Figaro's Blog

2025年の振り返り

この記事は2025年を振り返った文章になります。このブログを読む人間が多いとは思いませんが、文章を書くことは何気に楽しいもので、ポートフォリオ兼つぶやきのようなものになります。この文章を書いている現在(2025/12/26)はこんなことをしている場合ではないのですが...

1-6月

正直このあたりは何をしていたか覚えておらず、特筆することもありません。CTFして大学と卒業研究をこなしていた気がします。卒業研究としてTEE (Intel SGX)に触れ始めた時期でもあり、Intel SGX Explainedや某氏のセキュリティキャンプ資料を読んでいた気がします。加えてSGX関連研究、特にSGXに対するmemory corruption関連を調べていました。もしSGX関連のmemory corruptionに興味があれば下記を読むと良いかもしれません。

Dark-ROP
The Guard's Dilemma
SGX-Shield
Practical Enclave Malware with Intel SGX (SGX-ROP)
SmashEx

特にSmashExはBoFやoff-by-one等のバグが無くともROPで攻撃できるという点でとても面白い論文でした。Dark-ROPもSGXに対するメモリ破壊系攻撃としては有名ですが、これはSGX-Shieldによって防がれます。これをバイパスするためにThe Guard's Dilemmaが提唱され、かつEnclaveのクラッシュやroot権限を必要としない点でDark-ROPより優れているという印象です。Practical Enclave MalwareはEnclaveイメージが攻撃者によって提供され、それを使ってしまうがためにEnclaveにマルウェアが住み着く -> ROP開始という攻撃です。悪性のEnclaveモデルを使ってしまうという脅威モデルを提案していますが、SGXに対する攻撃は往々にしてトンデモ脅威モデルや正気を疑う攻撃手法が提案されるため、さもありなんと言った感じです。ですが悪性のEnclaveイメージを提供する時点でマルウェアで無くても良い気がしているのは私だけでしょうか。

ともかく、今年の前半はほとんどSGX関連研究のサーベイが主でした。思い出もありません。

7月

この月はC2C CTFでアメリカ、ボストンに渡航しました。人生発の海外渡航、オンサイト決勝だったので良い経験でした。しかし私の英語力は高が知れており、この期間中はコミュニケーションの拙さからかなり参っていました。また、C2Cで用意されていたプログラムの中にはグループワークによる簡易的なコンペティションも企画されており、これもなかなかキツイものがありました。参加者達と話せないこともなかったのですが、リスニングが弱く、変な回答をしていたことから呆れられていたことでしょう。拙い英語力を誤魔化せるほどのPwn力が欲しいものです。英語を頑張るべきという意見もあります。まあ、今振り返れば良い経験でした。C2Cの詳細な話は別のページにあるのでよければご一読下さい。

8月

この月で書くことはセキュキャンへの参加かと思います。私はL3 TEE&スクラップゼミに参加してきました。セキュキャンの中で特に印象に残っていることはL3ゼミの内容もそうなのですが、それ以上に同じくBinexpをする人間とのつながりが得られたことかと思います。Heapの気持ちが分からないという謎の会話デッキを持って話しかけに行ったり、Birds of a featherでBinexp関連の人間が集まった際にはv8 pwnや今追っている過去の脆弱性、pwnとllmの付き合い方、私の研究であるSGXの話等をしたことを覚えています。ゼミではSDKを利用した開発と攻撃を行いました。開発はおざなりで、攻撃はまあまあという感じの学生(私)に対しても指導して頂き、講師の櫻井氏には感謝の念に堪えません。ありがとうございました。

また、セキュキャンの後にはCDIが学生向けに開催していた、Binary Exploitation Workshop For Studentsにも参加させて頂きました。内容自体はStack関連のExploitationを解説するもので、おおよその話は既知でした。しかし情報の質というか精度が素晴らしく、知らない箇所を拾いながら勉強させて頂きました。また、講師の方やCDIの方にも良くして頂き、様々なお話をさせていただいたことも印象に残っています。興奮して変な話をベラベラする失礼な学生(私)に対しても皆さんにはニコニコと対応して頂き、とても感謝の念に堪えません。ありがとうございました。

某M氏へ: Heapへの入門、及びHouse of Einherjarを最近やりました。見ているかは分かりませんが...

9月

7、8月でおざなりだった卒業研究をぼちぼち再開していた頃です。再開と言っても適当に論文読んだりしていただけです。ほぼ何もしていません。

10月

9月のツケが回ってきてしまいました。指導教員に「お前卒業研究不味いよ？」という旨のお叱り(実際はもっとマイルド)を受けてしまい卒業研究を進めていました。基本的にはSmashExのPoCの適用と再現が主な作業です。そのため謎にIntel SGXに対するSmashExに詳しくなってしまい、AEXがどうとか、SGXの例外処理がどうとか、EEXITがencluにrax=0x4とか、State Save Areaがどうとか、MiscSelectが...みたいな話ばかり追いかけていました。結果としてRAやSGXにまつわるChain of Trust、AE(Architectural Enclave)などは未だに理解できていません。Intel SGXの性質上、むしろこちらを理解する方が本質な気もします。なお、SmashExの再現は同じくSGX周りを研究する友人の多大なる支援によって成功しました。ありがとうございます。

また、10月の終わりにはCSS2025へ参加してきました。東京郊外と言われても信じるような面構えを誇る岡山駅周辺を徘徊し、TEE関連のセッションを聞き流し、セキュキャンから何気に関わりがある方とお会いしたりしていました。

11月

卒業研究が続きます。SmashExを弄りながら、SGX-DFと呼ばれる脆弱性についてもPoC再現を行っていたのですが、論文の執筆も始めろとのお叱りを頂きました。10月ぐらいにも似たようなお叱りを頂きましたね！これは完全に私の落ち度であり、よく危機感が無いと言われる理由でもあります。余談ですが、私の所属する研究室の先生(指導教員)は、アカハラなどという言葉が浸透して過敏なアンテナが張り巡らされた今日においても、ありえないほどの聖人であり人格者でもあります。私がお叱りを受ける理由は全て私の落ち度であり、お叱りを受けた際も遠回しにオブラートに包んで頂くという人格者ムーブを見せつけられました。また、7月に参加したC2C CTFにおいても渡航費を研究室から捻出して頂き、各イベントにおいても移動費や宿泊費を負担して頂いております。こう振り返ると、私は完全に研究室に寄生して遊んでいる虫と言えます。大学は偽ですが、研究室は本物でした。

私の人生におけるハイライトという意味では、11月の目玉トピックはHeapに入門したことかと思います。なお、おおよそ理解しているというか、勉強したトピックはおおよそ以下です。

UAF
Tcache Poisoning
Double Free
Safe linking, Count check Bypass
Unsorted bin Attack
Large bin Attack
House of Einherjar
House of Orange
House of Apple 2, 3

House of 系は他にも大量にあるので時間がある時に勉強したい所です。今はHouse of Huskに興味があります。FSOPの際にはglibcのコードを読み解くのは大変に時間と体力を吸われますが、バカみたいなコード(マクロや後方互換性等)のおかげで攻撃手法が成り立っていることを考慮すると感謝するべきでしょうか。

12月

12月も論文の執筆を続けています。1月中が提出期限なのですが、ギリギリ終わりそうではあります。

しかし、ここで問題が発生しました。左下の奥歯が痛みます。本当に不味いと感じて歯医者に駆け込んだのですが、「親知らずが地味に露出していて、菌が入り込んで感染している。親知らず抜かないと骨が溶け続けるよ。あと歯周病やばいから減煙してフロスもしてね(意訳)」と言われます。とりあえず抗生物質と鎮痛剤、口腔外科への紹介状を頂戴して帰宅したのですが、論文も書かねばなりません。巫山戯やがって。しかし自己責任でもあります。1月に論文を提出した後にも作業が残っているので2月に抜歯しようかとは思っているのですが、抜歯すれば2月中は完全にダウンすることでしょう。しかし新居の選定と荷運びがあるため、これが3月中に間に合うはずもありません。そのため1月に新居を契約して業者を予約しなければなりませんが、本当にこの日程で間に合うでしょうか。

2026年の意気込み

来年は下記をいい感じに頑張りたいと思います。

継続してStack Exploitの強化
Heap Exploitの研鑽
Kernel Exploitへの入門
親知らずの抜歯
新居の契約及び業者の予約
労働 (来年の4月以降は社会人なので...)

おわりに

どうしろってんだよ