攻撃方法から学ぶ「脆弱性対策のポイント」
一方、今年の全国大会でも講師を務めた木村氏は、OSのカーネルの脆弱性を利用して権限昇格し、システムの権限を奪う「カーネルエクスプロイト」の基本テクニックや脆弱性対策のポイントについて解説した。
カーネルでは階層に応じて実行できる権限を切り分ける「リングプロテクション」が採用されている。しかし、カーネル内の処理に脆弱性があると、リングプロテクションを乗り越えて最高権限で任意のコードを実行することも可能だ。講座では、脆弱なドライバを利用して関数ポインタや戻りアドレスを任意の攻撃コードなどに書き換え、制御を奪う演習が行われ、参加者たちはセキュアなシステムソフトウェア開発の重要性を学んだ。
講師を務めることは頭の整理につながり、初心に立ち返ることができると木村氏は言う。特に今回のテーマは要求される前提知識が多かったことから、「もう少しかみ砕いて説明して、全体像が見えやすいようにすれば良かったかな……」と真摯に内省する姿も見せた。
「最近は、ソースコードやエクスプロイトのコードを読んでまねして書いたり、まだ誰もハックしていないガジェットで遊んだりしています」
基礎知識がある程度固まったら、後はとにかく実践を積むことが実力を伸ばす秘訣だと断言する。
今は常に仕事を4つ、5つ抱えている状態という木村氏。何かの仕事で煮詰まったとき、他の仕事に手を付けて気分転換するのが、知的好奇心を絶やさないための自分なりの工夫だそうだ。
* * *
長い1日が終わり、頭をフル回転させた参加者たちは皆「疲れた」としながらも「楽しかった」と声を揃える。
最後に、セキュリティ・キャンプ実施協議会、キャンプ企画・実行委員会のはせがわようすけ氏はこうまとめた。
「理解できたと満足した人もいれば、何もできなかったと打ちのめされた人もいると思います。でも、そこを乗り越えてなお続けられる人が技術をモノにできます。今日登壇した講師は、そんな先輩たちです。ぜひ皆さんも諦めず、今後も引き続き励んでもらえればと思います」(はせがわ氏)
※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。
もっと知りたい!こちらもオススメ

IoT時代のサイバー犯罪に備えよ! 知っておくべき「課題」と「対策」
NTTコミュニケーションズ(以下、NTT Com)は10月5日~6日、都内にて年次カンファレンス「NTT Communications Forum 2017」を開催した。同カンファレンスでは、Software Defined技術を活用した「SDx+M」ソリューションをはじめ、AI、IoT関連の最新ソリューションが展示されたほか、デジタルトランスフォーメーショ…
関連リンク
ダウンロードBOXに入れる
記事をダウンロードBOXに追加します。よろしいですか?
ブックマーク
記事をブックマークに追加します。よろしいですか?
-
[2021/02/26 08:00] サーバ/ストレージ
-
$side_seminar_count = $i+1; ?>
-
2021年3月2日(火)
5G/IoT時代、「通信」の提供だけでは生き残れない 「今求められる通信業界の新たなサービス提供のあり方とは?」
$side_seminar_count = $i+1; ?>
-
2021年3月3日(水)15:00~16:55(14:45から入場・接続開始)
【ラックセキュリティセミナー】 Webサイトオーナー必見!! Webセキュリティ最前線2021 ~Web診断とWAFの相乗効果による効率のよい脅威対策~
$side_seminar_count = $i+1; ?>
-
2021年3月4日(木)14:00~15:10
【Day2】これからサイトリニューアルに取り組む方へ 失敗しないプロジェクトの進め方とCMS選択のポイントとは?
$side_seminar_count = $i+1; ?>
-
2021年3月4日(木)13:30-14:55
話題のSASEが大集結!徹底解剖セミナー
$side_seminar_count = $i+1; ?>
-
2021年3月5日(金)
語る。DXの真髄。 -情シスから改革を-
今注目のIT用語の意味を事典でチェック!