📚

ホワイトハッカー試験(ceh v12)に合格したので受験までの流れを書いていく

2022/11/02に公開約5,400字

都心でWeb Application開発をしているしがない2年目エンジニアです。普段はセキュリティに関わる仕事は一切してません
また、gsx社が提供している日本語コースではなく英語でのコース内容、試験内容になっております

CEHって何

https://www.techopedia.com/definition/28616/certified-ethical-hacker-ceh

A certified ethical hacker (CEH) is a credentialed information and communication technology (ICT) professional who specializes in legally identifying security vulnerabilities from a malicious hacker's perspective.

https://www.gsx.co.jp/services/securitylearning/eccouncil/ceh.html

CEHは、セキュリティの国際的な資格であるEC-Council認定資格の一つで、認定ホワイトハッカーを目指すコースです。知識・スキル・攻撃手法を組み合わせたホワイトハッキングスキルの習得を目的としています。ホワイトハッカーとして「攻撃者視点」の判断力を習得することで、より効果的な防御に活かすことができます。

なんで受けようと思った

現在私はPCI DSS適用対象となるwebアプリケーションの開発をしております。安全基準が厳しい業界に身を置きながら、

「この実装はセキュリティ的に安全なのか」

という視点が技術者として全く足りてないのを薄々感じていました。
また今年の2月末に、同業者でSQLインジェクションによるかなり大規模な情報流出が起きました。
他人事ではなく、このままセキュリティに無知だと自分もいずれセキュリティリスクを生みだしかねない...と強く危機感を感じました。
そんな折

「CEHのv12が9月にリリース!!」

というニュースがたまたま流れてきました。
「CEH....?」と最初は存在自体知らなかったのですが、

ハッカーと同じ知識とツールを用いて脆弱性を評価する。

という点にとても興味を持ちました。
攻撃者がどこに目をつけ侵入するのかを学べば侵入され難いシステムを作れると思ったからです。
金額も金額だったので、挑戦するか悩みましたが最終的に

今なら各種特典がもりもり!君はもうハッカーをゲットしたか!?

的なプロモーションにまんまと釣られて感銘を受けて勢いで申し込みました。

日本人は限定品に弱いって聞いたことあるんですけど、あれって嘘じゃないんですね(主語がでかい)

申込

公式サイトの右側に大きくでているformに

「あの、CEHの資格が欲しいんですけど...」

と記入してSubmitしたところ、1時間程度で返信がありました。

簡単なやりとり内容はこんな感じでした。


エージェント:

「サイトから連絡ありがとう。CEHv12はAとBとCが同梱されていて、価格はUSD2339だよ。」「もしこの内容で受講手続に進むなら、教えてね」

自分:

「ありがとう。受講すると決めているので次のステップに行きたいです。2339ドルはどこで支払えますか」

エージェント:

「payment linkと、formをpdfで送るね。payment終わったら画面のスクショ送ってね」

自分:

「ありがとう。支払いのスクショと、formをfillしたよ。」

エージェント:

「ありがとう。早速reviewするので、完了までしばらくまっててね」


円安がまじできつかった......
支払画面のスクショと住所等基本情報を記載したformを送付したのが木曜日の21時頃で、金曜日の22時にはenrollmentが完了しました。
そしてすぐにラーニングプラットフォームへのログイン方法が記載されたメールが送られて来ました。早い。

受講

教材のボリュームは

  • およそ3300ページの電子書籍を、全部で20時間くらいの講義でサラッと一巡、
  • 用意された仮想環境で15時間くらい実際にツールを動かして攻撃してみる。

といった内容でした。
せっかちな性格ので普段Udemyやyoutubeを見るときは2倍速安定なのですが、講義は全部英語なので2倍速だと全くわかりませんでした笑。
字幕がついている物は1.5倍速で何とか...字幕がないものは1.25倍速で視聴しました。(所々全くわからなかったところは都度スロウ再生してました..)
ただそれでも量が膨大でかなりきつかったです。


さらに実際に手を動かして攻撃するパートでは膨大な量のコマンドとフラグが出てきて、

「あれっ?このコマンドのこのフラグって何だっけ...」

と何度も迷子になりました。暗記量は結構多めですね.....講義を一巡するだけではなかなか全部は身につかないなぁ...と思いました。
実際にインストラクターのEric Reedさんも
「一巡してテストを受けて、合格したら再度一巡したほうが良い」と動画中でおっしゃってました。

試験

英語? 日本語?

全ての動画視聴とラボ演習に完了チェックをつけると、試験に進むことができます。
(自信がある方は視聴してなくても完了チェックはつけられます)
試験は日本語と英語どっちで受験しようかなと悩んだのですが、他の方のceh体験記を見たところ

「試験の日本語訳が所々おかしい」

という情報があったのであんまり自信は無かったものの英語受験にしました。

試験前

まずはproctor(試験監督)とのやりとりから始まります。
私の聞き取り能力がかなり低く、proctorの人を大分困らせてしまいました。
AWSの試験で一度オンライン試験を受けたことがあったので、

  1. パスポート提示して
  2. カメラで360度撮影して
    後はさくっと試験スタートでしょ...と軽い気持ちで考えていました。
    実際パスポート提示→部屋撮影までは同じだったのですが、その後proctorの方から

「xxxxxx yyyyyy ~ger.」

と発言が....

「.....sorry?」

と聴き直したところ、どうもtask managerを開けと言っているようです。
え?何か疑われてます!?!?」とドキドキしながらタスクマネージャを言われた通りに表示。

今からPC操作するからマウスカーソル動かさないで

らしきことを言われたのでPCから手を離して待機。
プロセス一覧をチェックされ「Ok」の一言を頂きました。
やっとこれで試験か....と思っていると今度は

「Please open Control Panel」

とお言葉が。
コ、コントロールパネル!?できらぁ!.....どどどうやって開くんだっけ
とパニックになりながら開くと、

アプリケーション一覧をスクロールして上から下まで見せてください。

的なことを言われました。事前チェック結構しっかりしててびっくり。
その後もタスクバーやらもチェックされ、

ピン止めされているterminalは消してください

といわれたり結構細かい指摘が....。


もしどなたか英語で自宅受験される方がいらっしゃるなら、

  1. パソコンの言語設定が英語以外なら英語に

  2. タスクバーのピン止めは一時的に外す

を先にやっといた方がスムーズかもしれません。

私はどっちもやってなかったので

この...タスクバーのchromeの横のアイコンのやつ...タスクバーから消して...

みたいな感じでproctorさんがアプリ名とかが読めず苦労させてしまいました。
proctorの方にほんと申し訳なかったです....

試験後

「メモ用紙2枚持ち込みOKだったけど、持ち込んでましたか?」

と聞かれました。私は持ち込んでなかったのでNoで終わりましたが、
持ち込んでたら恐らく目の前で破る感じになるかと思います
(試験要綱に試験後すぐにメモ用紙は廃棄すること。と書いてある)
また、試験開始時に

「全部の問題を解いたらSubmitを押す前に絶対私にチャットをください。試験の提出が無事すんだかを記録する必要があります」

と言われたので、解き終わったわーい!!!! で勢い余ってボタンをおさないように注意が必要かもしれません。

実際にやった対策

公式から頂いたリソースの他に

  1. udemy

  2. スマホアプリ

をやりました。
udemyは5回分全部。スマホアプリは無料版で解ける問題全てを解きました。


試験問題のうち4割くらいは

「あ、この問題文まんまで見たことあるぞ...」

って言う感じだったので、全部やれば結構点数に還元されると思います。
ただ問題集だけだとどうしてもnmapnetcatのフラグ網羅できなかったり、そもそも
問題に出てくるアプリ名が聞いたこともない。みたいな状況が結構起きます。
ラボでコマンドを打ちつつ-hで使えるフラグを一通り見ておいたり、
各種攻撃方法の違いやそのやり方等をテキストでしっかり読み込む必要があると思います

上の1,2を2週間くらいで丸暗記 + 公式のリソースを1週間くらいで一巡 + 公式のリソース復習に3日(特に各暗号の鍵長、ブロック長とか暗記量が多いとこ)

くらいが目安かなと思います。
また、試験時間は4時間ですが、私の体験や他の方の合格記を読む限り、恐らく2時間もあれば見直しまで終わると思います。
なので試験時間についてはそれほどきにしなくてもよさそう。

最後に

実際に試験に合格はしたものの、結構ギリギリのスコアでしたしやはりちょっと勉強した程度だとまだまだ実務に活かすことなんてできないですね...
私はキャンペーン期間中に申込が間に合ったので、CEHと同じ価格でCEH Eliteパッケージを入手できました。

Eliteパッケージには以下の内容が同梱されています

  • 半年間のラボ環境アクセス権。
  • 1年間のCEH Plactical受験資格

一息ついたら、また再度講義動画を見直しながら実際に自分のサービスを攻撃してみたり、週末の
セキュリティコンテストに参画したりしながら、楽しんで学習継続しようと思います。

次のCEH Placticalはいつ頃受験しようか漠然と考え中...

CEHに興味を持つまでセキュリティに全く関わらなかった不束ものですが、今回のチャレンジを通してセキュリティのおもしろさ、
また普段意識しないネットワークプロトコル等インターネッツの奥深さを知れました。
勉強しておいて損は無い分野だと思うので、もし興味をもった方がいらっしゃいましたらぜひチャレンジしてみてください。
最後まで読んでいただきありがとうございました。

Discussion

ログインするとコメントできます