Automotive CTF 2024 日本決勝 - 体験記 & Writeup

IMG_0551.jpg

Automotive CTF Japanの日本決勝に “TeamOne” チームとして参加し、5チーム中2位で(ギリギリ)アメリカで開催される世界大会の出場権を手に入れました🎉
(※所属とは無関係に個人活動として参加)

チームのbeaさん、hamayanhamayanさん、kusano_kさん、tkitoさん、今回もありがとうございました!

CTF強者が集まるオンサイトのCTFということで、大変思い出に残ったので体験記を書きます。自分が解いたり関わったりした問題のWriteupも書きますが、実機がないと再現できない問題ばかりなので(出場した方以外は)「へぇー」くらいにお読みください。

続きを読む

Automotive CTF Japan 2024 予選 - writeup

image.png

(↑順位確定時点のスコア画像)

Automotive CTF Japanの予選にチーム参加し、5位で予選を突破しました。
(※所属とは無関係に個人活動として参加)

全問正解できましたが、先着順で順位が上になるのでこの順位です。

基本今まではCTF1人参加だったので、チーム参加は新鮮でした。お誘いくださったbeaさん、一緒に戦った hamayanhamayanさん、kusano_kさん、tkitoさん、ありがとうございました!

自分が解いた問題、途中まで触った問題についてwriteupを書きます。

続きを読む

Verifiable Credentialsのセキュリティ的考慮事項

脅威シナリオ列挙

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方は デジタルアイデンティティウォレットとは?|注目される背景とサービス化の論点 | NRIセキュア ブログ などご参照ください。

今回は、VCを取り扱う上で注意すべきセキュリティ的考慮事項についてサーベイしました。仕様ドキュメント・論文・講演をスコープにして探し、以下の4つのドキュメントについてまとめました。

  • 仕様
    • W3C - “Verifiable Credentials Data Model v2.0” ドラフト
    • W3C - “Verifiable Credentials Data Model v1.1” 勧告
  • 論文
    • “SoK: Trusting Self-Sovereign Identity” (Krul et al., 2024)
  • 講演
    • “Attacking Decentralized Identity” (DEFCON 31, 2023)

実装者として気付かされる点が多く最も有用だったのは “Verifiable Credentials Data Model v2.0” ドラフトでした。また、脅威シナリオの種類が一番豊富だったのは “SoK: Trusting Self-Sovereign Identity” でした。この2つに関しては厚めに取り上げています。

それぞれのドキュメントのサーベイ結果はやや長くなっているので、まず始めにまとめを記載します。まとめは是非ご覧いただき、興味のあるドキュメントについては詳細を読んでいただければと思います。

続きを読む

W3C Verifiable Credentials API v0.3 (Draft) を読む

VC-APIのコンポーネントとエンドポイント

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方は デジタルアイデンティティウォレットとは?|注目される背景とサービス化の論点 | NRIセキュア ブログ などご参照ください。

今回は、Verifiable Credential API (VC-API) として知られる、VCのライフサイクルを管理するHTTP APIの仕様書を読んでいきます。

https://w3c-ccg.github.io/vc-api/

この記事は2024/07/16更新バージョンを対象に執筆しています。まだまだ正式仕様でないので、最新の仕様も合わせて各自ご確認お願いします。

富士榮さんのブログ『IdM実験室』の W3C Verifiable Credentials Overviewを読む シリーズ を以前大いに参考にさせていただいたので、その形式(英文→DeepL和訳→たまに解説文)で記載します。

続きを読む

picoCTF 2024 - Writeup


picoCTF 2024に個人参加し、6954チーム中72位でした。

感想とwriteupを書きます。問題スクリーンショットは開催期間中のものなので、Solved数やLike数は参考程度に見てください。
picoCTFの問題は開催期間終了後もご自身で解けるはずなので是非挑戦してみてください。

続きを読む

Writeup - Flatt Security Developers' Quiz #6

Flatt Security Developers’ Quiz #6 に回答し、Tシャツ頂きました👕

Writeup書きます。

続きを読む

Webセキュリティ資格のBurp Suite Certified Practitioner (BSCP) に合格した

BSCP Certification

Webバックエンド開発やデータベース領域の研究開発を10年近く行ってきた筆者ですが、2023年夏頃からセキュリティ関連のキャリアパスを志向するようになりました。

Webセキュリティの実践的な経験とその証明がほしく、Burp Suite Certified Practitioner (以下、BSCP) を受験し、晴れて合格しました🎉

続きを読む

Apache Beamが多言語・多バックエンド処理系を実現する仕組み

Apache Beam Portable Framework概要図

ストリーム処理とバッチ処理を統合して扱えるプログラミングモデル(あるいはデータ処理のフロントエンド)である Apache Beam が、特にGoogle Cloud DataflowやApache Flinkからの利用を背景にシェアを伸ばしています。

Apache Beamの特色として、複数のプログラミング言語のSDKを持つこと・複数のバックエンド処理系(Flinkなどを指す)を持つことが挙げられますが、これがどう実現されているのかをまとめます。

続きを読む