202310近況

近況と銘打った下書きが3つくらい溜まっているがそれは放置して新たに書き始める。時間がないので思いつくさま書いていく。

 

某外資企業に転職してきて2年以上経つが、その間にお給料がだいぶ伸びて年収1000万円はとうに超えた。
給料とは別に数年先まで謎の分割ボーナスを受け取れるがそれも何百万円か。やったぜ。(全部受け取る前に辞めそうだけど)

今までの会社もそうだったが、自分は普通に仕事をしているだけのつもりで、むしろ年々手際が良くなった分だけNon-Billableなタスクをﾋｨﾋｨ言いながらこなしているくらいなのに、なぜか評価してもらえている。ありがたい話だ。

 

転職はどんどんした方がいいと思っている。給料を上げる一番手っ取り早い方法だ。
きちんと評価して実績を還元してくれる会社に巡り合えたらそこで頑張ればいい。

新卒で入社した会社の同期の半数は、未だにその小さな会社にいる。彼らは自分以上に優秀なのに、勿体ない。
そういう人はきっと何万人も何十万人もいるのだろう。勿体ない。

今の会社ではとにかく文字通り侵入することに懸命であり、気付けばとある分野で一番詳しくなっていた。
好きこそものの上手なれ。名立たる有名企業のオフィスやデータセンターも、ポイントを押さえてしまえば大体なんとかなる。必要なのは知識と経験、工夫と努力と胆力だ。

日本ではニッチな分野だし、これを専門に起業したいくらいだが、今ほど稼げるだけの需要はなさそうに思える。
治安がぶっちぎりで良いというのも影響しているのだろうが、日本はここでも遅れている。

とにかく、もう少しだけ今の会社でレベルアップしよう。

 

車の免許を取った。まさか自分が車を運転することになるとは。 それが嫌で地元を離れたのに。
子供がいると仕方ない。どうしても車があった方が圧倒的に便利だ。

 

新卒で入社した会社でお世話になった方に、何年か振りに近況報告のメールを送った。
もうそのメールアドレスは使われておらず、メールがその方に届くことはなかった。
まぁezwebのドメインだもんな、仕方ない。
こうして縁がひとつ消え、おれの交友関係がさらに狭まるのであった。

セキュリティ業界について。

ITまわりのトレンドは、自動運転やらAIやら目まぐるしく変化していくが、セキュリティの問題は常についてまわる。
なので食いっぱぐれのない業界ではあり、新卒でセキュリティ関連業務にあたる人も増えているように感じられ、おそらく今後も拡大していくものと考えている。
求人の数や給与水準も上がっているように見える。

でも、この業界でキャリアアップするにはセキュリティの何かが好きじゃなければ厳しいと思う。
マルウェア解析でもExploit開発でも、フィッシングでもCTFでもインシデントレスポンスでも何でもいい。
好きじゃないとアップデートできなくなる。ライフステージが変わって自分の時間がなくなると特に。

大きな声ではいえないが、自分はもともと少し頭のねじの緩い人種で、子供の頃は探偵やハッカーみたいなものになんとなく憧れていた。
通学中に拾った手帳に載っていた電話番号に電話をかけて、うまく相手の名前を聞き出したのは中学生の頃だ。
なんとも幼稚ではあるが、そういう傾向は今でも残っていて、それが今の仕事の原動力になっているのだと思う。

例えばMr.Robotを観て、主人公のような生き方や仕事に本気で憧れるなら、この業界でやっていく素地があるように思う。

業界にどんな会社や仕事があるのか、どうステップアップしていけばいいか、少しはアドバイスできるかも。
(防御側はよく知らないけど。コンサルや所謂ハッキングをする攻撃系なら多少はわかる。)

こういう相談とかトレーニングとかやるオンライン教室の方が侵入しまくるビジネスより需要あるかもなー・・・。

OSWEについて

OSWE(Offensive Security Web Expert)試験に合格しました。

この試験は、簡単にいうと

• 2つのWebアプリケーションそれぞれに対して
• 「認証バイパス」と
• 「遠隔コード実行」の両方を実現し、
• それらを1つの攻撃コードとして実行可能なプログラム(orスクリプト)を作り
• 脆弱性と攻撃コードの詳細なレポートを提出する(全部英語)

というもの。
テストは約48時間、レポート提出まで更に24時間、合計約72時間という制限時間がある。

AWAE(Advanced Web Attacks and Exploitation)というトレーニングと試験はセットになっている。
トレーニングは60日か90日かを選択できる。試験はトレーニング後120日以内だかに受けなければならない。

詳細はこちら↓
https://www.offensive-security.com/awae-oswe/

これでまた少し自信ついたな。
当面はこういうトレーニングは受けられないけど、スキルアップに繋がるからまた別のものを受けたい。

Hackmeすごい

Hackmeという、株式会社ネットファイアさんが公開しているWebサイト。

Webサイトのハッキングをゲーム感覚で体験できる非常に優れたもので、そういった類のWebサイトの中では日本だと最も古く有名なのではないかと思います。

自分は2013年と2016年にその攻略記事を書いていました。
それがいつの間にやらまとめサイトに載せられていたからか、2021年の今でも、結構アクセスがあるのです。

 

そんな昔のチャレンジサイトの攻略情報を求めている人がこんなにもいるのか。攻略記事へのアクセス数を見る度にそう思う。

だって2013年の時点で「Hackmeって結構前からあるよなー」って思ってたくらいだぞ。
それだけ面白い、良いサイトということだろうか。

ハッキングというのは大きな言葉で、サイバーセキュリティの攻撃系の技術分野は多岐に渡る。
(Web、ネットワーク、アプリケーション、カーネル、プロトコル...etc)

もしHackmeでサイバーセキュリティに興味を持ってもらえたなら、自分がどんな分野に興味があるのか、一度ゆっくり考えてみるといいかもしれない。

もちろん、攻撃系ではなく防御系(SOC, CSIRT, フォレンジック...etc)でもいい。

 

とにかくこの分野は広すぎて、すべてを極めるのは無理だ。
なので、自分に合った方向性にあたりをつけて、とりあえず手を動かしてみることをお勧めする。

OSCP受験メモ

白状すると8月に1回落ちました。
自分史上、本気で準備して不合格だった試験は初めてで、超へこみました。
というか「これ落ちるかも…？」と試験終盤に頭をよぎった時からへこんでました。
でも案外、試験後に寝て起きたらすっかり回復してました。

9月に自費で再受験してようやく合格。
嬉しさもあるけど、それより「もう受けなくてもいいんだ」という安堵感の方がよっぽど強い。

OSCPがハードな試験なのは間違いない。
技術的スキルも必要だが、それよりも精神力が重要な試験だ。
つまり、OSCP受験を通して、自分は技術的にも精神的にも成長したと言える。

思うさまメモする。

準備

過去の投稿でも書いている通り、ガイドを読了した後、残る休暇3週間はほぼ1日1台のペースでラボマシンを攻略していた。
難しいやつでも簡単なやつでも、とにかく目標は1日1台。

30分で終わることもあれば17時間かかることもあったが、とにかく毎日新しい挑戦をする。
使ったことのない攻撃手法やツール、名前も知らなかったサービス、ニッチな脆弱性攻撃。
ターゲットを攻略していくことで少しずつ自信を積み重ねていく。

実際、この期間で合格に必要な技術的スキルはほぼ身に着いていたと思う。

休暇が明け、7月1日に仕事に復帰すると、さすがにペースを保つのがきつくなってきた。
何しろ7月中旬から1か月以上ほぼ間断なく出張なのだ。
現地での仕事に備えてやっておくことも多い。

そういうわけで、7月上旬はBOFを復習。
ガイドを読み、エクササイズをやり直し、『dostackbufferoverflowgood』と『Brainpan』もやった。

7月中旬から7月末にかけて再びラボに戻り、5台ほど攻略。
8月上旬はHTBをいくつかやってみたが、正直あまり面白くなかったのでこれはすぐやめた。

受験(1回目)

会社の都合で8月中に受験しなければならなかったため、3連休で受験。
エナジードリンクを買い込み、お夜食も用意して臨んだ。22時開始。

開始3時間で2台攻略し、35得点。
かなり良いペースだった。

更に6時間後、3台目を攻略。この時点で55得点。
残る15時間で15得点できれば合格。20点のマシンを1台倒せばいい。
少し頭が疲れているがエナジードリンクで誤魔化す。この調子でもう1台攻略してしまおう。
この時はかなり希望を持っていた。

数時間が経過し、一向に糸口が掴めずにいた。
管理者権限どころかinitial shellも取れずにいる。
稼働しているサービスに対し、考えられるあらゆる攻撃を仕掛けた。
しかしいずれも奏功せず。時間だけが過ぎていった。

さらに数時間が経過。まったく進展なし。
何かを見落としているのだろうとは思っていたが、頭が疲れ果てており何も思いつかない。
少し休むべきではないかと思ったが、同じ配点だった3台目に6時間かかったことを考えると、寝てしまっては時間が足りなくなる可能性があった。
焦りが大きくなり、それに比例して「落ちたくない」という心理も強くなっていき、
しかし活路は見出せず、ノイローゼのような精神状態である。
もう1台の方に切り替えようかとも考えたが、行き詰っているマシンよりも配点が高い相手を今から倒せるとも思えず。

結果として、15時間まったく進捗なし。55得点で不合格が確定した。
これが60点ならまぁ、残り24時間でラボレポートとエクササイズレポートを提出すれば10点が加点されて70得点となり、合格ラインに達する可能性はあった。
しかし55点。レポートを作る元気もなく、OSCPの窓口に「レポートは出さない」とメールしてバタンキュー。

こうして1回目の挑戦は終わった…。

反省点

寝なかったこと。それに尽きる。

事前に、「睡眠は重要です」とか「睡眠が奨励されます」とか、そういった内容の受験記はいくつか読んではいた。
しかし睡眠の重要性を過小評価し、自分の体力や気力を過信していた。そんなつもりはなくても、そうだった。
試験後に疲れ果てて眠り、目を覚ました瞬間に4台目の攻略法がわかったと同時に、自分の過ちに気付いた。。

試験機の難易度

どんなマシンが出てくるのか事前にはわからないので、難易度の感じ方は自分の得手不得手に左右されると思う。

自分の感覚だと、ガイドの内容を正しく理解していれば35点(一番簡単なマシンで10点＋BOFマシンで25点)は間違いなく取れる。

20点マシンとBOFじゃない方の25点マシンはラボの多くのマシンより難しく、しかしラボの最難関級のマシンほどではないと感じた。

準備(2回目)

再受験まで4週間空けなければならない決まりだったが、その間は正直ほとんど何もしなかった。
技術的には充分合格ラインだと思っていたし、仕事が忙しかったというのもある。
HTBで1つ2つやってはみた。それだけ。結果には全然寄与しなかったと思う。

受験(2回目)

21時開始。

2時間で2台攻略し、35得点。さらに2時間弱でもう1台攻略し、開始4時間ほどで55得点。
前回を上回るハイペースでかなり順調だったが、前回はここから詰まったんだよなと思い返し、少し緊張した。

その後4時間、4台目の20点マシンに取り組むも進展なし。前回と同じ展開になるかと少し暗い気持ちになるも、前回の反省を活かしてここで仮眠を取ることに。
寝ることで時間が足りなくなったらどうしよう、と思わないでもなかったが同じ轍を踏みたくなかった。
他人には理解し難いかもしれないが、自分が「試験中に寝る」など従来あり得なかったことだ。

6時間睡眠。残り時間は10時間。

2時間ほど4台目に取り組むもやはりまったく進まない。少し焦り始めた。

思い切って5台目に取り組む。
実はここまでの間に使えそうな脆弱性は見つけていて、なんとなく攻略の仮説は立てていたが、決定的なピースが欠けているような状態だった。
3時間ほどかけてinitial shellを取得し、さらに1時間ほどで権限昇格に成功。
この時点で80得点、残り6時間弱。

点数は充分だしレポート用の証跡の確認がしたかったので、4台目は捨てて、他の4台で攻撃手順を再現しながらスクリーンショットやコマンドを集めていった。

2時間ほど残して試験を終了した。

レポート作成

有志が作ったテンプレートを使った。
日本語訳して内容を確認し、いくらか文章と構成を変えた。
内容を細かく作り込むのに案外時間がかかり、10時間ほどかけて45ページ作成。

この時、記載したExploitの証跡に若干の不備があることに気付いた。
(実行結果に影響はないが、レポートとしては美しくないものだった)

とはいえもうVPNは切られているし、証跡を取り直すことはできない。
そのまま決められた手順でレポートをアップロードし、窓口にメール連絡した。

その後

数時間後、レポートを受領した旨の通知が来ていた。
さらに50時間ほどして、合格を知らせる通知が届いた。

全体の振り返り

5月にトレーニングを開始してから合格するまで約4か月。
この間、ペネトレーションテストの方法論を体系的に習得し、効果的な手順で侵入・権限昇格するスキルを得ることができた。
様々なプロトコルやサービス、製品に対する攻撃ベクトルを理解し、OSごとの着眼点を把握できた。

トレーニング期間や試験はハードだったが、おかげで独学より圧倒的に早く成長できた。

ある程度は基礎知識が必要だが、この分野でキャリアを積みたいと考えているあらゆる人におすすめできる良いトレーニング・試験だと思う。

ちょっとお高いけどね。