ご挨拶

Python Advent Calendar 2024 の17日目の記事です。

JTCでセキュリティ・プライバシー・データ基盤領域の研究開発をしている @laysakura です。
この記事で扱うのは、信頼できないユーザーから与えられたコードを実行するための「言語Sandbox環境」です。特に、Pythonの言語Sandbox環境であるRestrictedPythonを取り上げます。

言語Sandbox環境の理念は素晴らしく、応用先も色々と考えられるものですが、初手の設計を誤ると攻撃者とのいたちごっこになってしまうということをこの記事を通してお伝えできればと思います。

それではお楽しみください（ここからは常体で失礼します）。

続きを読む

Cyber-sec+ Advent Calendar 2024 2日目の記事です。
昨日の初日は Cyber-sec+ コミュニティーマネージャー Nissy さんによる 一切の感情を排したロジカルモンスターがコミュニティロゴを制作するとこうなる の記事でした。

本日の記事は「ソフトウェア研究における脅威モデリング」という題でお送りします。スライドを作成したのでご覧ください。

以下のツイートリンクからフィードバック頂ければありがたく拝読します！

https://twitter.com/intent/tweet?url=https://speakerdeck.com/laysakura/what-s-why-howto-xie-wei-moterinku&text=%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%E7%A0%94%E7%A9%B6%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E8%84%85%E5%A8%81%E3%83%A2%E3%83%87%E3%83%AA%E3%83%B3%E3%82%B0

明日3日目は Kensuke Takahashi さんによる「OWASPから学ぶLLM／生成AIのセキュリティモデルとソリューション」の記事です。

ありがとうございました！

Automotive CTF 2024（グローバル予選・日本決勝・世界決勝）の対策として、自動車セキュリティの知見とか手を動かしたことを公開用Notionにまとめておりました。

Notion Siteで公開しているだけでは検索引っかかりにくいので、こちらにリンクとアウトラインを記載しておきます（2024/10/25時点。子ページやリンク先は勝手に更新する可能性があります）。

アウトライン紹介

続きを読む

デトロイトで開催されたAutomotive CTFの決勝に “TeamOne” チームとして参加し、出場6チーム中 4位 でした。
（※所属とは無関係に個人活動として参加）

CTFを初めて1年ちょっと、まさか世界で戦う機会に預かれるなんて思ってもみませんでした。良い経験になりました。

前回の日本決勝の記事 と同様に、体験記と自分が解いた問題のwriteupを書きます。実機がないと再現できない問題ばかりなので（出場した方以外は）「ほーん」くらいにお読みください。

続きを読む

Automotive CTF Japanの日本決勝に “TeamOne” チームとして参加し、5チーム中2位で（ギリギリ）アメリカで開催される世界大会の出場権を手に入れました🎉
（※所属とは無関係に個人活動として参加）

チームのbeaさん、hamayanhamayanさん、kusano_kさん、tkitoさん、今回もありがとうございました！

CTF強者が集まるオンサイトのCTFということで、大変思い出に残ったので体験記を書きます。自分が解いたり関わったりした問題のWriteupも書きますが、実機がないと再現できない問題ばかりなので（出場した方以外は）「へぇー」くらいにお読みください。

続きを読む

（↑順位確定時点のスコア画像）

Automotive CTF Japanの予選にチーム参加し、5位で予選を突破しました。
（※所属とは無関係に個人活動として参加）

全問正解できましたが、先着順で順位が上になるのでこの順位です。

基本今まではCTF1人参加だったので、チーム参加は新鮮でした。お誘いくださったbeaさん、一緒に戦った hamayanhamayanさん、kusano_kさん、tkitoさん、ありがとうございました！

自分が解いた問題、途中まで触った問題についてwriteupを書きます。

続きを読む

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方は デジタルアイデンティティウォレットとは？｜注目される背景とサービス化の論点 | NRIセキュア ブログ などご参照ください。

今回は、VCを取り扱う上で注意すべきセキュリティ的考慮事項についてサーベイしました。仕様ドキュメント・論文・講演をスコープにして探し、以下の4つのドキュメントについてまとめました。

• 仕様
  • W3C - “Verifiable Credentials Data Model v2.0” ドラフト
  • W3C - “Verifiable Credentials Data Model v1.1” 勧告
• 論文
  • “SoK: Trusting Self-Sovereign Identity” (Krul et al., 2024)
• 講演
  • “Attacking Decentralized Identity” (DEFCON 31, 2023)

実装者として気付かされる点が多く最も有用だったのは “Verifiable Credentials Data Model v2.0” ドラフトでした。また、脅威シナリオの種類が一番豊富だったのは “SoK: Trusting Self-Sovereign Identity” でした。この2つに関しては厚めに取り上げています。

それぞれのドキュメントのサーベイ結果はやや長くなっているので、まず始めにまとめを記載します。まとめは是非ご覧いただき、興味のあるドキュメントについては詳細を読んでいただければと思います。

続きを読む

DID/VCの周辺技術を調べています。DID/VCの概要を知りたい方は デジタルアイデンティティウォレットとは？｜注目される背景とサービス化の論点 | NRIセキュア ブログ などご参照ください。

今回は、Verifiable Credential API (VC-API) として知られる、VCのライフサイクルを管理するHTTP APIの仕様書を読んでいきます。

https://w3c-ccg.github.io/vc-api/

この記事は2024/07/16更新バージョンを対象に執筆しています。まだまだ正式仕様でないので、最新の仕様も合わせて各自ご確認お願いします。

富士榮さんのブログ『IdM実験室』の W3C Verifiable Credentials Overviewを読む シリーズ を以前大いに参考にさせていただいたので、その形式（英文→DeepL和訳→たまに解説文）で記載します。

続きを読む

2024/06/15(土)にOSCPの試験を受けて、無事に合格しました。合格体験記です。

続きを読む

picoCTF 2024に個人参加し、6954チーム中72位でした。

感想とwriteupを書きます。問題スクリーンショットは開催期間中のものなので、Solved数やLike数は参考程度に見てください。
picoCTFの問題は開催期間終了後もご自身で解けるはずなので是非挑戦してみてください。

続きを読む