第13回セキュリティさくら参加レポート

あえだよ。昨日開催された第13回セキュリティさくらの参加レポートを書くよ。

今日は堅い文章だよ。帰るなら今のうちだ。アクセスカウンタはもう増えたからね。

　　  ＿人人人人人人人人人人人＿
　　＞　セキュリティさくらだ　＜
　　 ￣Y^Y^Y^Y^Y^Y^Y^Y^Y^Y￣

なんだそれは：熊本で開催されているセキュリティの勉強会だ

自分のようなズブの素人（来年くらいからこの自称はやめようと思う）でも参加できる非常に参加しやすいタイプの勉強会だ。

会場は市内のアークホテル熊本にて行われた。

ちなみにここまでの書き方であたかも初参加のような体をにおわせているが参加は四回目かそこらになる。

全体的な流れとしては、まず参加者全員の自己紹介に始まり、講師による講演、有志の参加者によるLT発表というふうに進行する。（また、途中休憩ではスイーツが振る舞われる）

全て理解できたわけではないのだが、以下に概要をサラッと掲載する。指摘などの類いはバシバシ受け付けるので。参加できなかったが興味がある方などのためにキーワードも掲載する。

• 溝口誠一郎氏「講演：IoTデバイスとしてのクルマに対するセキュリティ」

　先日、話題にも挙がっていた自動車のハック(?)に関連したお話。 車をIoT(Internet of Things)デバイスとして扱う場合にそのセキュリティはどうなのか、といった内容。まず、溝口氏は導入として昨今のIoTデバイスの脆弱性もしくはセキュリティ的な対策が不十分である点について紹介。

　続いて本題として、ECU(この場合、Engine Control Unit ではなく Electronic Control Unit をさすことに警戒が必要だ。) を車載制御ネットワークでつないで自動車の制御を行っていることを説明した上で現状の設計の危険性について指摘した。これらのECU群は改ざんや取り替えを行うことが現状では可能な場合があり、これらを行うことにより、走行距離などの情報を改ざんしたりなどの悪事をはたらく輩などが現れたり、遠隔制御などが可能になってしまうなどの事態が想定される。そこでECU内部に鍵を認証する仕組みを導入してセキュアなマイコンにすることで安全性を確保しようとする動きを紹介された。

　まだ三分の一くらいしか書いてないがこの後の内容で書いてはいけない部分があった気がするのでこの辺にしておく。ちなみに内容としてはKDDI研究所がこの問題に対してどのように対処して安全性を確保しようとしているか紹介していただく形であった。気になる方はまとめを遡ってみることをおすすめする。

キーワード：ECU，IoT，CAN，TPM，AUTOSAR，セキュアブート，鍵，SIMカード

以下、LT。

• @lmdexpr氏「コピペマンを殺す方法」

　結果から述べると殺せてなかった。物理的に殺そうとしない辺りに彼らしさを感じた。

• 吉村将氏「システム開発についての判例紹介」

 　システム開発業者と発注者との費用についての裁判に関するLT。製品が完全に完成できていなかった場合に完成したとみなされる場合があることや多少のバグが存在することは仕方ないなどの判断基準が微妙な点についての知識が増えた。

• 前田典彦氏「日本を標的にするAPT攻撃」

　やられたところを非難しない。（戒め）

• @bamboo_inside氏「ちゅうかんほうこくしょ にほんヒトのじんこう」

　どこまで書いていいのか分からないのだが人口が減っていることに対してどう考えるか問われる内容であった。Splatoonを猛プッシュしていた。

• @greenz_greenz氏「セキュリティさくらを支える欺術」

　勉強会を運営する上でのあれこれをご享受いただいた。

ちなみに、本勉強会はコミュニティ的な面にも力を入れており、会が終了した後の懇親会の参加率も非常に高く、多くの方々と親睦を深めることが出来る。

 　今回は70名という過去最大の規模ということで主催のgreenz_green氏や開催数日前から下準備を行ってきた方々には頭が上がらなかった。

現場からは以上です。