第1回では、セプキャン初日の様子についてお伝えしました。今回と次回の2回で、セキュリティコースの講義についてお伝えしたいと思います。今回は、4つのクラス別選択講義を取り上げていきます。
マルウェアは心眼で見よ!
~バイナリ解析クラス
まずは、バイナリ解析クラスから見ていきましょう。このクラスは今回一番人気でした。なぜ一番人気なのか? それは講師のひとりである村上純一さんの人気に秘密がありそうです。
バイナリ解析クラスでは「パケット解析」「ハードディスク解析」「マルウェア解析」の3つの内容が取り上げられました。渡辺講師によるパケット解析の講義では、講師が配布したパケットを、パケットアナライザで見て解析するというもの。今年の参加者は過去最高の高倍率の中から選ばれたこともあり、スイスイと解いていたようですが、やはり講師の方が一枚上手です。学生が見落としていた大事な情報が隠れていたりと、講師と参加者の攻防戦が繰り広げられていました。そのほかにも、ARPと呼ばれるプロトコル(IPアドレスからMACアドレスを得るために用いられる)の問題点のディスカッションが行われたり、講師が参加者側のPCにハッキングし、その攻撃手法をパケット解析で明らかにしたり、パケットに隠された秘密のメッセージを解いたりと、楽しい内容盛りだくさんでした。最後には、Snort(オープンソースのネットワーク型侵入検知システム)のストラップやキーホルダーのプレゼント付きでした。
バイナリ解析2つ目の講義は、伊原講師によるハードディスク解析です。ここでは、FAT形式でフォーマットされたUSBメモリにデータを書き込んで消去、これをバイナリ表示して解析していきました。普段は目にすることのないファイルシステムの内部を目の当たりにして、戸惑う学生もいたようです。最終課題は、講師が細工したデータから目的の画像を探し出すという問題。講師の同僚で解析を専門にしている人がやっても1時間かかったという難題です。この最終課題を解いた人は、先着でフォレンジックTシャツやジャケット、マフラーなどの景品が出ることになっていたので、参加者は競うように解析をがんばっていました。
解析クラスのトリを飾るのは、フォティーンフォティ技術研究所の村上講師によるマルウェア解析。まず、マルウェアの種類や解析技術についての座学を行った後、演習では講師が準備した簡単なプログラムを逆アセンブラのソフトを用いて、プログラムの挙動や条件分岐の条件を探し出しました。アセンブラ言語は初めて触る人が多いようで、レジスタやメモリ、スタックの値を追いかけるのにてんやわんやしていました。また、演習では講師が作った害のないプログラムを使っていましたが、最終課題では本物のマルウェアを解析することに。みんな少し緊張していたようです。また、これまでのプログラムとは違い、マルウェアはパッキングされ、複雑なので、解析に苦労していました。そんな参加者への村上講師のアドバイスは、「マルウェア解析で大切なのは心の目で見ること」――村上講師人気の理由はこのあたりにありそうです。
