2019 Cトラック ### 以下の問1と問2はトラックCの必須問題です。問3〜問8は選択問題で、3問を選択して回答してください。 ### 問1 本問題はシナリオベースの問題です。※登場する組織、プロトコルはすべて架空です。 とあるビルの空調メーカーは自社の制御プロトコルは以下の点から安全であると主張しています。 a.空調のプロトコルは独自であり、公開されていないため、攻撃されることはない。 b.万が一、空調がハッキングされても一時的に寒くなったり、熱くなったりするだけで命にかかわるものではない。 c.仮にエアコンが暴走しても、コンセントを抜けば停止することが可能である。 あなたはプロトコルを調査することにしました。 その結果、たしかに独自ではあったが、暗号化も認証も利用していないことがわかりました。 システム構成 [操作用PC] <--- NW(LAN) ---> [空調制御装置] <--- 独自物理線 ---> [エアコン/室外機]  ↑ここからの送信されたパケットを取得 ※NW=ネットワーク 問a. 以下のバイト列は2019年4月5日に「操作用PC」でキャプチャした通信内容(L7データ)です。 操作した内容とパケットを見比べて、解析を行い、わかったことを述べてください。 ヒント:IEEE 754、リトルエンディアン、CRC、UNIX時間 例)いずれのパケットにも共通する箇所である最初の3バイトはASCIIに直すと「BEG」となっており、「BEGIN」の最初の文字と思われる。 恐らく、パケットの先頭であるということを示していると思われる。 【通信データ】 (1)エアコンの設定温度を28.0度に設定した際のリクエストパケット 42 45 47 08 0A A7 5C 08 00 00 04 00 01 00 00 E0 41 45 4E 44 20 50 A8 F3 (2)エアコンの設定温度を19.5度に設定した際のリクエストパケット 42 45 47 3A 0A A7 5C 08 00 00 04 00 01 00 00 9C 41 45 4E 44 DA 66 22 70 (3)風の強さを5段階の一番強くした際のリクエストパケット 42 45 47 C2 0C A7 5C 05 00 00 04 00 03 05 45 4E 44 06 C7 07 12 問b. 問a.の回答をもとにエアコンの設定温度を30.0度に設定するためのパケットを生成してください。 答えが導き出せなかった場合はわからなかったことを記入してください。 問c. とある空調メーカーの主張で誤りと感じた部分を指摘してください。 問d. 同システムがハッキング可能であった場合、考えうる最悪のシナリオを書いてください。 例)ビル全体の冷房をガンガン入れて、電気代を高額にする。 ### 問2 いままで作ったもの(ソフトウェア、装置、システム、組織、など何でも)で自慢したいものがあれば教えてください.その中で、何かあなたのプログラミングのスキルを推し量るエピソードがあれば書いてください. ###以下選択問題で、以下から3問選択して回答。 ### 問3 あなたは、普段様々なデバイスを用いてインターネットにアクセスしています。その際そのデバイスはどのような通信をしているか想像してください。次に、以下のレポートを読んでください。 https://www.cisco.com/c/ja_jp/solutions/collateral/service-provider/visual-networking-index-vni/white-paper-c11-741490.html 問a.あなたの想像した通信の様相とインターネット全体の通信の様相について、それぞれ記載し、どのような違いがあったか述べてください。また、その理由について考察をまとめて述べてください。 問b.インターネット全体の通信の様相のついて、2023年以降の将来どの様に変化するかあなたの考えを述べてください。 ### 問4 今後、人工知能はセキュリティ分野でどのような役割を担うか?あなたの予想と共に、そのメリットとデメリットを記述してください。 ### 問5 サイバーセキュリティに関して色んな犯罪がありますが、中にはどういう行為が犯罪なのか分かりにくい条文もまだまだあります。 こういう行為は犯罪に当るのかがよく分からない、これがなぜ犯罪になるのかがよく分からないというのをなるべく具体的に挙げてください。 ### 問6 あなたは、何らかのネットワークにつながるコンピュータ装置(いわゆるIoT機器)の脆弱性を調べようとしています。装置の外部インタフェースとしては、Wi-Fi、USB、Bluetooth、HDMI映像出力が出ており、スイッチやLEDも付いています。設定はWi-Fiに接続したWebブラウザから行えるようです。内部で動くソフトウェアやOSの種類も分からず、CPUの種類も分かりません。このとき、装置の外部インタフェースを通じた脆弱性を調べる手順をできるだけ色々と考えてください。なお、装置の蓋を開けて中身を直接調べてたり配線を取り出したりすることも可能とします。 ### 問7 ある個人が自分だけで使用しているPC(OSは適当に決めてください)に保存されている情報、例えば特定の文書ファイルやデータなどにしか記録されていないはずの情報が、インターネット上の掲示板に1ヶ月前から掲載されていることを知りました。この情報がどうやって漏洩したか、PCの状態、さまざまなログやファイル、ルータの通信記録などから推察する手順をできるだけ多くの条件を想定して示してください。 ### 問8 CTFでこういう問題を作ってみたい、というのをなるべく具体的に挙げてください。