プロトソリューション エンジニアブログ

プロトソリューションで開発しているWebサイト、iPhone、Androidアプリの開発情報などを発信していきます

Hardening 100 Weakest Linkに競技者として参加して来ました!!!

こんにちは。DBAのYODAです。
普段はOracleのDatabase運用保守を担当しています。

今回は、Databaseからは少しそれてしまうのですが、
2016年11月1日、11月2日に沖縄コンベンションセンターで開催されたHardening 100 Weakest LinkにTEAM10の月島(仮名ですw)として、参加してきましたのでそのレポートをさせて頂きます。
f:id:pdcokinawa:20161101091820j:plain

まずはじめに、お礼

このような楽しくて素晴らしい競技大会に参加させていただき、ありがとうございました。
開催していただいた主催のWASForumの皆様を始め、
共済、後援、協力会社の皆様、競技参加者の皆様、そして同じチームメンバーにこの場を借りてお礼申し上げます。

今、話題の競技Hardeningとは・・・?

簡単に言うと、セキュリティ技術を競技形式で学ぶイベントです。
競技用に構築されたECサイトを様々な脆弱性攻撃を運営側から受けながら、ECサイトの売上を競う競技イベントとなっています。
環境は、StarBED 上に外部のインターネットからは閉じられた場所に構築されています。
イベントは2日間。1日目のHardening Dayで競技を行います。2日目はSoftening Dayと呼ばれていて1日目の振り返りと解説を行います。

応募からイベント前日までの流れ

  • 8月中旬募集開始
  • 9/24締め切りギリギリにメールで応募
    • 正直に言うと、1分過ぎてたのですが何とか受付して頂いて、見事参加OKの連絡を頂きました。
  • 9/28頃チームメンバー(6名)でSlack立ち上げ
    • コニュニケーションは主にSlackで情報共有。みんな初めまして同士なので、手探り状態で役割(アプリ、インフラ等)を決定。
    • 参加者のしおりを見ながら、当日の持ち物(スイッチハブ、電源ケーブル等)確認。
  • 10/31 競技前日
    • 県外組、沖縄入り。運営側から競技資料がこの前日に配付されたので、居酒屋で作戦会議。

Hardening Day(1日目)

  • 10:00競技スタート
    • 初動作業は、私は買い物担当でしたので、お得な情報を共有してくれるサービスを購入。
    • その後も技術的な貢献はあまりできず、主に買い物を担当していました。。
    • 他の初動作業では、パスワード変更やFW設定変更、競技用顧客向けメール対応を実施。
  • 買い物サイトが閲覧不可
    • FWで買い物サイトを遮断していたことが原因だったようです。
    • 原因がわからず、運営側(kuromame6)にメールで原因教えてくれ〜と連絡してしまい・・kuromame6から『自分達で解決して』と口頭で注意されるというヘマをやらかしてしまいました。kuromame6さんごめんなさい!
  • WEBページ改ざん
    • ECサイトの公開ディレクトリのパーミッションが変更され、WEBサイトが表示できない状態にw
  • ランサムウェアでECサイトが暗号化され閲覧不可
    • 事前に取得したバックアップから復旧。
    • メールに添付されていたPDFファイルを開いてしまった事が原因。
  • 情報漏洩の疑いで記者会見をやることに・・・ (゚A゚;)
    • 実際に情報漏洩されてたのか、されてないのか分からない状態で、あと30分後に記者会見やってよ、という連絡があり。
    • 当然30分では何も調査することができず、記者会元では結局情報漏えいしたの?してないの?と詰められる事に..汗
    • リーダーのおかげで記者会見を乗り切る事ができました。リーダーに感謝感謝です。
    • 後から聞いた話だと、この時点で私のTEAMは売り上げが1位だったので、記者会見のターゲットにされたそうです...orz

Softening Day(2日目)

YouTubeに公開されてます。
Hardening 100 Weakest Link - Softening Day - YouTube
競技後の各チームの振り返りと、運用側(kuromame6)の解説。
そして、最後はお待ちかねの表彰です。
私のTEAM10はなんと『グランプリ』を頂きました!!!
チームメンバーの皆様のおかげでございます。本当にありがとうございました。

所感

Hardeningの評価は、技術点だけではなく、顧客対応であるメール報告やECサイトの売り上げが評価ポイントとなります。
如何にECサイトを停止させずに、売り上げを上げつづ顧客対応を行うかという総合競技になっていて、現実世界の業務にとても近い内容となっています。

このイベントの最大の魅力は、普段は関われない他社さんやメーカー、ベンダーとイベント内容を通じて、情報交換やコラボレーションが体験が出来るという点だと思います。
私は、セキュリティ分野は専門ではなく、技術的に貢献できず、悔しい思いばかりしておりますが、参加することで得るものは多くあると感じています。ECサイトが攻撃され続けるという現実世界では味わえない体験をこの競技で体験できて、とても良い刺激になりました。

次回に活かしたい事

  • 競技資料は印刷すべし
    • 接続情報やネットワーク図のページは必要。PC画面でその都度確認するのは手間w
  • 競技中、画面のハードコピー取得すべし
    • 2日目の資料作成に使いやすい
  • 席を立つ際は、スクリーンロックを行う
    • 物理的にPCを乗っ取られる可能性があるためw

QAB 琉球朝日放送 報道制作部 ニュースより <ハッカーから情報守るハードニングプロジェクトとは>

早速、放送の一部を、動画で公開していただきました。
http://www.qab.co.jp/news/2016110484925.html


最後に、お世話になった主催、共催、後援、特別協賛、協賛・協力の皆様をwasforumのサイトから転記いたします。
Hardening Project 2017 | Web Application Security Forum - WASForum

主催

Web Application Security Forum Hardening Project実行委員会