自動車セキュリティ（カーハック）知見まとめ

8月からAutomotive CTF対策のために自動車hackの勉強を自分なりにして記事にまとめてました。供養がてら公開します。最下部の子ページもまとめて良ければどうぞ！https://t.co/lzdJa5aj71 pic.twitter.com/wWuvZ35B2R
— Sho Nakatani (@laysakura) October 24, 2024

Automotive CTF 2024（グローバル予選・日本決勝・世界決勝）の対策として、自動車セキュリティの知見とか手を動かしたことを公開用Notionにまとめておりました。

Notion Siteで公開しているだけでは検索引っかかりにくいので、こちらにリンクとアウトラインを記載しておきます（2024/10/25時点。子ページやリンク先は勝手に更新する可能性があります）。

自動車セキュリティ (Car Hacking) - laysakura Public Notion

アウトライン紹介

Automotive CTF 2024 世界決勝 - 体験記 & Writeup

デトロイトで開催されたAutomotive CTFの決勝に “TeamOne” チームとして参加し、出場6チーム中 4位でした。
（※所属とは無関係に個人活動として参加）

CTFを初めて1年ちょっと、まさか世界で戦う機会に預かれるなんて思ってもみませんでした。良い経験になりました。

前回の日本決勝の記事と同様に、体験記と自分が解いた問題のwriteupを書きます。実機がないと再現できない問題ばかりなので（出場した方以外は）「ほーん」くらいにお読みください。

Automotive CTF 2024 日本決勝 - 体験記 & Writeup

Automotive CTF Japanの日本決勝に “TeamOne” チームとして参加し、5チーム中2位で（ギリギリ）アメリカで開催される世界大会の出場権を手に入れました🎉
（※所属とは無関係に個人活動として参加）

チームのbeaさん、hamayanhamayanさん、kusano_kさん、tkitoさん、今回もありがとうございました！

CTF強者が集まるオンサイトのCTFということで、大変思い出に残ったので体験記を書きます。自分が解いたり関わったりした問題のWriteupも書きますが、実機がないと再現できない問題ばかりなので（出場した方以外は）「へぇー」くらいにお読みください。

Automotive CTF Japan 2024 予選 - writeup

（↑順位確定時点のスコア画像）

Automotive CTF Japanの予選にチーム参加し、5位で予選を突破しました。
（※所属とは無関係に個人活動として参加）

全問正解できましたが、先着順で順位が上になるのでこの順位です。

基本今まではCTF1人参加だったので、チーム参加は新鮮でした。お誘いくださったbeaさん、一緒に戦った hamayanhamayanさん、kusano_kさん、tkitoさん、ありがとうございました！

自分が解いた問題、途中まで触った問題についてwriteupを書きます。

Verifiable Credentialsのセキュリティ的考慮事項

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方はデジタルアイデンティティウォレットとは？｜注目される背景とサービス化の論点 | NRIセキュアブログなどご参照ください。

今回は、VCを取り扱う上で注意すべきセキュリティ的考慮事項についてサーベイしました。仕様ドキュメント・論文・講演をスコープにして探し、以下の4つのドキュメントについてまとめました。

仕様
- W3C - “Verifiable Credentials Data Model v2.0” ドラフト
- W3C - “Verifiable Credentials Data Model v1.1” 勧告
論文
- “SoK: Trusting Self-Sovereign Identity” (Krul et al., 2024)
講演
- “Attacking Decentralized Identity” (DEFCON 31, 2023)

実装者として気付かされる点が多く最も有用だったのは “Verifiable Credentials Data Model v2.0” ドラフトでした。また、脅威シナリオの種類が一番豊富だったのは “SoK: Trusting Self-Sovereign Identity” でした。この2つに関しては厚めに取り上げています。

それぞれのドキュメントのサーベイ結果はやや長くなっているので、まず始めにまとめを記載します。まとめは是非ご覧いただき、興味のあるドキュメントについては詳細を読んでいただければと思います。

W3C Verifiable Credentials API v0.3 (Draft) を読む

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方はデジタルアイデンティティウォレットとは？｜注目される背景とサービス化の論点 | NRIセキュアブログなどご参照ください。

今回は、Verifiable Credential API (VC-API) として知られる、VCのライフサイクルを管理するHTTP APIの仕様書を読んでいきます。

https://w3c-ccg.github.io/vc-api/

この記事は2024/07/16更新バージョンを対象に執筆しています。まだまだ正式仕様でないので、最新の仕様も合わせて各自ご確認お願いします。

富士榮さんのブログ『IdM実験室』の W3C Verifiable Credentials Overviewを読むシリーズを以前大いに参考にさせていただいたので、その形式（英文→DeepL和訳→たまに解説文）で記載します。

OSCP合格体験記

2024/06/15(土)にOSCPの試験を受けて、無事に合格しました。合格体験記です。

picoCTF 2024 - Writeup

picoCTF 2024に個人参加し、6954チーム中72位でした。

感想とwriteupを書きます。問題スクリーンショットは開催期間中のものなので、Solved数やLike数は参考程度に見てください。
picoCTFの問題は開催期間終了後もご自身で解けるはずなので是非挑戦してみてください。

防衛省サイバーコンテスト 2024 - Writeup

防衛省サイバーコンテスト 2024に参加し、450人中7位の成績を収めました ✌️

感想とwriteupを書きます。

Writeup - Flatt Security Developers' Quiz ＃6

⚡️ Flatt Security Developers' Quiz #6 開催！ ⚡️

解答は年明け1/5(金)11:59まで！Tシャツ獲得を目指して頑張ってください！

デモ環境: https://t.co/hXaNP2Ciwv
ソースコード: https://t.co/ejTKzpAp9D
解答提出フォーム: https://t.co/jnc5Wv2Hi7 pic.twitter.com/uf3ZqHEdTK
— 株式会社Flatt Security (@flatt_security) December 29, 2023

Flatt Security Developers’ Quiz #6 に回答し、Tシャツ頂きました👕

Writeup書きます。