ソフトウェア研究における脅威モデリング(Cyber-sec+ Advent Calendar 2024)

スライド表紙

Cyber-sec+ Advent Calendar 2024 2日目の記事です。
昨日の初日は Cyber-sec+ コミュニティーマネージャー Nissy さんによる 一切の感情を排したロジカルモンスターがコミュニティロゴを制作するとこうなる の記事でした。

本日の記事は「ソフトウェア研究における脅威モデリング」という題でお送りします。スライドを作成したのでご覧ください。

以下のツイートリンクからフィードバック頂ければありがたく拝読します!

https://twitter.com/intent/tweet?url=https://speakerdeck.com/laysakura/what-s-why-howto-xie-wei-moterinku&text=%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%E7%A0%94%E7%A9%B6%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E8%84%85%E5%A8%81%E3%83%A2%E3%83%87%E3%83%AA%E3%83%B3%E3%82%B0

明日3日目は Kensuke Takahashi さんによる「OWASPから学ぶLLM/生成AIのセキュリティモデルとソリューション」の記事です。

ありがとうございました!


自動車セキュリティ(カーハック)知見まとめ

Automotive CTF 2024(グローバル予選・日本決勝・世界決勝)の対策として、自動車セキュリティの知見とか手を動かしたことを公開用Notionにまとめておりました。

Notion Siteで公開しているだけでは検索引っかかりにくいので、こちらにリンクとアウトラインを記載しておきます(2024/10/25時点。子ページやリンク先は勝手に更新する可能性があります)。


自動車セキュリティ (Car Hacking) - laysakura Public Notion

アウトライン紹介

続きを読む


Automotive CTF 2024 世界決勝 - 体験記 & Writeup

header

デトロイトで開催されたAutomotive CTFの決勝に “TeamOne” チームとして参加し、出場6チーム中 4位 でした。
(※所属とは無関係に個人活動として参加)

CTFを初めて1年ちょっと、まさか世界で戦う機会に預かれるなんて思ってもみませんでした。良い経験になりました。

前回の日本決勝の記事 と同様に、体験記と自分が解いた問題のwriteupを書きます。実機がないと再現できない問題ばかりなので(出場した方以外は)「ほーん」くらいにお読みください。

続きを読む


Automotive CTF 2024 日本決勝 - 体験記 & Writeup

IMG_0551.jpg

Automotive CTF Japanの日本決勝に “TeamOne” チームとして参加し、5チーム中2位で(ギリギリ)アメリカで開催される世界大会の出場権を手に入れました🎉
(※所属とは無関係に個人活動として参加)

チームのbeaさん、hamayanhamayanさん、kusano_kさん、tkitoさん、今回もありがとうございました!

CTF強者が集まるオンサイトのCTFということで、大変思い出に残ったので体験記を書きます。自分が解いたり関わったりした問題のWriteupも書きますが、実機がないと再現できない問題ばかりなので(出場した方以外は)「へぇー」くらいにお読みください。

続きを読む


Automotive CTF Japan 2024 予選 - writeup

image.png

(↑順位確定時点のスコア画像)

Automotive CTF Japanの予選にチーム参加し、5位で予選を突破しました。
(※所属とは無関係に個人活動として参加)

全問正解できましたが、先着順で順位が上になるのでこの順位です。

基本今まではCTF1人参加だったので、チーム参加は新鮮でした。お誘いくださったbeaさん、一緒に戦った hamayanhamayanさん、kusano_kさん、tkitoさん、ありがとうございました!

自分が解いた問題、途中まで触った問題についてwriteupを書きます。

続きを読む


Verifiable Credentialsのセキュリティ的考慮事項

脅威シナリオ列挙

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方は デジタルアイデンティティウォレットとは?|注目される背景とサービス化の論点 | NRIセキュア ブログ などご参照ください。

今回は、VCを取り扱う上で注意すべきセキュリティ的考慮事項についてサーベイしました。仕様ドキュメント・論文・講演をスコープにして探し、以下の4つのドキュメントについてまとめました。

  • 仕様
    • W3C - “Verifiable Credentials Data Model v2.0” ドラフト
    • W3C - “Verifiable Credentials Data Model v1.1” 勧告
  • 論文
    • “SoK: Trusting Self-Sovereign Identity” (Krul et al., 2024)
  • 講演
    • “Attacking Decentralized Identity” (DEFCON 31, 2023)

実装者として気付かされる点が多く最も有用だったのは “Verifiable Credentials Data Model v2.0” ドラフトでした。また、脅威シナリオの種類が一番豊富だったのは “SoK: Trusting Self-Sovereign Identity” でした。この2つに関しては厚めに取り上げています。

それぞれのドキュメントのサーベイ結果はやや長くなっているので、まず始めにまとめを記載します。まとめは是非ご覧いただき、興味のあるドキュメントについては詳細を読んでいただければと思います。

続きを読む


W3C Verifiable Credentials API v0.3 (Draft) を読む

VC-APIのコンポーネントとエンドポイント

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方は デジタルアイデンティティウォレットとは?|注目される背景とサービス化の論点 | NRIセキュア ブログ などご参照ください。

今回は、Verifiable Credential API (VC-API) として知られる、VCのライフサイクルを管理するHTTP APIの仕様書を読んでいきます。

https://w3c-ccg.github.io/vc-api/

この記事は2024/07/16更新バージョンを対象に執筆しています。まだまだ正式仕様でないので、最新の仕様も合わせて各自ご確認お願いします。

富士榮さんのブログ『IdM実験室』の W3C Verifiable Credentials Overviewを読む シリーズ を以前大いに参考にさせていただいたので、その形式(英文→DeepL和訳→たまに解説文)で記載します。

続きを読む



picoCTF 2024 - Writeup


picoCTF 2024に個人参加し、6954チーム中72位でした。

感想とwriteupを書きます。問題スクリーンショットは開催期間中のものなので、Solved数やLike数は参考程度に見てください。
picoCTFの問題は開催期間終了後もご自身で解けるはずなので是非挑戦してみてください。

続きを読む