連載
» 2015年04月01日 05時00分 UPDATE

川口洋のセキュリティ・プライベート・アイズ(53):Hardening Projectから派生した「MINI Hardening Project」に行ってみた! (1/2)

これまでたびたび紹介してきた「Hardening Project」から派生した、より初心者層を対象としたイベント「MINI Hardening Project」の模様を見学してきました。

[川口洋(株式会社ラック チーフエバンジェリスト CISSP),@IT]
「川口洋のセキュリティ・プライベート・アイズ」のインデックス

連載目次

 皆さん、こんにちは。川口です。今回は2015年3月7日に開催された「MINI Hardening Project」の見学レポートをお届けします。

「MINI Hardening Project」会場の入り口

 Hardening Projectについては、これまでたびたびこのコラムで紹介してきたのでご存じの方も多いと思います。「守る技術」を競うためのイベントです。

 そしてMINI Hardening Projectは、2014年11月の「Hardening 10 Evolutions」の会場で「俺たちもHardeningやろうぜ」と盛り上がった有志が作ったイベントです。Hardening Projectの公式ページには情報がありませんが、れっきとしたHardening Project公認イベントとなっています。

 筆者は普段は主催者側としてHardening Projectに関わっていますが、今回は外から見ることで、新たな気付きも得られました。

関連リンク

MINI Hardening Project #1

http://connpass.com/event/11498/


関連記事

工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート

http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html

そのときStarBEDが動いた――「Hardening One」の夜明け前

http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html

実録、「Hardening Zero」の舞台裏

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/040a.html


MINI Hardening Project #1の紹介

 MINI Hardening Project #1は「初心者向けハードニング競技イベント」と題して、2015年3月7日にIIJのオフィスで開催されました。広ーーい会議室をお借りして黙々と競技に挑む様子はHardening Projectと同じような雰囲気ですが、オンラインセミナーなどはなく、競技に専念している様子です。

 MINI Hardening Projectの運営は以下の有志によって構成されています。

「MINI Hardening Project」の会場の雰囲気(左)、MINI Hardening Projectを企画した有志、@TSB_KZK、@unkn0wnbit、@sasser_jp、@nmatayoshi(右)

 いずれも前回のHardening 10 Evolutionsに参加して奮闘した猛者だけのことはあり、運営側に回ってその力を発揮していました。スタッフの中には沖縄のメンバーもいるようで、4カ月間オンラインでミーティングを重ねて準備をしたようです。

 一方、参加者は総勢20名。3人1組でチームになって挑みます。connpassを使用して募集したところ、あっという間に参加者枠が埋まるほどの人気ぶりでした。

 最近のHardening Projectは沖縄で開催しています。これに対しMINI Hardening Projectは東京で開催されることもあり、多数の申し込みがあったようです。connpassで参加表明した人たちのリストを見てみると、学生の参加も多いようです。MINI Hardening Projectが「初心者向けハードニング競技イベント」としていることも参加の壁を下げていたのかもしれません。

MINI Hardening Project競技開始

参加者に提供されたホームページ

 MINI Hardening Projectの競技はAWS上に構築されたシステムで行われました。仮想の会社「株式会社はーどにんぐ」のシステムに発生したセキュリティインシデントやトラブルに、参加者は「超エース級」のエンジニアとして対処することになります。3時間という限られた時間の中で与えられた環境を守りつつ、社長に報告書を書かなければなりません。

 会場の中央には各チームのスコアが表示されています。参加者のホームページに対するヘルスチェックが常に行われており、ホームページの稼働率に応じてスコアが計上されていく仕組みとなっているようです。参加者はホームページの稼働率を維持しつつ、発生するさまざまなセキュリティインシデントに対応していました。

スコアの写真

 今回のMINI Hardening Projectで発生したシナリオを少しだけ解説します。参加者の環境に対して、以下のような事象が発生しました。

  • ホームページに使われていたCMSの管理ページのパスワードが弱く、侵入された
  • ホームページに埋め込まれたバックドアを悪用されてサーバーを不正操作された
  • バックドアのプロセス名が、通常の環境でよく使いそうな名前になっており、発見が難しくなっていた

 これらの攻撃に使用された脆弱性は、現実の不正アクセスにもよく使われるものであり、日常の情報収集が重要であることが体験できます。

 Hardening ProjectとMINI Hardening Projectに共通することは、「いかにビジネスを継続するかがポイント」になっていることです。他のチームを攻撃しないことや一般的な法令の順守が求められることが、CTF(Capture The Flag)との大きな違いです。

 Hardening Projectではkuromame6が攻撃を行いますが、MINI Hardening Projectでは謎の「ASBKR4」という集団が攻撃を行っていたようです。これまでのHardening Projectで攻撃される側だったときには見られない、いい笑顔の写真を撮ることができました。MINI Hardening Projectが終わるまで酒を断っていたことも関係しているのは間違いありません。

嬉々として攻撃するunkn0wnbitさん(左)、Hardening Projectからの甘〜い差し入れ(右)

 3時間の競技が終了した後、Hardening Projectからの差し入れが配られました。スイーツの帝王、上野宣さんもオススメする「紀の善」の「抹茶ババロア」と「いちごあんみつ」です。競技で疲れた参加者の脳を癒したはずです。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。