2019年2月9日(土)13時30分より、ビットスター株式会社のイベントスペースにて開催された「第27回北海道情報セキュリティ勉強会」に行ってきました！

ビットスター株式会社
〒064-0807 北海道札幌市中央区南7条西1丁目21-1 第3弘安ビル3F

取材・撮影・構成 : 木村直矢 取材日 : 2019年2月9日

北海道情報セキュリティ勉強会とは？

北海道情報セキュリティ勉強会（通称せきゅぽろ）とは、北海道において情報セキュリティの勉強会を定期的に開催することを目的とした、IT勉強会コミュニティです。主にIT技術者や、IT技術者を目指す学生を対象に、情報セキュリティに関する技術セミナーやハンズオンなどを開催しています。

活動はボランティアで行われており、参加費（毎回1000円程度）は講師の方の交通費、会場費、参加者のお菓子代等に利用。学生の勉強会参加も支援しており、無料または学割で参加することができます。

また、一般のインターネット利用者に対する情報セキュリティ啓発活動も行っています。

毎回様々な講師を迎えて開催されるせきゅぽろ、今回はy1s3氏をお招きして、「OSINT + Threat Intelligence」「マルウェア解析入門」の2つのテーマで開催された、第27回目の北海道情報セキュリティ勉強会の様子をご紹介します！

オープニング

この日は一般の方18名、学生7名参加と、ほぼ満席でした。

スタッフの方から本日のスケジュールや注意事項、お願い等の連絡。また、せきゅぽろについてtwitterでツイートする際のハッシュタグ「#secpolo」も案内されました。検索すると参加した方々のツイートが出てきますので、当日の雰囲気を見ることができます。

セッション 1「OSINT + Threat Intelligence」

OSINTとは、オープン・ソース・インテリジェンスの略で、一般に公開されている情報から、自社および他社を守るために必要な情報収集および分析手法のこと。

 

ハンズオン形式で行われるので、参加者の皆さんはパソコンを持参。まずは各自がどれくらいOSINTで調査できるか確認するために、A Google a dayというGoogleのクイズサービスを使ってOSINT力測定をします。

 その後、講師のy1s3さんは、OSINTを行う上で大事なものとして、安全性、情報収集能力、自動化効率化の3点が大事だと考え、これらの様々な実践的ツールを紹介しました。

OSINTを行う上での環境について、サーチエンジンやブラウザ、OSごとに安全性や効率性など特徴を紹介。

ニュース情報の分析ポイントを紹介。

今回はOSINTの始めやすいやり方として、「Feedly」などのRSSや「Evernote」などのサービス、アプリケーションを紹介。

セキュリティ対策のために、最近のマルウェア（コンピュータウイルスなど悪意のあるソフトウェアやコード）を紹介しているサイトの一つとして、Malware Traffic Analysisというサイトを紹介。マルウェアがどのように感染して行くのかなど知ることができます。

「どういう目的のOSINTがしたいのか」ということを考えるときに参考になるのがOSINT Framework。Threat Intelligence関係でどういうOSINT手法がオススメかカテゴリ毎に表示されるので、思考整理に役立ちます。また、複数の手法を試すときにも非常に便利です。

こちらはIoT機器や自社サーバを外部から簡易チェックできる「Shodan」というサイト。検索に応じて、該当のIPアドレスやドメインが表示され脆弱性の判断に役立ちます。

この他にもShodanからの追跡調査のやり方や、マルウェア調査のオススメサイトが紹介され、皆さん各自のパソコンで試したり、メモを取っていました。

自己紹介タイム

 ここで一旦、自己紹介タイム。せきゅぽろでは毎回参加者全員で簡単な自己紹介の時間があります。まずはスタッフの方から。

実務でセキュリティに携わっている方、趣味でセキュリティの勉強をされている方、セキュリティに興味あるけどまだ初心者の方、学校で情報系の勉強をしている学生など、みなさん様々な経緯で参加されていました。

おやつタイム

セッション1が終わったところで、スタッフの皆さんがケーキを用意してくれました。なんとせきゅぽろでは毎回お菓子が食べられるのです！

ズラッと並んだケーキに皆さんテンションアップ。

セッション 2「マルウェア解析入門」

おやつ休憩が終わったらセッション再開です。セッション2は、マルウェアの解析をまったく行ったことがない人向けのハンズオンです。

まず、マルウェア調査の流れを紹介。LAC等のサイトからマルウェアのIoC（セキュリティ侵害の痕跡情報）を取得し、「VirusTotal」、「HybridAnalysis」でhash値検索します。

ハンズオンでは、マルウェアの簡易解析として、各自でハッシュ、作成日時、通信先などをレポートにまとめてみました。

ハンズオン後に講師の方から解析のポイントを解説。

その後、本格的なマルウェア解析方法を紹介しました。

実際に解析も行う予定でしたが、時間の関係で解析の準備を紹介しました。（実際のマルウェアの動的解析は、3月23日(土)に第28回のせきゅぽろでセッションが行われることが後日決定しましたので、ぜひ公式ページよりチェックしてみてください！）

今回はマルウェアによく狙われやすいWindows7 32bitで解析を行うことを想定。検体解析の中から、上段3行が動的解析、下段1行が静的解析の準備に必要なものの紹介。

途中休憩を何度か挟みながら、約3時間半の濃密なセッションを終えて、会場から講師の方に大きな拍手が送られました。

クロージング

最後にスタッフの方から今後のイベント情報などが告知されました。

また、せきゅぽろでは毎回勉強会後に希望者で懇親会が開かれます。今回も数名が懇親会に向かっていました。

主催者インタビュー

イベント後に北海道情報セキュリティ勉強会代表の八巻さんにお話しをお聞きすることができました！

ーーQ、北海道情報セキュリティ勉強会はどんなきっかけで発足されたのでしょうか？

八巻さん : 元々、まっちゃだいふくさんという方が、全国で情報セキュリティ関連の勉強会を開催されていました。北海道だけ勉強会がなかったので「北海道でもやりたいね」という話になったのがきっかけです。

ーーQ、毎回の開催で意識されていることは何でしょうか？

八巻さん : せきゅぽろの特徴の一つとして、必ずお菓子を出すというのがあるんですが、これには理由があって、勉強会に来たら必ず一言喋って帰ってほしいなという想いがあるんです。勉強会の内容が難しかったり、人によってレベルがバラバラだったりするので、自己紹介のときに話に困らないように、「今日お菓子を楽しみに来ました」と一言言える共通のツールとして用意しています。

あと、やはり嫌な思いをして帰って欲しくないという想いがあります。せっかくこんな休みの日に来て勉強してくれるので、何かしら楽しい気持ちになってもらったり、次の日からこれやってみようと行動が変わるようなきっかけになる勉強会を心掛けています。

ーーQ、せきゅぽろの今後の展望を教えてください。

八巻さん : 基本的には継続して実施したいと思ってます。今回のような開発者向けの勉強会とは別に「学校に行ってスマートフォンの安全な使い方を教える」という一般の方向けの情報セキュリティの啓発セミナーも実施しています。そちらもさらに広げていきたいですね。

最後に—参加者の声

以上のようにセキュリティについて実践的に学びながら参加者同士で交流できるせきゅぽろ。今回参加した方々のアンケートでは、「初耳の便利なツールをご紹介頂き有意義でした」「説明がほんとわかりやすかったです」「また来ます！」といったコメントがあり、皆さん「来てよかった」と感じていました。

私自身、今回初めて参加し、セキュリティ系勉強会ということで堅いイメージを持っていたのですが、お菓子が用意されていたりと、とても和やかな雰囲気だったのでイメージが変わりました。

そして今回、時間の関係でできなかったマルウェアの動的解析のハンズオンですが、参加者のみなさんからの熱い要望により、第28回北海道情報セキュリティ勉強会で実施されることが決定したそうです！

第28回北海道情報セキュリティ勉強会 概要

日時： 2019年3月23日(土) 13:30 (開場13:00) ～ 17:30

場所： ビットスター株式会社 イベントスペース

参加費： 一般 1,000円、学生 無料 

プログラム内容： 

セッション 1 「CTF Beginnerが教える、CTF for Beginner Beginner」

セッション 2 「マルウェアの動的解析入門」

公式ページ：https://secpolo.connpass.com/event/122080/

ちなみに今回の第27回に不参加の方も参加可能な内容とのことなので、興味ある方はぜひ参加してみてください！

また、connpass上で北海道情報セキュリティ勉強会グループのメンバーになることで今後のイベント情報を受け取ることもできますので、併せてチェックしてみてください！