実務で担当するまでに独学した、攻撃者視点のセキュリティ

こんにちは、GMO Flatt Security セキュリティエンジニアの @k1rnt です。
現在私は、業務として手動脆弱性診断を担当しています。

今回の記事では、私がサイバーセキュリティに興味を持った後にGMO Flatt Securityに入社するまでに行った独学の内容と、入社してからの独学でのコンテンツと実務での違い、また弊社の制度の一つである資格支援制度について紹介します。

独学コンテンツ

サイバーセキュリティに興味を持った

元々ソフトウェアエンジニアとして働いていた私ですが、学生の頃から攻撃者目線でのサイバーセキュリティの分野に強く関心があり、ある日X(旧Twitter)にてコミュニティの募集を見かけ、参加しました。

セキュリティの基礎知識は学生時代にCTFやAndroidの解析、PC弄りによって少し持っていたものの、具体的に何から始めれば良いのかはよく分かっていませんでした。まだこの頃はOSCP凄そうというイメージしか持っていない状態です。

そこでコミュニティの人に聞いたところ、TryHackMeというサービスを教えてもらいました。

TryHackMe を始めた

TryHackMeとは、幅広くサイバーセキュリティに関するトレーニングをする事が出来るプラットフォームです。テキストに沿って問題を解いたり、実際に脆弱な環境を使用しつつテキストに沿って脆弱な環境を攻略したりします。

TryHackMeには非常に大量の"Room"と呼ばれるトレーニングがあります。その中で何から始めるのが良いかコミュニティで聞いてみた結果、LinuxとWindowsにおける権限昇格が楽しそうという結論に至り、下記2つのRoomからトレーニングを開始していきました。

Linux PrivEsc

Windows PrivEsc

この2つのRoomを終えた頃には、完全に攻撃者目線でのサイバーセキュリティにハマり込んでいました。

その後もActive DirectoryのRoomや様々なツールを覚えるためにかなり網羅的にRoomにチャレンジし、基礎的な侵入のスキルを身につけました。

Hack The Box やりこみ期

TryHackMeで身につけたスキルを実践したいと思っていた時に見つけたのがProving Grounds Playと、Hack The Boxというプラットフォームでした。

最初に見つけたProving Grounds Playは、先に軽く触れたOSCPの資格を提供しているOffSecが提供しています。脆弱なマシンに侵入して権限昇格まで行いFLAGを取得するプラットフォームです。少し触ったものの、無料の範囲では1日3時間までしか遊べないという制約がついたものでした。そのためあまりトレーニングには向かず、ほぼ同様のサービスが無限に遊べるHack The Boxをやり込むことにしました。

Hack The Boxとは、TryHackMeと同様にサイバーセキュリティに関するトレーニングをする事が出来るプラットフォームです。しかし、大きな違いとしてHack The Boxはトレーニングコンテンツという雰囲気ではなく、むしろ脆弱なマシンを自分で選び、そのマシンのIPアドレスからUser権限と管理者権限を取得してFLAGを取得する事にフォーカスしています。

IPアドレスから管理者権限の取得までの過程が非常に楽しく、毎日寝る時間を削ってまで沢山遊び、攻略を進めました。当時、無料で遊べる範囲は攻略方法が公開されていないActive Machineと呼ばれるものだけだったので、答えが無い中過去のマシンではどのように攻略されていたのかをインターネットの隅まで探したり、他にも攻略対象に関する知識が足りない場合は先に紹介したTryHackMeで侵入方法を探したりと夢中になっていました。

既に課金をしないと遊べないRetired Machineになっていますが、私が一番最初に攻略したMachineはPreciousというLinuxのEasy難易度のものです。
Hack The Boxのアカウントを作成しVIPに契約する事で、下記のリンクから遊べます。

Hack The Box

ネタバレになるためあまり詳細には書きませんが、このマシンではCVEが発行されている脆弱性を使用してReverse Shellを張り、そこから別のユーザーへ横移動、横移動したユーザーからroot権限まで権限昇格を行うといったマシンです。

このマシンを通してHack The Boxを私でも攻略出来るといった自信がつきそれから約1ヶ月睡眠時間を削り毎日何時間もHack The Boxをやり込み、Pro Hackerというランクまで到達します。

HTBに登録して約1ヶ月やり込んでPro Hackerまで上げた pic.twitter.com/89Zx1eYyzm

— てぃー (@k1rnt) May 10, 2023

ここまでやり込んだ段階で侵入と権限昇格についてはかなりの自信が付き、実際に攻撃者目線でのサイバーセキュリティに関する仕事をしてみたいなという気持ちになり、前職への転職のきっかけになりました。

前職ではWeb Securityに関するR&D業務を行っていました。これが私の攻撃者目線でのサイバーセキュリティとしての最初のキャリアになります。

Web Security Academy やりこみ期

Web Securityに関する網羅的な知識を身につけるために、前職で推奨されていたWeb Security Academyを始めました。BurpSuiteの開発元でもあるPortSwiggerが提供しています。

ここでは脆弱性ごとにその脆弱性のテキストベースでの概要の説明や攻撃手法を学べます。また、Labと呼ばれる脆弱な環境で実際にシナリオをクリアする事で体系的に学べるプラットフォームも存在します。

このLabはやり込み要素がとても深く、かつとてもボリュームのあるコンテンツなのでWeb Securityを本格的にやりたいといった方にはとてもおすすめのプラットフォームになります。しかし、HackTheBoxのようにマシンへの本格的な侵入や横展開、権限昇格といったコンテンツでは無いため、それぞれを有効活用する事で両プラットフォームでの理解が深まると思います。

このLabでは3つのLevelが存在し、簡単な順にApprentice、Practitioner、Expertと存在します。Expertレベルになると腕のあるセキュリティエンジニアにとっても難しいコンテンツとなり、しっかりとした調査をするかヒントや答えを確認しないと解く事が難しいものになります。

ここで学べる脆弱性の種類はHackTheBoxをある程度やりこんでいた状態では全部知っているだろうと思っていたのですが、実際には私の知らない脆弱性が複数ありとても勉強になりました。あまり分かっていなかった脆弱性の中で理解が深まったものは下記の3点になります。

• HTTP request smuggling

• Race conditions

• NoSQL injection

この中でHTTP request smugglingに関しては名前も知らなかったので、とても勉強になり実際のLabを使用することで理解が深まりました。過去にGMO Flatt Securityでも公開勉強会という企画のネタにもなっていました。

また、Web Security AcademyのPractitionerレベルまでのマシンを攻略する事で、PortSwiggerの提供するBurp Suite Certified Practitioner(BSCP)と呼ばれるWeb Securityの試験を$99で受講可能になります。Labをある程度攻略ができ、自信がついた段階で受講してみても良いかもしれません。

BSCPには模擬試験の環境が二つ存在し、実際の試験と同じ形式の半分の量を体験することができます。私は当初、BSCPの資格取得を目指していましたが、模擬試験に連続で合格することができたのでその段階で資格取得へのモチベーションが下がり取得はしていません。

GMO Flatt Security 入社後

前職である程度Web Securityの脆弱性に関するリサーチ業務を行なっていくうちに、ここで得た知見を実際に診断で使ってみたいと思うようになりました。そこで転職を検討し始め、GMO Flatt Securityが定期的に開催しているmini CTF等のイベントに参加していたこともあり、最終的にGMO Flatt Securityに入社することになりました。

専門技術を実際に顧客向けに提供する企業に入社し、これまでに紹介したコンテンツが役に立ったのか、また今後どのような学習をしていくのか紹介します。

独学コンテンツと実際の案件の違い

実際にGMO Flatt Securityに入社後、何件かWebアプリケーションの脆弱性診断に参加しました。結論として自分で勉強した内容はとても役に立っており、特にWeb Security Academyのコンテンツで学んだ攻撃手法は、実際の診断でも有効で脆弱性の検出ができています。

現状では私はシステムの侵入などは行っていないので、HackTheBoxなどで得た知識はあまり使っていないかなといった印象はありますが、HackTheBoxを解く中で養われた攻撃者目線の勘は、かなり役に立っています。

まだ参加した案件はあまり多くありませんが、個人的な肌感としてどのような脆弱性が多く見つかっているかもTOP3で紹介します。

1. 認証・認可の不備

2. XSS

3. ライブラリ起因の脆弱性

GMO Flatt SecurityとしてBtoB SaaSを対象に統計をとったものもあるのですが、そちらでも認証・認可の不備やXSSが上位にランクインしています。

「BtoB SaaSに多く発見された脆弱性Top10」を集計しました - GMO Flatt Security Blog

資格取得支援を使用してOSWEへ挑戦中

私が今後挑戦する勉強としてOffSecが提供するOSWE資格取得に向けて現在トレーニング中です。この資格では、ホワイトボックス形式でのWeb Applicationに対するペンテストを行い、最終的にはReverse Shellを張り侵入するまでの過程をPoCとして提出することが求められます。

こちらの資格についての詳細は私がOSWEに合格することができれば、また詳細に記事を書く予定ですので、また読んでいただけると幸いです。

また、今回この資格とトレーニングを受講するにあたり、GMO Flatt Securityでは資格取得支援制度があり、全額費用を補助して頂き、尚且つ1日2時間までトレーニングを業務時間で行わせて頂いております。

こうした制度について詳細にお聞きしたい方は、ぜひ採用サイトからカジュアル面談へお申し込みください！

おわりに

今回の記事では私が攻撃者目線でのサイバーセキュリティに関心を持ってからどのような勉強を行い知識をつけて、GMO Flatt Securityに入社するまでを記載しました！近年学生の方でもサイバーセキュリティに対する関心が高くなってきているなと感じるので、この記事が参考になれば幸いです。

弊社ではセキュリティエンジニアを積極募集しています。ぜひ、技術力を高められる環境に身を置いてみませんか？

弊社に興味を持ってくださったセキュリティエンジニアの方は採用情報ページをぜひご覧ください。カジュアル面談も大歓迎です！まずは説明を聞いてみたい、というだけでもお気軽にお申し込みください。

採用情報｜Flatt Security - GMO Flatt Security株式会社

カジュアル面談フォーム
https://docs.google.com/forms/d/e/1FAIpQLSer6NxiQSAxmMpPYnHjzcxWYCxaV41c_j-HtKW_YKmK5cZYiQ/viewform

また、中途採用だけではなく26卒セキュリティエンジニアも積極募集中です。業務内容や求める人物像など気になる方はぜひ新卒採用情報ページ・カジュアル面談をご活用ください！

新卒採用｜Flatt Security - GMO Flatt Security株式会社

では、ここまでお読みいただきありがとうございました！