NFLabs. エンジニアブログ

セキュリティやソフトウェア開発に関する情報を発信する技術者向けのブログです。

Security Days Spring 2024(東京)に参加しました

SecurityDays セキュリティイベント

はじめに

みなさん、こんにちは。教育ソリューション担当の亀岡です。東京で開催されたSecurity Days Spring 2024のDay3に参加してきました。午後から2時間ほどの参加でしたが、非常に勉強になった楽しいイベントだったので、お話ししたいと思います。f2ff.jp

参加のきっかけ

NFLabs.ではセキュリティ研修を提供しています。私は主にオフェンシブ科目の講師を担当しておりますが、Offensive Securityにより興味を持ってもらったり、ペンテストスキルをもっと向上させるにはどうすればよいかと悩んだことがありました。blog.nflabs.jp
そんな時にストーンビートセキュリティ社の「Hack The Boxで学ぶペネトレーションテスト(実践編)」というオンラインの勉強会に自身の勉強も兼ねて参加したところ、私がOSCPを取得する過程で必要と感じた知識や研修生に持ってもらいたいマインド醸成をうまく盛り込めているなと感じ、勉強になりました。
その後、その勉強会の進め方を参考にしつつ、私自身が必要だと思うことを言語化し、研修生向けに勉強会を実施しました。その甲斐もあってか、今年度はOffensive Securityに興味を持ってくれた研修生が例年より増え、研修生のペンテストスキルの向上に貢献することができました。
今回のイベントでも似たようなセッションが開催されるようでしたので、私が以前感じたことを味わってほしく、今後講師業務に携わるOJT生と一緒に参加いたしました。

イベントの様子

目当てのセッションまでに少し時間があったので、それ以外にも色々なブースを回ってお話しを聴きました。

展示ブース

これまで、それぞれのセキュリティ製品の仕組みや目的などは理解しつつも、商用製品などを勉強するという機会がほぼありませんでしたので、私の業務に近い話以外にも具体的なセキュリティ製品のお話も聞いてみました。どの会社もとても丁寧に説明してくださったり、実際にデモもしていただけたので、研修でセキュリティ製品の紹介をする際により詳細に伝えるイメージを持つことができました。また、各会社それぞれの工夫や特徴をお伺いする中で、最新のセキュリティ動向やニーズを知ることができたり、逆に現状の課題も理解することができました。今後、弊社で新たにセキュリティ製品の導入を検討する際に、この経験を参考にしたいと思います。

セッション

今回のお目当てとして参加したセッションはオープンステージで行われた 「ペネトレ王にオレはなる!管理者権限の奪い方 ~ I GOT ROOTED. YOU ARE MINE. ~」というものでした。ほかのセッションと比べてもかなりキャッチーなタイトルということもあってか椅子が増設されたりと、参加者は多かったと思います。内容は、HackTheBoxのMediumマシンを20分で解説しつつ、初期侵入から権限昇格まで行ってroot権限を奪取するというものでした。具体的な攻略内容に関しては実際に登壇した方が書いたであろうwriteupを参照してみてください。
qiita.com
今回はオフラインイベントということもあるかもしれませんが、オープニングがかなり作りこんでいたり、楽しそうにペンテストを披露したりとOffensive Securityの魅力をうまく伝えているなという印象でした。解説の仕方も実際の検索方法まで説明したり、何かをした際にその結果からわかることを想像させたりと、前回のオンラインイベントと同様に上手でした。ただ用語の説明が少なく、専門知識の少ない参加者は理解できているのかな、と気になりました。しかし、その後自身で調べていただくとより勉強になりますし、実際の会場の様子を思い返すと、皆さんワクワクしながら聞いているようだったので、楽しさを伝えるならこういうのもアリなのだなと参考になりました。最後、少し時間切れとなってしまったことが心残りでしたが、非常に良いセッションでした。

最後に

一緒に参加したOJT生からのコメントも少しだけ記載しておきます。

AWSのコンテナ環境に侵入できた際、そこからホストのシェルを奪取する一例を挙げており、今までそのようなマシンに挑戦したことがなかったので、勉強になりました。また、攻略の流れを説明する際、上手くいく方法だけでなく上手くいかない方法も含めて実演することで、どのような考えで攻撃を行うかということをわかりやすく説明されており、参考にしたいと感じました。これから講師業務に携わっていきますが、どのような考え方が必要かという点を伝えることができるように注意して取り組みたいと思いました。

私が以前の勉強会で得た学びを今回は私自身だけでなく、OJT生にも感じてもらえたかと思いますので、一緒に参加できてよかったです。セッションだけでなく、各ブースでの学びも非常に濃いものになりましたし、何より楽しいイベントでした。参加させていただきありがとうございました。また、今秋にも開催されるとのことなので、気になった方はぜひ参加してみてはいかがでしょうか。

おまけ

帰り際にストーンビートセキュリティ社が実施していた大抽選会で1等景品の「MetaQuest 3」が当たりました。盛大に鐘を鳴らしていただき、近くのブースの方も拍手をしてくださり非常に嬉しかったです。そのおかげもあり、オンラインで見てからお会いしてみたいなと思っていたストーンビートセキュリティ社 代表取締役の佐々木さんや本イベントで登壇していた山口さんとお話しすることができ非常に感激いたしました。皆様ありがとうございました。MetaQuest 3は大切に遊ばせていただこうと思います!