Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ・キャンプミニ@26in東京 Aトラック応募課題

Avatar for BocchiMan BocchiMan
April 27, 2026
5
0

セキュリティ・キャンプミニ@26in東京 Aトラック応募課題

Avatar for BocchiMan

BocchiMan

April 27, 2026

More Decks by BocchiMan

See All by BocchiMan
セキュリティ・キャンプミニ@26in東京 Bトラック応募課題
Avatar for BocchiMan forget1900
0
4
応募課題(’25広島)
Avatar for BocchiMan forget1900
0
1.3k

Featured

See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1.1k
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
160
First, design no harm
Avatar for Per Axbom axbom
PRO
2
1.2k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Design in an AI World
Avatar for tapps tapps
1
200
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
410
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.6k
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
200
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
350
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
10k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
303
52k

Transcript

  1. セキュリティ・キャンプ2026 ミニ(東京開催) A トラック 応募課題晒し ぼっちまん/@forget1900 セキュキャン@ 東京 2026 ミニA

    トラック 1

  2. 【問1 】 あなたがミニキャンプに応募された 動機 について教えてください。また、この講義で 学んだことを 何に役立てたいか を教えてください。 セキュキャン@ 東京

    2026 ミニA トラック 2

  3. 応募動機: 将来、高校の情報科教員として活躍したいと考えており、その際に、教科書に書かれ ている知識だけでなく、具体例を交えて授業を展開できるようにしたいと考えたから です。 大学の講義で学んだネットワークの基礎をさらに深め、実際の攻撃手法や防御策、イ ンシデント対応の考えなどを本ミニキャンプの専門的な講義を通じて、深く学びたい と考え応募いたしました。 セキュキャン@ 東京 2026

    ミニA トラック 3

  4. 学んだことを~: 講義で学んだことは、教育現場での教材作りに直結させたいと考えています。 例えば「サイバーセキュリティの重要性」というテーマの基で授業資料を作成し、授 業を行う際、生徒が自分事としてセキュリティリスクを捉え、自衛できるリテラシー を育むための授業作りを目指します。 また、安全なWeb アプリケーション を設計する際の土台としても活用し、授業内での 実習に役立てたいです。 セキュキャン@

    東京 2026 ミニA トラック 4

  5. 【問2 】 Web サービスにおける認証において、 「この端末を記憶する」というように一定期間 ID/ パスワードの入力を省略できるものがあります。 これはどのように実現されているのかまとめてください。 セキュキャン@ 東京

    2026 ミニA トラック 5

  6. 回答 Web サービスにおける「この端末を記憶する」機能はオートログイン機能などと呼ば れ、主にWeb サーバーからブラウザに送付される「Cookie (クッキー) 」 と、サーバ ー側で発行される「認証トークン」を組み合わせて、実現されています。この処理は 以下の3

    つのステップで説明ができます。 1. トークンの発行と保存 ユーザーがID とパスワードを入力して初回ログインに成功すると、サーバー側はセキ ュリティの観点からパスワードそのものではなく、推測不可能な長い文字列である 「認証トークン」を生成します。 このトークンはサーバー側のデータベースに保存されると同時に、有効期限(例:30 日間)が設定された Cookie として、ユーザーのブラウザにも送信・保存されます。 セキュキャン@ 東京 2026 ミニA トラック 6

  7. 2. 再アクセス時の自動送信 ユーザーが一度ブラウザを閉じて、後日再び同じWeb サイトを訪れた際、ブラウザは 保存しているCookie (認証トークン)を自動的にサーバーへ送信します。 3. サーバーでの照合と認証の省略 サーバーは送られてきたトークンと、自身のデータベースに保存されているトークン を正当なものか照合します。

    これらが完全に一致し、かつ有効期限内であることが確認できれば、 「前回正しくログ インしたユーザー本人である」と判断されます。これにより、ユーザーは毎回ID やパ スワードを打ち込む手間を省き、スムーズにログイン済みの状態からサービスを利用 できるようになります。 セキュキャン@ 東京 2026 ミニA トラック 7

  8. このように、パスワード自体を端末に保存させるのではなく、一時的な「身分証(ト ークン) 」をCookie として持たせ、サーバー側で都度確認することで、セキュリティを 保ちつつ入力を省略する利便性を実現しています。 セキュキャン@ 東京 2026 ミニA トラック

    8

  9. 【問3 】 社内からの通信は制限されていることが多いですが、あなたが社内のネットワーク管 理者だとしたらどのような 制限 を掛けますか? またその 目的 はなんですか?1 つ以上の方法を回答してください。

    セキュキャン@ 東京 2026 ミニA トラック 9

  10. 回答 社内のネットワーク管理者として、外部からのサイバー攻撃と内部からの不正な情報 持ち出しの両方を防ぐため、以下の2 つの制限を実施します。 1. ファイアウォールにおける「デフォルト拒否(ホワイトリスト方式) 」の徹底 制限の内容: 社内から外部への通信において、パスワードが平文で流れるプロトコルや 外部からの攻撃に悪用されやすいプロトコルの通過を原則として許可しません。DNS

    やICMP など、機器ごとに必要最小限の通信のみを許可する方式をとります。 目的: 知的財産をはじめとした機密情報を狙う「標的型サイバー攻撃」によるデータの 持ち出しを防ぐためです。 不要なプロトコルをデフォルトで拒否しておくことで、万が一内部の端末がマルウェ アに侵害された場合でも、外部の攻撃者サーバーとの不正な通信経路を塞ぎ、重要情 報の外部への流出を防ぐことができます。 セキュキャン@ 東京 2026 ミニA トラック 10

  11. 2. 権限の分散と監視体制の強化・通知(エンドポイントの制限) 制限の内容: ネットワーク上のシステムに対して、システム管理者であっても権限を分 散させます。また、主たる情報の持ち出し手段であるUSB メモリ等の外部記録媒体への 書き出し制限を徹底するとともに、通信や操作の監視体制を強化し、 「監視している 旨」を社内に明確に通知します。 目的:

    内部の人間による不正な情報持ち出しや、過失による情報漏洩を防ぐためです。 内部不正は特権を持つ管理者が関与するケースも多く、権限の分離と物理的な持ち出 し制限によって技術的・運用的に経路を塞ぎます。また、利用ルールの周知を徹底す ることで、情報漏洩の原因として多い「うっかりミス」を未然に防ぐ狙いもありま す。 セキュキャン@ 東京 2026 ミニA トラック 11

  12. 【問4 】 ご自身が普段利用しているWeb サービスの中でOAuth 2.0 またはOpenID Connect が利用 されていると思われるサービスを具体的にひとつ挙げてください。 私は、

    技術情報共有サービスの 「Qiita 」 を挙げました。 セキュキャン@ 東京 2026 ミニA トラック 12

  13. 【問題文 続き】 そのサービスにおいて攻撃者はどのようなことを目的に攻撃を仕掛けてくる可能性が あるのか、その攻撃によってユーザーやWeb サービスの運営者はどのような被害にあ ってしまう可能性があるのか、それらを防ぐためにはどのような対策を講じる必要が あるのか、一連の流れを考えて回答してください。 注意点 ご自身で想像して回答する、もしくは過去に発生した事例を調査して回答するか、ど ちらでも構いません。

    本講義はOSI 参照モデルのアプリケーション層(7 層) 、プレゼンテーション層(6 層) 、 セッション層(5 層)を中心とした対策を想定しています。その前提を考慮して回答し てください。 セキュキャン@ 東京 2026 ミニA トラック 13

  14. 回答 Qiita では、Google やGitHub などのアカウント情報を連携させてログインする「ソーシ ャルログイン」として、OAuth 2.0 の認可コードグラントフロー等が実装されていま す。 攻撃者の主な目的として、ユーザーアカウントの乗っ取りによるリソース情報の不正

    取得や個人情報の漏洩があります。 具体的な攻撃方法として、OAuth の認可フローの隙を突く以下の2 つの手法が考えられ ます。 第一に、 「CSRF (クロスサイトリクエストフォージェリ)攻撃」です。攻撃者が自身の アカウントで認可コードを取得した直後に通信を遮断します。そして、そのURL をフィ ッシングメールなどを通じて被害者にクリックさせることで、被害者側のセッション に対して強制的に攻撃者のアカウントを紐付けます。 セキュキャン@ 東京 2026 ミニA トラック 14

  15. 第二に、 「ブラウザ履歴からのセッションハイジャック」です。 図書館などの共用PC において、被害者のブラウザ履歴に残ったURL から認可コードを 取得し、攻撃者自身の認可レスポンスのコードと書き換えて不正アクセスを行いま す。 これらの攻撃が成功した場合、ユーザー側はアカウントを乗っ取られるだけでなく、 非公開の記事やソースコードを盗み見られたり、勝手に改ざんされたりします。 さらに、アカウントが攻撃者に紐付いた状態でユーザーが個人情報を更新すると、そ

    の内容まで攻撃者に漏洩してしまうという深刻な問題も発生します。 セキュキャン@ 東京 2026 ミニA トラック 15

  16. 攻撃を防ぐためには、OSI 参照モデルのセッション層(第5 層)およびアプリケーショ ン層(第7 層)において、以下のパラメータの検証と状態管理を厳格に行う必要があり ます。 1 つ目は「state パラメータによるCSRF 保護」です。

    クライアントアプリはID プロバイダーへの認証要求を送る直前に推測不可能なランダ ムな文字列 (nonce )を生成し、ローカルのセッション等に保存した上で要求パラメ ータに付与します。認証完了後のコールバック時に返却された state 値と、保存してお いた値が完全に一致するかを検証することで、攻撃者による意図しないアカウントの 紐付け(偽造された要求)を防ぎます。 2 つ目は 「認可コードのライフサイクル制限」です。 漏洩時のリスクやセッションハイジャックを防ぐため、認可コードは必ず「1 回のみの 使用」に厳格に制限し、最大 でも10 分以内の短期間で無効化する仕組みを実装しま す。 セキュキャン@ 東京 2026 ミニA トラック 16

  17. 【問5 】 本トラックの希望順位を教えてください。 (他のトラックを併願してる方のみ) 回答 第1 希望 セキュキャン@ 東京 2026

    ミニA トラック 17