参加者、チューター、講師として学ぶ「キャンプの醍醐味」

2日目に実施された専門講座には、事前選考に通過した30名が参加。2016年全国大会を修了した白倉大河氏と、2014年全国大会に参加し、2017年の全国大会では初講師を務めた木村廉氏が登壇した。

専門講座は扇が丘キャンパス内のアントレプレナーズラボで行われた

白倉氏の講座は、Chromeブラウザの拡張機能の脆弱性に対する攻撃や対策を学ぶという内容だ。

ブラウザの拡張機能でWebサイトでのパスワード自動入力や広告のブロックなどができるのは、Webサイト上の全データの読み取り変更などを実行する特権が与えられているからだ。裏を返せば、拡張機能に任意のコードを実行できる脆弱性があると、拡張機能を通じてWebサイトから個人情報などを盗み出すことも可能である。

白倉氏は「拡張機能のリスクや対策を理解するには、自分で拡張機能を書いたり、脆弱性を探したりすることが大切です」と説明。講座は、XSSの脆弱性がある拡張機能で脆弱性を探し、実行した場合の動作を確認したり、同一オリジンポリシーの制約を回避してWebサイトのタイトルやURLを外部攻撃サイトに送信するプログラムを作成したりと「考え、試す」ことを中心に行われた。

名古屋大学 工学部 白倉大河氏

同氏が講師になったきっかけは、2017年の全国大会で初の取り組みとして行われた裏プログラム「セキュリティ・コアキャンプ2017」で、とある講師に「やってみないか」と誘われたことだったという。まずは9月に開催された「セキュリティ・ミニキャンプ in やまなし 2017」にチューターで参加してから、金沢での初講師に挑んだ。

短期間でチューターと講師の両方を経験した白倉氏は、「既に理解している人と初めて経験する人とでは、フォローの仕方がそれぞれ違う。適切にサポートすることがいかに難しいかを実感しました」と振り返る。

熱心に手を動かす参加者たち

氏は、普段から情報収集を欠かさず、ブラウザの気になった箇所の仕様書を確認したりしている。そうすることで、「ここの書き方がなんだか雑だな」「何かおかしいぞ」と気付く直感力が養われ、その先で”思いがけないハッキング方法”を見つけるのが楽しいという。

白倉氏は、「大学の講義を受けているだけでは得られない知識に触れられるのがキャンプの醍醐味」と話す。大学の勉強も忙しいが、講座用の教材を準備する時間は自分を磨くための大切な時間として、むしろ楽しんでやっていると白倉氏は笑顔を見せた。