【CODE BLUE 2024】寺田 悠 / Yu Terada - 講演関連資料 / Presentation resources -
●講演概要 / Abstract
[ja] EchidnaTermApp: ペネトレーションテスト支援・学習ツール
Echidnaは、チームや初心者がペネトレーションテストを実施する際の支援を目的として設計されたツールである。ペネトレーションテストを支援または自動化するツールは数多く存在するが、それらを習得するには多くのコマンドや技術の知識が必要であり、初心者がペネトレーションテストを学び、実施するのは困難である。さらに、チームでペネトレーションテストを実施する際には、各メンバーが独立して作業する傾向があり、作業の重複や進捗状況の可視化が難しく、マネージャーや初心者にとっては把握が困難になることがある。
そこで私は、ペネトレーションテストを行う者のターミナルコンソールを可視化して共有し、各状況に応じて次のコマンドを推奨するEchidnaを開発した。Echidnaは、機械に対してクリックだけで攻撃を行うことができるため、学生や初心者でも攻撃手法を学ぶことが可能である。
このツールには2つのバージョンがあり、WebアプリケーションであるEchidnaと、個人利用向けに特化したiPadアプリケーションであるEchidnaTermAppがある。デモセッションでは、使いやすさ、機能性、パフォーマンスが向上した新しいEchidnaTermAppを主に紹介する予定である。
[en] EchidnaTermApp: Penetration Test Assist & Learning Tool
Echidna is a tool designed to support teams or beginners in conducting penetration testing.
While there are many tools available to assist or automate penetration testing, mastering them requires knowledge of numerous commands and techniques, making it challenging for beginners to learn and carry out penetration testing. Furthermore, when conducting penetration tests in a team, each member tends to work independently, which can lead to duplication of work and lack of visibility of progress for managers and beginners.
Therefore, I developed Echidna, which visualizes and shares the terminal console of penetration testers, and recommends the next command based on each situation. Echidna allows us to attack machines with just clicks, making it possible even for students and beginners to learn attack methods.
This tool has two types: the web application Echidna and the iPad application EchidnaTermApp, which is specifically designed for personal use. In the demo session, I will mainly introduce the newly implemented EchidnaTermApp, which features improved usability, functionality, and performance.
●略歴 / Bio
[ja] 寺田 悠
寺田 悠は、富士通ディフェンス&ナショナルセキュリティ株式会社に所属する研究員である。主に新しい攻撃手法やツールの開発、サイバー演習等の業務に従事している。
Black Hat ArsenalやAVTokyo等でスピーカーを務めた経歴を持つ。以前はSOCアナリストとしてインシデント対応やマルウェア解析等に従事していた。
[en] Yu Terada
Yu Terada is a researcher with Fujitsu Defense & National Security Limited. He worked as a SOC Analyst for more than five years. After that, he moved to the current company in 2021, and his research interests are developing a tool for penetration tests. He also engaged in internal red team activity and also some international projects for Cyber Security. He owns a Master's in Computer Science, as well as OSCP, CRTL, CISSP, GIAC, CKS.
●事前インタビュー / Pre-Event Interview
[ja] インタビュー
Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか?
元々SOCやCSIRT等で防御の仕事をしていたのですが、OSCP等を受験するにあたり、少しずつペネトレーションテストや攻撃分野に興味を持ち始めました。
そのときに、攻撃分野を学ぶには多くのコマンドやテクニックを学ぶ必要があり、かなりハードルが高いなと感じました。
特にセキュリティチームに入ったばかりの人だとコマンドとかを入力したこともないケースもあるので、そういう人に向けて攻撃を学習・支援できるツールがあれば良いと思い、今回のようなツールを作ってみました。
Q2 研究の過程でどのような点で苦労しましたか?
User Interfaceに苦労して時間を費やしました。誰でも攻撃技術を学べることをテーマにしているので、UIが良くないと誰も使ってくれません。
そのため、ペネトレーションテストというひたすらコンソールと向き合いになりそうな分野ですが、初心者でも取り組みやすいように攻撃対象を可視化したり、コマンド提案機能を実装してクリックだけで攻撃できたりと、UIの部分にこだわりました。
Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
難しい印象があるペネトレーションテストですが、学生や子供も含めた誰でも攻撃技術を学べること、もしくは学ぶことが楽しいと思えるようなツールを目標に試作してみました。
まだまだ試作段階ですが、ペネトレーションテストに興味のある方、もしくはツール作りに興味がある方に来てもらえると嬉しいです。
[en] Interview
Q1 What led you to making this presentation?
I originally worked in defensive roles within SOCs and CSIRTs, but as I prepared for certifications like OSCP, I gradually became interested in penetration testing and the offensive side of security. At that time, I realized that learning offensive techniques requires mastering numerous commands and techniques, which felt like a high barrier to entry. For those who are new to security teams, there are often cases where they haven’t even input commands before. I thought it would be helpful to create a tool that could support and facilitate learning offensive techniques for such individuals, and that’s why I developed this tool.
Q2 What were some challenges you faced during this research?
I spent a lot of time working on the user interface. Since the theme is making attack techniques accessible to anyone, a poor UI would deter users from engaging with the tool. Although penetration testing typically involves intense console interaction, I focused on making the UI beginner-friendly by visualizing attack targets and implementing a command suggestion feature, allowing users to execute attacks with just a click.
Q3 What message would you like to convey to those considering attending this talk?
Penetration testing often has a challenging image, but I aimed to create a tool that allows anyone, including students and children, to learn and enjoy offensive techniques. Although it’s still in the prototype phase, I would be delighted to welcome anyone interested in penetration testing or tool development to attend.
●講演動画 / Presentation video
●講演スライド / Presentation slide
(Click the image to open the PDF via an external link)
●写真 / Photo
