P3NFEST 2024 Summer まとめ
P3NFEST 2024 Summer
8/31に行われたP3NFESTに行ってきました。開催は2回目で会場は今回もフリー(株)で行われました。今回はゴールドスポンサーがSoftBankで、SoftBankのスポンサー公演もあり、第1回とは違った雰囲気を楽しめました!
実践的なバグバウンティ入門(森岡優太氏)
今回もハンズオンが提供され、私は森岡さんのバグバウンティ入門を選択しました。実は数ヶ月前のminicampでも森岡さんが講師だったので、早めの再会でした(?)
バグバウンティの概要からルール、調査方法まで体系的に学ぶことができ、ボリュームがすごかったです。
(資料が公開されていました)
脆弱性に導かれて(にしむねあ氏)
週末バグハンターのにしむねあ氏のご講演。ブラウザの脆弱性を探すのが好きで、firefoxが好きとのこと。報奨金で土地のローンを完済、次の目標は子供の学費とのこと。
継続することの大切さ
・脆弱性探しを始めたきっかけとそれから
きっかけはエンジニアの技術系コミュニティでセキュリティの情報発信をしていたことが買われ、SCの講師に推薦されたこと。しかし、他の講師に比べ自分の実績がないことに悩み、自分に講師が務まるのか葛藤の日々が続いた。
・一件の脆弱性が人生を大きく変える転機に
mozzilaの人からfirefoxブラウザの脆弱性報奨金制度の存在を知り、脆弱性を見つけられなければSCの講師を辞退しようと決意した。ただ、脆弱性を探すのは砂漠の中から一粒のダイヤモンドを見つけるようなもので、脆弱性が見つからないまま半年が過ぎた。しかしながら毎日の新しい発見や感動、先人の攻撃コードを解析する時のワクワクがとても楽しかった。
そんなある日、過去に発見された脆弱性の攻撃コードを試したら、同じ脆弱性を再現できそれが初めての脆弱性になった。偶然見つけた脆弱性だったが、それが大きな自信に繋がった。それ以降、同じ手法を応用することで多くの脆弱性を見つけられるようになった。2015年にはCBに登壇、Wooyunの主催するカンファレンスにも登壇し、記事を書く機会も増えた。
・大切なのは続けること
脆弱性が見つからなくても、どうせ6ヶ月くらい見つからなくても当たり前と考えることも重要。
・脆弱性の見つけ方
- ソースコードを一通り全部読む
- ビルドして手元で動かす
- 仕様を確かめる
- 過去の脆弱性を調べる
- 全ての手法を組み合わせる
とあるペンテスターたちの成長記録
- 洲崎俊氏(SBMD 線端技術事業部レッドチームマネージャー)
- 山﨑泉樹氏(NECサイバーセキュリティ戦略統括部プロフェッショナル)
- 保要隆明氏(エヌ・エフ・ラボラトリーズ Principal Engineer)
- 市川遼氏(GMO サイバーセキュリティby イエラエ プロダクトセキュリティサービス部 部長)
勉強法
・手を動かすこと、アウトプットとインプットが重要。知っているのとできるのは乖離がある。writeupを試す習慣が大事(山﨑氏)
・手を動かす人が伸びる、CTFで試してみたり、モノを作って仕組みを学ぶことが重要(保要氏)
・手を動かすことでシステムがどのように動いているかを理解する(市川氏)
セキュリティエンジニアとしてのモチベーション
・楽しいがモチベーション、生活に直結するところに脅威があり、それにアプローチ・貢献できるところ(市川氏)
・自分の手でインシデントを無くせるところ、自分の技術を使って感謝されるところ(保要氏)
・インシデントの現場を見たくないことがモチベーション(山﨑氏)
仕事の苦労
・技術とビジネスの判断の乖離(市川氏)
・話が周りに理解されたいときがある、ビジネスとしてどのようにお金を得られるか(保要氏)
・診断で自分が見逃したときの責任感やプレッシャー、電車に高価なものを置き忘れたときのようなおの(山﨑氏)
セキュリティエンジニアをやっていて良かったこと
・インシデント対応や脆弱性をみつけて感謝されること、自分の技術を使って診断やフォレンジックをしたときの達成感(保要氏)
・ソースコードを読めること(市川氏)
・マルウェアやフィッシングを自分事として捉えられること、対岸の火事ではない(山﨑氏)
つぶやき
2年前くらいから対面イベントに参加するようになり、同世代の仲間がたくさんでき、こういったイベントで再会できるのはとても嬉しいです。
今回のP3NFESTは前回に比べ、若干、就活要素が多いなあと思いつつ、イベントがどうなれば良くなるかの話をIssueHuntの横溝さんと直接お話できたのは良かったです!(”学生のための”カンファレンスだし、交通費出してもらってるしいい塩梅が難しそう)
Discussion