はじめに

こんにちは。インターン生の原田啓佑です。今回9/4～9/15の期間でエヌ・エフ・ラボラトリーズの「現場受け入れ型インターンシップ」に参加させていただきました。インターンシップの体験記として、取り組んだ内容や感想を紹介いたします。

参加の経緯

私は大学でCyber Threat Intelligenceに関する研究に取り組んでいます。その活動に取り組む中で、エヌ・エフ・ラボラトリーズという会社を知りインターンシップに申し込みを行いました。

参加目的

私はこの機会を活かしセキュリティ人材として成長することを目標にインターンシップに参加しました。特にエヌ・エフ・ラボラトリーズにおいては以下を達成できると考え自身の目的として定めました。

• 高度な技術を提供する会社の中で業務体験をすることで自分を成長させる
  
• 高度なセキュリティ技術を持つ方の普段の取り組みや考え方などを少しでも吸収することで今後も継続的に成長するためのヒントを得る

取り組みの内容

私が担当させていただいた取り組みは学習コンテンツの一部分の作成です。

エヌ・エフ・ラボラトリーズではセキュリティ人材として活躍するための研修を提供しています。その研修の中でセキュリティ教育用プラットフォームを提供しています。このプラットフォームではいくつかのコンテンツが用意されており、シナリオに沿ってフラグ取得を目指すことでペネトレーションテストの学習ができるコンテンツなどが存在します。今回はそのコンテンツ作成の一部分を担当させていただきました。

作成に当たって、大きく以下の3つの作業に取り組みました。

①シナリオで用いるLog4Shellと呼ばれる脆弱性の調査
②調査した脆弱性を含んだウェブアプリケーションの作成
③Ansibleを用いたアプリケーションのデプロイ

①シナリオで用いるLog4Shellと呼ばれる脆弱性の調査

まず脆弱性の仕組みの概要と攻撃の際の動きについての調査を実施しました。Log4Shellの脆弱性についての概要と、Log4Shellを利用した攻撃がどのように行われるかについて調査を行いました。また、将来研修を受ける方に向けて脆弱性と攻撃の動きについての解説資料の作成を行いました。

この業務を通じて脆弱性そのものに対する知識を得られただけでなく、社員の方の調査・検索の方法やその際考慮すべきポイントについてアドバイス頂くなど今後に活かせる知見を学ばせていただけたと感じています。

②調査した脆弱性を含んだウェブアプリケーションの作成

次に調査した内容を踏まえ、脆弱性のあるLog4jのバージョンが含まれているアプリケーションをjavaのフレームワークであるSpring Bootを用いて作成しました。そして、作成したアプリケーションに対し攻撃の流れを試すことにより、リモートで任意のコマンドが実行可能になることを確認しました。アプリケーションに対し攻撃の流れを試してみると想定したように動作しませんでした。そのため調査と試行錯誤に多くの時間を使うなど、今回の2週間で最も苦労した作業であったと思います。
この作業を通じて、文書や図を見るだけではわからないことが存在するため、実際に手を動かし自分で試してみることが重要であるということを教えていただけたと感じています。

③Ansibleを用いたアプリケーションのデプロイ

最後に作成したアプリケーションをもとにAnsible Playbookの作成を行い、AWS上にアプリケーションをデプロイすることを行いました。
予想以上にアプリケーションの作成に時間がかかったため短い時間となりましたが、社員の方のサポートのおかげでデプロイまで完了できました。私はインターン参加前からAnsibleに関して興味はありましたが、実際に触るまでの一歩を踏み出せずにいるという状態でした。今回のインターンシップでその機会をいただけて非常に感謝しています。