mh4yの参加記録

 

mh4yとは

Micro Hardening は「衛る技術の価値を最大化することを目指す」プロジェクトであるHardening Projectから生まれたサブプロジェクトです。「セキュアなハードニングをカジュアルに競技形式で学ぶ勉強会」であるMINI Hardening Projectよりもさらにカジュアルに「ゲーム感覚で」サイバー攻撃に対処する能力を磨くことを目指しています。

Micro Hardeningでは、参加者は45分という限られた時間のなかで、提供されたECサイトに対する様々なサイバー攻撃に対処することが求められます。参加者は用意されたECサイトにログインし、スタートコマンドを実行することで、ゲームの開始を任意のタイミングで行うことが可能です。スタートコマンドが実行されると、ECサイトに対して買い物を行うクローラが動き出します。このクローラがECサイトで購入した金額が参加者の得点となり、ECサイトを安定稼働させることが高得点につながります。クローラが動作する裏側では自動的に多数のサイバー攻撃も行われ、ECサイトの安定稼働を妨害します。参加者は次々と発生するサイバー攻撃を防御し、停止したECサイトを復旧することで売上を稼ぎ、さらに防いだ攻撃に応じたボーナス得点(追加のクローリング)を得ることができます。Micro Hardeningの評価は単純に稼いだ得点のみを対象としています。

Micro Hardeningのゲームは45分を1セットとし、複数セット(最低3回以上)繰り返すことを想定しています。毎回、同じタイミングで同じ攻撃が発生するように設定しています。Micro Hardeningは報告書作成や、攻撃手法や防御方法の解説の時間を組み込まない代わりに、毎回少しずつ攻撃の状況を観測し、対処する方法を試すことで、エンジニアとしての能力向上が実現できることを目指しています。理想的にはシューティングゲームのように、敵の攻撃のパターンを覚えることで高得点を稼ぐことができるシステムにしたいと願っています。

(引用、https://microhardening.connpass.com/ より)

はじめに

11月16日に道警本部で行われたmh4y(Micro Hardening)に参加してきました。バタバタしていたのでこの記事を書くまでに何日か経ってしまっていますが、まだ記憶とか諸々が残っているうちにブログ開設して書いてしまおうと思います。

あ、会場内外の写真とか特に撮ってきてないので殺風景な文面が続くと思います。ごめんなさい。

 

まず最初に今回の感想から。一言で言うとめっちゃ悔しかったです。

多分参加者ほとんどの人がそう思ってると思います。これ威張って言えることじゃないんですけどあの中で一番か二番目に悔しかった自信があります。(悔しかった自信って何…)

 

早速内容についてネタバレしない程度で触れていきます。

 

事前

今回のイベントには事前勉強会がありました。僕は札幌開催の事前勉強会に参加したのですが、まあこの段階で既にボコボコにされたわけですね。

本番と同じように4人1組を組んで当日を想定した簡単な攻撃が行われたわけですが、あと3歩(体感)足りませんでした。その日は友人と泣きながら帰ることに…。

 

その後は本番までの間にチーム分けが発表され、あわよくばリーダーをやってみたかった僕の野望は見事打ち砕かれました。まとめ役苦手なので混乱させずに済んでよかったです。今回旗振り役をやってくれた方、ありがとうございました。

チーム名もサクっと決まり、(卍黒龍卍とかセキュm@sとか出た気がするけど)当日を無事迎えました。

午前

午前はまず川口さん(今回の講師の方)の講義や協賛企業の紹介、激励の言葉でした。

正直な話今回参加した理由が川口さんが来ると小耳に挟んだからなんですよね。かなり有名な方だと聞いたので、「すごい良い機会だなあ神様ありがとうございます。」と祈りながら会場へ足を運んだわけです。

実際活動歴や院生時代の話、面白かったです。やっぱり有名になれる人ってそれ相応の行動力があるわけで…というのを再実感しました。

お昼ご飯を提供していただきました。とても美味しかったです。レッドブルとお茶で少し迷いましたが、お茶に。あと唐揚げでかい。ありがとうございました。

昼はチームメンバー同士で普段の学校での云々とかやってることとかを話しながらいよいよ午後の本番に向けて作戦会議をしたりしてました。

午後

いよいよ本番です。冒頭で引用したように、45分間の攻撃スケジュールが3回繰り返されます。その中で1回目よりも2回目…2回目よりも3回目とスコア(売上)や防御点を伸ばしていくわけですが…。ネタバレ厳禁ですので下記に僕がしたことをふわっと書こうと思います。

やったこと

1回目:まずログやらなんやらを開きました。ホームページ巡回やディレクトリ巡回は任せて僕はログ関係をやってました。2窓じゃ全然たりないですね。やっぱりデスクトップ持ってきてデュアルディスプレイかな…。

2回目:1回目で得たヒントを元に事前に色々設定(ふわっとしすぎですいません)したり、あたりをつけて操作をお願いしたりしました。あと僕は2回目から〇〇分時点で〇〇が起きるみたいなメモを取ればいいことに気付いて実践してました。

3回目:1回目と同様、2回目で新たに気づいたこととかを設定お願いしたりしてました。僕は再びログを見ながら、他の部分の作業確認とか2回目のうちにまとめておいた〇〇分時点で〇〇起きるよ~ってのを事務連絡したりなどなど…

結果

f:id:ohy_s:20191120001120p:plain

僕達はチーム8(セキュコネ)なので全体7位ですね。スコアをうまく伸ばせなかったのですが防御点は全体1位のクレラップさんと同点でトップでした。

こう見ると僕たちはなんだかんだ毎回スコアと防御点伸ばしているのでうまいこと防衛は出来たのかなと思います。(よくわからないまま防いでたものもありそうですが…)

 

ですが、やっぱりめっちゃ悔しい。やっぱりこれですね。

実際にどんな攻撃があったか最後に答え合わせがあったのですが、攻撃自体は聞いたことあるもので…ああ、こうやって来るんだなと、悔しくはあるのですが知識として入ってたものと実際に見たものが結びつくこの瞬間がたまらなく楽しかったりするものなんですよね。

 

以下反省点。

1回目の序盤はやろうと思って頭に入っていたのにいつの間にか忘れてしまってたこととか、ドンピシャでそこ突かれて攻撃通されたりしていたので…。せっかくグループウェア用意してもらえてたんだからそれを使いなさいと。自分自身への戒めです。

ただ、グループウェアを思い出せなかったのはマイナスなんですけど、途中で〇〇時点で〇〇が起きるってメモを取ることに気付いたのは褒めたいですね。

あとはそれ+αで想定される対策をメモっておいて次の周回に活かすってことが出来ればもう少し伸びたのかな~と。

 

 同じチームの方々はとても楽しい方々でした。僕が普段のノリで冗談めいたこととか言っちゃっても笑ってくれたので楽しかったです。また縁があれば一緒に戦いましょう。

まとめ

まず今回のMicro Hardening大会ですが、セキュリティに興味を持ち始めてる人にとっても、僕のような知識としては入ってるけど…みたいな人にとってはかなり入りやすいものでしたね。

やっぱりこういう勉強会は学びを得て帰れるのも良いですが、色んな人と出会えるのが楽しいです。

僕は今はセキュリティに絞って勉強しているのですが、周りの参加者は普段は開発関係の勉強をしてたり…別のイベントでしたが中にはサーバー立てて動かしてる人もいるので、自分のやってることがちっぽけに感じたりします。実際そうなんだと思いますが…

なんでもかんでもやるのが良いとは思わないので、まずは自分が出来ることから、今回の参加経験も絶対役に立つのでこの気持ちを忘れないように勉強に一層励みたいと思います。

最後に

てことで、Hardeningの本大会に参加申し込みしてきました。

正直Microでこれだったのでかなりボコボコにされることが予想できますが、今回の反省点も取り込みつつ、自分の出来ることを増やして備えたいと思います。

あと沖縄までの💰もなんとかしないとですね…一応両親には行きたいとの旨を話して了承を貰えたのですがはたしてどうなることやら…。