Zenn
▶️

P3NFEST2024に行ってきた話

2024/02/18に公開
Security
#
bugbounty
#
p3nfest
idea

P3NFEST2024

2024年2月17日に行われた、学生のためのサイバーセキュリティカンファレンス P3NFEST2024に行ってきました。場所はfreee(株)(品川区大崎)で行われ、77人の学生が現地参加しました。
今回のカンファレンスでは遠方者には1万5000円の交通費支給があり、関東圏のみならず北陸や関西からも沢山の学生が参加されていました。(本当にありがとうございます…泣)
仙台からも、自分の他に仙台高専から二人参加されていました!(実は研究の担当教授が一緒)
オンラインでも無料で視聴することができ、約250人が参加登録していました。

セッション中での「情報発信は自分からしないといけない」という言葉が自分に刺さり、今回記事を書くことにしました!
(すべてのセッションのまとめは書けていません💦)

バグハンティングのすすめ(masato kinugawa氏)

バグハンターとして有名なmasato kinugawa氏のご講演。今回、ご講演に至った経緯は、以前kinugawa氏がissuehuntに仕様上の不便な点をFBしたことがきっかけで、代表の横溝さんからご講演の声がかかったとのこと。(資料も公開されています)
 
・僕とbugbounty
大学受験で失敗し、これまで唯一の取り柄だと思っていた勉強に対する挫折を経験。予備校の先生から好きなことをした方がよい、との助言で、情報系の専門学校へ進学。
しかしながら、専門学校の資格取得と就活に特化したカリキュラムに共感できず、不登校、そのまま退学に至った。
 
「もう自分で好きなことをしよう」と自身で勉強を進めるなかでセキュリティに出会った。はせがわようすけさんの記事がきっかけでXSSの魅力に。ご自身では以下の本を何度も読んで勉強を行った。

  1. 教科書にのらないwebアプリケーション
  2. 本当は怖い文字コードの話
  3. JS変態文法最速マスター

以降、専業バグハンターとして活動され、2010年には7000ドルの報奨金を得た。webアプリだけでなくブラウザに対する脆弱性も多く発見した。
そして2016年から現在に至るまで、cure53にてバグハンティングを行っている。入社の経緯は、毎年cure53が主催しているXSSチャレンジで好成績を残されていることが買われ、スカウトされた。入社後も生活スタイルは特に変わっておらず、出社日数によって給与が決まるところが良いと語った。
 
2022年にはpwn2ownでmicorsoft Teamsの脆弱性を見つけ、専属バグハンター時代からの目標の1つを達成した。(資料も公開されています)
 
これまでのご講演をまとめ、「何もできなかったところからバグハンティングが仕事になった」「楽しいが全ての原動力」「バグバウンティが自分の未来を明るくしてくれた」と語った。
 
・bughuntingの面白さ
バグハンティングを無理なく継続できるのは「楽しいの原動力が大きい、バグハンティングは新しい学習の連続であり、能動的に多くのことを学ぶことができる、と語った。kinugawa氏はバグハンティングの面白さを5つ挙げた。

  1. (特にXSSの)パズル的楽しみ
  2. 想定解がない面白さ
  3. 攻撃対象の自由さ
    攻撃に使えるかどうかが重要、使われていない機能でも攻撃にさえ使えればよい
    どこから攻撃できるか、知られざる路地を歩いている感じが楽しい
  4. 分解の楽しみ
    ソースコードを読む面白さ
    ブラックボックスから少しずつ何かが見えてくるワクワク
  5. 悪用を考える楽しみ
    バグの連鎖は現代の黒魔術

そしてご講演の最後に、「楽しむことが第一で良い、後からお金も世界の安全もついてくる」という言葉でセッションを締めくくった。

社会を導く職業としてのセキュリティ(村上瑛美氏)

診断業務や負荷テスト、監査などを中心に行っているshift securityでセキュリティ管理システム開発部門のリーダーである村上氏のご講演。
村上氏が携わるKRAFでは国内セキュリティ企業として初めてBcorp認証を取得。また、”今日の10分セキュリティラジオ”の活動もされている。

  • 価値基準の多様化
    近年、消費者の価値基準の多様化が進んでおり、商品の機能や値段だけでなく、「社会に良い」ことも着目されている。
    それに伴い、企業に求められる役割も変化しており、事業が社会に良い影響を与えるか、社会課題を解決するのかが重要になりつつある。
     
  • いまだに取り残される社会課題
    社会課題が解決されず、取り残されている理由として、下の三つを挙げた。
  1. 社会課題が複雑化している
  2. 莫大なコストがかかる
  3. 会社が利益を生めず継続できない

これからの企業に求めらる役割として
「社会課題の解決に貢献する」×「事業としても成功する」ことが重要である。

  • セキュリティが解決してきた課題と取り残された課題
    これまでセキュリティが取り組んできた課題として以下のものが挙げられる。
  1. ツール
    目的:不審なアクセス攻撃を防止したい
    例:FW、アンチウイルス、IDS、VPN
  2. サービス
    目的:インシデントの予防・発注後の対策をしたい
    例:診断、監視、フォレンジック、コンサルティング、バグバウンティ
  3. 人材採用
    目的:より高度な課題の解決
    例:人材採用、社内育成

これまで、セキュリティは上記のような課題を解決してきたが、「サプライチェーンリスク」は未だ取り残された課題だと村上氏は主張している。

  • サプライチェーンリスク
    サプライチェーンとは「取引先やグループ会社といった利害関係者とのつながり」のことである。
    セキュリティにおけるサプライチェーンリスクとは、例えば以下のようなものがある。
  1. 子会社へ不正アクセス
  2. 親会社へのログイン情報を盗む
  3. 親会社へ不正アクセス、機密情報を盗む
  • サプライチェーンリスクを解消するために
    リスクを解決する為には、サプライチェーン上の全ての企業が脆弱性への対策を行う必要がある。
    具体的な対策法として、すべての関係者が脆弱性を管理し、有事の際のハンドリング体制の確立、責任を明確にすることが重要である。
     
    しかしながら、それらの対策は「人・技術・予算」の面で難しい企業も多い。これを村上氏は「セキュリティの格差問題」ではないか、と問いかけている。
     
  • KRAF
    誰の手にもセキュリティが行き渡る社会にしたい、誰一人取り残されないようにしたいという想いで立ち上げられたのがKRAFである。
    KRAFはこれまでの人・技術不足の問題を「簡単でシンプルに使えるセキュリティ管理システムにする」ことで解決し、予算の問題を「中小企業への無償提供」を行うことで解決した。
     
  • さいごに
    職業選択をするときに「社会課題の解決を判断軸の1つにいれてみてはどうか」と語った。
    村上氏の場合はこれまで、自己成長が重要な職業選択の軸であったが、「一人では解決できない、または解決されていない課題へ取り組むこと」へと働く意味が変わった。

有限な人生の限られた時間を何にささげたいのか、社会課題の解決を判断軸の一つにいれてみてはどうか」と語り、セッションは締めくくられた。

ソフトウェア開発とセキュリティ~デュアルキャリアへの道のり~(米内氏・水谷氏・松岡氏・藤田氏)

ソフトウェア開発やセキュリティとのかかわりが生まれた、深まった瞬間
松岡氏:
ヤフーに入社したが、周りの人がつよつよばかりだった。開発に加えてセキュリティもできる人材になることでユニークな存在になろうとした。
これから発展していきそう、盛り上がりそうな分野に首を突っ込むことも重要。

水谷氏:
大学一年生の時からセキュリティの需要を確信したので、開発からではなくセキュリティから入った。しかしながら、開発を行っていないとセキュリティは出来ないと感じ、最近ではソフトウェア開発にも注力。

米内氏:
ブラッディマンデイからセキュリティに入った。松岡氏・水谷氏とは違い、楽しそう・面白そうからセキュリティの道へ。

開発とセキュリティ両立のために乗り越えてきた壁
水谷氏:
自身が開発をすることでその壁を乗り越えてきた。売上がたたないとセキュリティをやる意味がなく、開発・セキュリティ両方をすることで議論の落としどころが分かるようになる。

松岡氏:
セキュリティだけではなく開発の知見も必要。また、まったく知見がない人に対しても具体例を交えながら会話できるようになることで壁を乗り越えることが出来る。

米内氏:
何が出来たら・作れれば何が嬉しいのか?を考えながら共通言語を作る必要がある。特にflatt securityはプロダクトセキュリティの会社なので、この共通言語を作り上げることは非常に重要。

藤田氏:
日経でセキュリティエンジニアとして初めて採用されたのが自分だった。セキュリティタイムズというslackチャンネルで、毎朝セキュリティニュースを配信することで、チャンネル参加人数は130人を超えた。
このチャンネルに入っていれば、セキュリティのニュースの情報収集をできる、といった存在になった。

日々の取り組みや情報収集のバランス
松岡氏:
なかなかまとまった情報収集する時間は取れないので、情報収集の習慣化が必要。
また、自分が先駆者となって発信し、輪を作ることが重要。

水谷氏:
X界隈が騒いでいるニュースをキャッチしている。一般公開されていない情報も沢山あるので、コミュニティに入り、自ら情報発信をすることが大事。

米内氏:
いいネットワークに入ることが重要。いいネットワークに入ることで情報も沢山キャッチすることが出来る。

ソフトウェア・セキュリティ業界に進む人に期待すること
藤田氏:
人と対話する練習、文章を書いて人に発信する練習、長文を書いて長文を読む練習をしてほしい。

米内氏:
根本としていいやつであってほしい。その上に専門性や強みを加えることが出来ればよい。

水谷氏:
セキュリティは一人ではできず、いろいろな協力を得ながら行うので、コミュニケーションなどのソフトスキルが必要。
また、いい人であるべき。セキュリティでは相談を受けることが多い。そのため横で困っている人を助けられる存在になってほしい。

松岡氏:
情熱を持てるものを探すべき。情熱を探すためには、いろいろなものに触れ、興味を持ち、習慣として刺激を受ける必要がある。
とはいえ自分の情熱がなくても、周りの人がハッピーになってくれればそれでよい。

BadTodoを活用した、バグバウンティ入門

今回のカンファレンスでは、4つのハンズオン講座が開かれ、私はIssueHunt株式会社のバグバウンティ入門に参加しました。
やられアプリはBadTodoを使用し、見つけた脆弱性をVDPプラットフォームであるIssueHuntで報告する、といったハンズオン講座でした。
私もインジェクションやXSSなどいくつかの脆弱性を見つけ報告書を書くまでの流れを体験しました。(シェルも取りたかったですが時間内にはできず…)
これからバグバウンティをする際にはIssueHuntも使いたいと思いました!

懇親会

全てのプログラムが終わった後、1時間の懇親会が行われました。お菓子とジュースを食べながら、いろいろな人とまったり話すことができました!
特にCODEBLUE2023で一緒に学生スタッフをした5人にも再会できたのはとても嬉しかったです!(その内1人は自分たちのことをすっかり忘れており、名刺交換してきましたが(笑))

flattの米内さんやとよじゅにさん、翼さんなどをはじめ、沢山の方と話すことができました。また懇親会が終了する5分前、「徳丸先生と写真を撮らねば…!」と思い、無理言って撮ってもらいました!(その後、徳丸先生には長蛇の列が出来ていました(笑))


freeeオフィスツアー

懇親会が終わり、最後にfreeeオフィスツアーに行ってきました。1フロアでも結構な広さなのに、18~21階がfreeeさんのオフィスだそうです( ゚Д゚)
それぞれの会議室に顧客の職種の名前がついていたり、バリアフリーに配慮していたり、グッズ買える商店があったり、昔の展示品があったりとその空間にいるだけでユニバに来ている気分でした(?)。
写真も沢山撮ってください、とのことだったので撮りまくってきました!
(Zennで画像を横並びにする方法が分からず、少し見にくいかもですが……どなたかその方法教えてください)

freee屈指の映えスポット

ロゴの裏はなにかのソースコードらしい(忘れた)

昔のパソコンとか蔵書とかいろいろあった
ダイバーシティに配慮し、スマホでQRコードを読み込むと音声での説明が流れる

駄菓子屋風会議室、会議中にまわりのお菓子を食べれるらしい
毎週アイスが入荷され、雪見だいふくは速攻無くなるらしい

東京タワー近くて夜景めちゃきれい

余談

当日東京に着き、開場まで時間があったので東京駅のmofusandストアに行ってきました!!!!!!!mofusandは猫のキャラクターで、サメのぬいぐるみを被ったり、エビフライになったりとめちゃくちゃ可愛いんです(^▽^)/ ぬいぐるみ2つとハンカチと鏡を買いました(^▽^)/

さいごに

まずは主催のIssueHunt様、スポンサー様、freee様、その他関係者様、このような素晴らしいカンファレンスを開いてくださりありがとうございました!前からずっと楽しみにしていましたが、期待をはるかに超える楽しさでした!対面参加だと色々な人と話すことができ、自分のモチベーションにもつながりました!(n回目)これからも研究・勉強頑張ります!

Discussion