Micro Hardening v1.x@長野でドン勝!!

■背景

小学生の頃からセキュリティに興味があった私は、ここ数年、ハードニング関連のイベントに参加させていただいている。参加費用はすべて自腹。

2015/08/29MINI Hardening Project #1.2東京
2015/11/07Hardening 10 ValueChain沖縄
2016/11/01Hardening 100 Weakest Link沖縄
2018/07/06Hardening II Collective宮古島
2018/07/21Micro Hardening v1.x長野

というわけで、宮古島で開催された Hardening II Collective にも参加させていただいたのですが、15時頃まで1位独走していたチームだというのに、それ以降どんどん下降していき、最終的にはビリになってしまいました。このときの私の役割はエンジニアではなかったため、不完全燃焼な結果でした。このもどかしい状況から脱すべく、急きょ、長野に向かうことにしたのです。

■結果

チームのスコアとしては1位に、つまり、ドン勝することができました。全部で6チームあって私の所属はチーム5でした。1チームあたり4人という構成でした。
とはいうものの、Micro Hardeningは表彰されるわけでもありませんし、Hardeningと比較すると、守るべきサーバは1台だけだったり、”ゲーム開始から同じタイミングで同じ攻撃がやってくる内容”を3セットやるだけですので、対策がとてもしやすかったです。

■どんなだったか

Micro Hardeningに参加するとよいであろう対象者はセキュリティの専門職の方とかではなく、フツーの会社の情シスの人だとか、フツーのSEとかが、「ちょっとセキュリティ対策ってどんなのか知りたい」と思ったら参加してみると吉。日常業務にも役立つ、エンジニアリングの基本の総復習ができるようになっているような感じでした。
Hardeningの場合は、会社経営の視点での対応が必要となるし守るべき対象もかなりの台数となりますが、Micro Hardeningは「残機3で、守るサーバは1台」なので、とても気軽に参加でき、スグに直前の結果を活かすことができ、基本的にはどなたでも、1セット目より2セット目のほうがスコアは高くなり、2セット目よりも3セット目のほうがスコアが高くなるようになっていました。

PUBGでたとえると、1回目のプレイでいきなりよくわからないままパラシュートでポチンキに降りてしまうと、武器をゲットすることもなくいきなり何者かに銃で撃たれたりぶん殴られていきなりゲームオーバーとなってしまいますが、それを経験した2回目のプレイではポチンキへの降下は避けて、敵がいないミルタとかロズホックに降りるようになって、そこで操作に慣れてレベルも上がってきてからポチンキに降りることに挑戦するようになりますよね。
Micro Hardeningは同日に3セットできるので、さっきのミスを活かした対応ができるようになるので、ゲーム感覚で慣れながら学べるようになっていました。

守るべきサーバはLinuxサーバでした。
TeraTermなどで対象サーバにSSH接続し、/var/log配下のログを見たり、ps -ef | grep なんたら みたいなことをして攻撃を知り、知ったならば、次(2セット目)はフィルタリングするなり、脆弱性対策をしていき、その次(3セット目)では、1セット目と2セット目の結果から取りこぼしている対策をしたり、2セット目のときよりもスピーディーに対策していくことになります。

■振り返り

・1セット目


チーム5のスコアは87,000。
どのチームも初回なので様子見しつつな感じ。
手作業で状態確認(監視)している状況。

・2セット目


チーム5のスコアはまた87,000。フツーは1セット目よりもよい得点になるはずだが、止めてはダメなモノを止めてしまったり、どこを変更すれば元に戻るのかがわからなくなっていました。
各チーム、監視~復旧が1セット目のときよりもスピーディーにできるようになっていたと思います。

・3セット目


チーム5のスコアは130,000。2セット目にやってしまったことを反省(活か)し、慎重な対応をしたり、古いバージョンのモノのアップデートなどもしました。

■そういえば

今回の会場は「株式会社電算」でした。私は過去にここに来たことがありました。

2017/05/27 SECCON Beginners長野

というイベントで。
長野県ではこの電算さんがセキュリティ関連イベントに会場を提供してくださる非常にありがたい会社ですね。

Micro Hardeningは、川口設計の川口さんが今年から開始されたイベントです。
「セキュリティの人材が足りない!」という大問題があるわけですが、こういったゲーム感覚でセキュリティの経験をしてもらう場を提供し、底上げをしていかれる活動はとても重要なことです。
知識があってもそうそう実践には活かせませんから、入門者向けの実践の機会としてMicro Hardeningはもっといろんな場所で開催され多くの人に体験してもらいたいと私も思いました。

■蛇足

茨城県水戸市出身。東京都中央区在住。大学院修士課程システム工学専攻修了。100mの自己最高公認記録は10秒8。難病の大腸性潰瘍炎を患ったがインドで修行して消失。Ⅱ型減圧症経験者。私立女子大→フリーランス→経営コンサルタント→CTO→フリーランス→会社員(電子決済系)。9才の頃に家庭の都合でアマチュア無線の免許を取得。同時期にBASICでのプログラミングをはじめ、それ以降、Z80でプロテクト解析・ゲーム改造、パケット無線などで昭和時代を過ごした。また、何かと上座部仏教のノウハウを活用。

OWASP Japanの会員になる方法

OWASP Japanとは、日本でWebアプリケーションのセキュリティの普及啓発を進めているコミュニティです。IT系のセキュリティ関連のテクニカルなイベントや記事などで OWASP という文字列を目にしたことがある方も多いのではないかと思います。

OWASP Japanは年間20ドル(約2,100円)のコストで個人会員になることができます。ちなみに500ドル(約53,000円)払うとライフタイム会員(終身会員)にもなれます。

私自身が入会で苦労したので、苦労せずに入会できるように手順を紹介します。
(間違ったリンク先から会員登録しようとすると、クレジットカードがハネられてしまう無限ループにハマります)

 

  1. 次のWebページに行きます。
    https://www.owasp.org/index.php/Membership
  2. [join]をクリックします。
  3. [Next]ボタンをクリックします。
    ここの表示では1年会員は50ドルとなっていますが、後ほど地域を選択をしていくことで、20ドルになります。
  4. 向かって右側の「Create Account」のそれぞれの項目を埋め、[Create Login]ボタンをクリックします。
  5. 「Region Select」は「Asia/Pacific」を選択し、[Next]ボタンをクリックします。
  6. 希望する会員種別のボタンをクリックします。
  7. 選択した会員種別を確認し、[Next]ボタンをクリックします。(この例では1年会員を選びました)
  8. 「Chapter」は「Japan」を選択し、「Last Name」に苗字を入れ、[Next]ボタンをクリックします。
    なお、ここで選択する「Chaper」と「Project」に対して、会費の40%を割り当てることができるそうですので、応援したいProjectがある場合には、選択をするとよいかと思います。
  9. あとは、ここでクレジットカード情報を入力し、[pay]ボタンを押せば、入会完了となります。

 

以上で、登録したメールアドレス宛でOWASP Foundaionからメールが2通届いているかと思います。
これで入会完了です。

 

茨城県水戸市出身。東京都中央区在住。大学院修士課程システム工学専攻修了。100mの自己最高公認記録は10秒8。難病の大腸性潰瘍炎を患ったがインドで修行して消失。Ⅱ型減圧症経験者。私立女子大→フリーランス→経営コンサルタント→CTO→フリーランス→会社員(電子決済系)。9才の頃に家庭の都合でアマチュア無線の免許を取得。同時期にBASICでのプログラミングをはじめ、それ以降、Z80でプロテクト解析・ゲーム改造、パケット無線などで昭和時代を過ごした。また、何かと上座部仏教のノウハウを活用。