SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

MINI Hardening Project #3.5参加レポート

序文

お久しぶりです。猫を飼いたい気持ちが強すぎて、社内Slackにほぼ毎日、無言で猫画像をうpしている羽鶴です。
今回は 12/14(土)にMINI Hardeningというイベントに弊社の岩間と鈴木 (大) の3人で参加してきましたので、そのレポートになります。

minihardening.connpass.com

Hardeningについて

IT業界で言う Hardening は「システムの堅牢化」を指すようですが、今回参加した競技としての Hardening は、脆弱性を抱えたECサイトを堅牢化し、次々と行われる攻撃やインシデントに対応しながら、サイトの売り上げを確保するといったものです。
最終的な順位は、どれだけの脆弱性やインシデントに対応できたか、売り上げをどの程度伸ばすことができたかで決まります。

今回参加した MINI Hardening は、通常2日間に渡って開催される Hardening の簡易版のようなもので、競技時間は5時間程度となっており、
堅牢化の対象となるサービスも少なくなっています。
※ 通常は3時間半のようです。

今回は、開催地の大阪ではなく、サテライト会場の福島から参加しました。会場の提供は Eyes, JAPAN 様です。 www.nowhere.co.jp

事前準備でやったこと

競技の数日前にECサイトのシステムの構成情報や競技ルールの提供と、チームの編成が行われ、それらの情報を基に対策項目の洗い出しや、
想定されるインシデントと対応手順をまとめます。
競技当日は、開始直後から次々と攻撃が行われるため、その場でコマンドを調べたり検証している暇はありません。
また、チームとなるメンバーのスキルセットを考えて分担を決めます。
例えば、AさんはWeb、BさんはOS周り、Cさんはネットワーク、Dさんはメールやサイトチェック、などです。

私の場合はOS周りを担当しましたので、コマンドのオプションも含めて手元で動作確認したコマンドと、各タスクの実施状況を管理するシートを
メンバーで用意しました。
とにかく、競技中は次々とインシデントが発生するので、手順を用意して脳のリソースを節約します。

f:id:sst-hazuru:20191216173741j:plain
福島に向かう新幹線で事前準備を進めるメンバー

個人的には下記の本が大いに役に立ちました。

www.shoeisha.co.jp

競技中にやったこと

ネタばれになるので、あまり詳細を書くことは出来ないのですが、手始めに上の本を参考にして一般的にLinuxサーバーで行われる、設定を行いました。
例えば、「root で SSH できないようにする」などです。

開始して間もなく、運営による攻撃が始まるのですが、これがとにかく勢いがあります。
サイトはガンガン改竄されますし、変なプロセスも生えますし、バックドアはスムーズに設置されます。

己の無力さを噛み締めながら事前の手順に従って対応を行いつつ、同時に複数のインシデントが発生して手が回らない場合はメンバーに簡素に情報を伝えて対応を依頼します。
とにかくスピード勝負です。

f:id:sst-hazuru:20191216175752j:plain
ログを監視するメンバー

Hardeningによって得たこと

普段はWebサイトの脆弱性診断やWebへの攻撃と防御方法の調査を主な業務としている我々ですが、Hardening を通して、実際にサイトを運営して、
攻撃を受け、対処する。。。
つまり、お客様側の目線でセキュリティの運用を体験できたことが、何よりの収穫だと感じています。

書籍や教科書で「バックアップを取りなさい」、だとか、「ログを見なさい」といった話はよく目にします。 バックアップであれば、対象の洗い出してリストア手順の検証と確立を行う必要がありますし、ログであれば、状況に応じて確認対象が異なりますし、記録する内容に不足があれば、項目を増やす必要があります。
記録するログを増やした場合のディスク消費量の増加やパフォーマンスにも気を遣わなければなりません。

結果

最終的な順位ですが、岩間が参加したチームJは、総合順位3位・技術点1位・コミュニケーション1位という、マッチョな結果になりました。
私と鈴木が参加したチームIは総合順位2位という結果に終わりました。
5時間の戦いを終えて IQ/Zero になりかけていた脳みそが一気に悦び(愉悦☆)に満たされます。

f:id:sst-hazuru:20191216195759j:plain
現在の点数がリアルタイムに表示される

終わりに

Hardeningは実際のリアルなECサイトに対する、リアルな攻撃への対処を学べる非常に実践的な競技でした。
Webサイトを運営している人でも、攻撃を受けてインシデント対応を行う機会は中々無いと思います。
ある日突然、自社のサイトが改竄被害にあった時に慌てず適切な対応が出来るよう、一度参加してみてはいかがでしょうか?

f:id:sst-hazuru:20191216195714j:plain