昨年9月に取得した2級鍵師について,記憶を辿りながら書いていきます.
きっかけ
大学院時代にはセンサ周りのハードウェアセキュリティを専攻していたこともあり,ハードウェア周りは意識されることが少ない割に致命的な脆弱性になり得るとなぁと考えていました.加えて,鍵(錠前)は日常的に使用する割に自身では安全性を検証できない気持ち悪さを感じていました.
社会人となり寸志が出て,夏季休暇はコロナの影響で帰省するのもためらわれたので,良い機会なので受講/受験しようと思いました.
日程
会社の夏休み+有給を利用して以下の日程で受講/受験しました.
- 7日間講習:9/3-9/9(7日間)
-
二級鍵師試験:9/10(1日間)
お金周り
- 7日間講習:138,000円
- 二級鍵師検定試験受験費用:12,000円
- とある専用ピックセット:13,000円
- 登録料5,000円,認定証作成料1,500円
講習内容
公式ページにカリキュラムがありますが,Security through obscurityの慣例に従い詳しくは書きません.
個人的に価値があると感じた点をいくつか列挙します.
- 鍵と錠前の仕組みに関する体系的な知識
- 『ハッカーの学校 鍵開けの教科書』も参考になる.両方合わせると効率的に学習できる.
- 多種多様な錠前に対するピッキング訓練が可能
- 朝の講義前と昼休みは自由にピッキング訓練が可能.
- 様々な手法による合鍵製作
- フキの合鍵複製機も,EC錠の合鍵製作に使用するXXXも,普段は触ることがない.
- 脆弱性の把握
- 合鍵にXXXが記載されている場合
- 廃止シリンダーの識別方法など
- 用途外の錠前の使用
- ドアスコープや窓周り
- 攻撃手法
- 各種ツールの概要
- ピッキング訓練や,合鍵製作による攻撃容易性の把握
- 対策/予防
- 最新製品への置き換え
- サムターンカバーなどのリスク低減策
-
認定制度によるセキュリティ要件の確認
講習の雰囲気
一人で参加したものの,他の受講者の方も単独参加が多数でした.私の参加回では男性のみで,年齢層的には20代~40代が多かったように思います.私のような専門外から,箔をつけるために参加する本職の方など,様々な方が参加してました.
合鍵製作など実習では3~4名のグループとなることが多く,コミュ障なりに頑張ってました.なんだか穏やかな雰囲気の方が多く楽しかったです.
試験
試験の具体的な内容は公平性の観点から書きません(CISSPのNDAに心が縛られています).
試験は午前回と午後回の2回開催で,試験時間は90分.ざっくり筆記試験とピッキング試験に分かれます.筆記30分,ピッキング30分で途中退室しました.
筆記試験についてはカリキュラムの「F:二級鍵師技能検定用特別講習」を中心に勉強すれば基本的に問題ないと思います.ピッキングについても対象となる錠前の種類は伝えられ,朝の講義前と昼休みに練習可能なので,焦らず運が良ければ大丈夫だと思います.ただ,周りから「カチャ」と聞こえると焦るので簡単なものから速度重視で開けていくのが良い気がします.なお,とある錠前は使われすぎてピンがおかしくなってるような印象を受けました(実際おかしかったのか分かりませんが…).
感想
「攻撃者は最も弱い部分を狙う」ということを考えれば,鍵/錠前(あるいは窓,ドアスコープ)の評価に関わる知識を得られたのは良かったと思います.実際に身近で使われている錠前が脆弱であることが分かったり,新宿で休憩したホテルが廃止シリンダーを使っていることに気付けたり,面白いです.
ソフトウェアからハードウェアまで幅広い領域をカバーすることも大事ですが,最近のソーシャルエンジニアリングの重要性を考えると結局一番脆弱なのは人間で,次は心理学でも勉強したほうがいいのかなぁとか考えてます.
鍵穴ペンテスター pic.twitter.com/45vmqygROL
— pome (@pome_11) October 6, 2021