NIKKEI TECHNOLOGY AND CAREER

Blog

現場の技術をのぞいてみる

CODE BLUE 2023参加記:Webハッキングチャレンジ forビギナーズ

はじめに

セキュリティエンジニアの藤田です。

この投稿では、2023 年 11 月 8 日、9 日の 2 日間開催された日本発の情報セキュリティ国際会議「CODE BLUE 2023」への参加記として、私が参加したワークショップ「Web ハッキングチャレンジ for ビギナーズ」について紹介します。

イベントの雰囲気をお伝えすることを目的としており、Writeup は含んでいません。

CODE BLUEについて

世界トップクラスの専門家による日本発の情報セキュリティ国際会議「CODE BLUE」

入り口

技術を中心としたサイバーセキュリティの国際カンファレンスといえば、毎年 8 月にラスベガスで開催される Black Hat USA や DEF CON が有名ですが、その日本版である Black Hat Japan が 2013 年に姿を変えて CODE BLUE となりました。 CODE BLUE は今年で 11 回目となり、私は 2018 年から参加しています。

CODE BLUE の特徴は、採択率 10%を切る CFP 応募の中から選ばれた国際色豊かなセッションに加え、実際に手を動かしてセキュリティを学ぶことができるワークショップも同時開催されていることです。

また、次世代を担う若者が国際イベントで積極的にチャレンジできる環境を提供するために、学生スタッフ(学スタ)34 名の採用や U25 セッションの複数枠なども用意されています。実際に会場に足を運んでみると現役学生のみならず就職した学スタの経験者同士も近況を交換するなど、同窓会のような和気あいあいとした雰囲気も魅力の一つです。ちなみに、弊社の長期インターンシップで勤務している学生も学スタとして参加しています。

ワークショップ参加記

私が参加したWebハッキングチャレンジ forビギナーズは、GMO サイバーセキュリティ by イエラエ株式会社さまによる Web の脆弱性スキルを向上させるためのワークショップです。

Webハッキングチャレンジ forビギナーズ

概要より引用

病院のWebサイトに脆弱性をいくつか埋め込みました。昔ながらの脆弱性から最近話題のあの脆弱性まで。 ペンテスターとして脆弱性を見つけつつ、医師アカウント、そして管理者アカウント乗っ取りまでできるかチャレンジしてみてください!

問題の概要

問題は、セキュリティ界隈ではおなじみの CTF(Capture The Flag)の Jeopardy 形式と呼ばれるものです。問題ごとに脆弱性を見つけ出し、解き進めた先にフラグと呼ばれる文字列が表示されます。フラグを入力フォームに送信して正当するとスコアを獲得することができます。

問題の全体像

実際に挑戦し始めるとサジェストも丁寧に示されているため、楽しみながら解くことができました。

問題の概要:

  1. SQL インジェクションを実行して、ログイン認証をバイパスする
  2. パラメータを改ざんして、他の患者情報を参照する
  3. パストラバーサルを実行して、PHP のソースコードを露出させる
  4. robots.txt から、公開を意図していない情報を読み取る
  5. これまでに収集した情報をもとに、データベースに保管された API_KEY を読み取る
  6. API キーと SSRF をもとに、本来作ることのできないはずのアカウントを作成する
  7. XSS を実行して SESSION ID を窃取し、管理者アカウントを乗っ取る

以下に実際に出題された最初と最後の問題を示します。

問題1. 簡単なもの 問題7. 総合問題

概ね 1 時間弱で解き終わるライトな構成でしたが、陥りがちな脆弱性を段階的に試す事ができたので学びに繋がりました。

回答し終えた後、会場にいらした牧田社長との会話の機会があり、お話を伺うと、実は社長自ら生成 AI を活用して作問したとのことでした。

これらのオシャレな画像は、Midjourney という画像生成 AI サービスを用いて描画されたものらしいです。生成した際のプロンプトが気になります(笑)。

問い合わせフォーム Bad Hospital

先着 10 名まで書籍をいただける、ということで 2 番目に全問正解して書籍をいただくことができました!

書籍

本イベントに限らず、セキュリティ技能を高めるための CTF という取り組みは各所で随時開催されています。 CTF への参加を通じて攻撃者目線でのセキュリティ技能を学び、開発スキルに加えてセキュアコーディングのスキルアップも目指してみてはいかがでしょうか。

過去の CTF の取り組みについてはこちらでも公開しています。

終わりに

本投稿では、CODE BLUE 2023 の概要と、私が参加したワークショップについて紹介させていただきました。

私が参加し始めたころは、セキュリティ業界を専門とした方が多く参加されている印象でしたが、ここ数年は開発系でセキュリティに携わる方の参加も多くなっており、プラス・セキュリティ人材の裾野が広がっているのを感じました。

おそらく来年も開催されると思いますので、セキュリティ技術を磨いていきたいエンジニアの方も機会があればぜひ参加してみてください!

仲間募集

テクノロジーメディアを目指す日本経済新聞社ではデジタルサービスにおけるセキュリティを重視しており、クラウドセキュリティを始め最新のセキュリティ技術に興味のあるエンジニアを随時募集しております。一緒にメディアの未来を作る仕事に興味のある方は、ぜひお気軽にご連絡ください。

日経のデジタルサービスを支えるプロダクトセキュリティチームの紹介ページはこちら。

https://hack.nikkei.com/jobs/product_security/

業務内容を詳しく知りたい方は、カジュアル面談をお申し込みいただくこともできます。

藤田尚宏
SECURITY ENGINEER藤田尚宏

Entry

各種エントリーはこちらから

キャリア採用
Entry
新卒採用
Entry
カジュアル面談
Entry