で申し訳ありませんが、今後も地道に開催を予定しておりますのでご協力くださいませ。
今回の内容:実践を取り入れた3ターン最終回でした。
この回は少し前から3回の開催をひとつのターンして開催しております。今回は3回目という事で実践を含む回でした。今回は実践で3つ立場から楽しめるように用意したのですが、攻撃を行いたい方が多く、当初考えていたストーリーとは違う形になりました。
実際に簡単な講義の後に主に攻撃側と防御側に別れるも、防御側は数名しか希望者なく、主に攻撃をプロジェクターに写して手法を解説という形に。実際に今回はサーバ管理者がうっかり設定しそうなファイルとユーザー、それとnginxでのWordPressキャッシュ部分の脆弱性、コマンドを受け付けるPOST可能な画面も用意。
今回攻撃側の参加者はwifiをクラックして侵入し、脆弱性を見つけ出すところまで辿りつけました。また短い時間ではありましたが、10名程はWEPキーを習得し、2名程はWPAまで解析までという状況で、防御側は不要なユーザを見つけ出せました。実際にサーバ側は有線でしたので、次回の実践ではWifiを強化しつつ、有線も用意しようと思います。
今回の反省点
開催するたびに皆様のご意見を頂きながら成長しているこの会ですが、今回の反省点は主に3の反省がございました。
1.防御側はある程度準備が必要なので、実践のときはタイムラグが必要
2.Kali Linuxを会場内でセット・アップしたい方もいるので事前に用意。
3.3回目の実践はチーム制を導入し、数名の隊長を編成。
特に以前はチーム制にしたのですが、偏りがあるので考えておりましたが、会場内で任命できるように考えてまいります。
とはいえ、参加者のご意見
色々と毎回勉強になりますが実際に参加されたの意見も掲載させていただきます。
ウェブシェルまで行けました。次は改ざんまで行きたい 空きportから攻めたりする方法やってみたい
講義の中であった監視カメラのクラックだけ実演していただけないでしょうか?
実際の攻撃・防御の手法が見れて良かった。
初心者には今回難しかったと思うが、3回目ならこのぐらいの難度でいいと思う
よくわからないなりにも、非常に面白かったです。出来れば一般的なハッキング手順に沿ったコマンドやツールの一覧を見せていただき(可能なら紙でもらえると)、時間の中で自由に行けるところまで行かせてもらえると良いように感じます
WEPキーがわかっていたのに・・・「:」を入れてしまい悔しかったです。
今回攻撃と防御に分かれての実践が非常に良かったです。個人的には顔見知りも出来てきて、以前より楽しめるようになってきた。KaliLIinux のインストールは出来たぞ、という人向けに、追加でインストールしてあると良いパッケージの情報を展開してくれたら嬉しいです
ヴァーチャルボックスでKaliLinux 入れて参加したのですが、Fernで躓きました。 ハックしたかった!!
毎度ほぼボランティアのような形でセミナー開催していただき、誠にありがとうございます。今後ともよろしくお願い申し上げます。
会場に来るまで、迷ってしまった。 場所がわかりにくい。会議室自体は広くてよいと思います。コンセントが足りない。
費用はもう少し高くてもいいので、資料やデータを配布してほしい。
この内容であれば、もう少し時間を取らないと難しいのではないか?初心者が多すぎると進まないので、別に開催するか考えて欲しい
開催を終えて懇談会
開催を終えて希望者18名で、会場近くのSITAで飲み放題で懇談会へ。
楽しく飲むことができました。とくにヤバい話も多くとてもエキサイトしている方もいました。
さらに、会場を移して更に今話題のやばい脆弱性の話を。場所は銀座7丁目で30年ほどやっていた小料理屋「はんや」さんの場所を借りました。座る場所がないので、社長カトーはカウンターの中でお店の人のように立ってましたよ。
次回は9月30日開催予定です
今回、躓いた方もぜひ、初回のターンから参加くださいませ。次回は実際に脆弱性の発見からツールを利用した攻撃をより丁寧に行っていきます。
また次回の開催日時は9月30日(土)を予定しております。募集開始は9月1日前後を予定しておりますのでお早めにお申込みくださいませ。