学生気分から社会人への切り替えも難しく多くの方々に迷惑をかけながら、1 ヶ月、半年、1 年と時間が経過していきました。そんな中、せっかく年の瀬なので、後ろを振り返りながら自身は成長できただろうかと振り返る記事を書いていこうと思います。

• 私生活
  • おみくじの答え合わせ
  • 学業を終え、いざ新天地
  • ネット開通
  • AWS solution associate 合格
  • 体力を戻す活動
• 社会人として
• 対外活動
  • JAWSでの発表
  • mob security
  • セキュリティ・キャンプ
• 来年に向けて

2021 年はエンジニアを目指す最後の年であり、エンジニアとして駆け出すはじめの年で割とバタバタと忙しなく心体共に動いていた一年でした。

私生活

おみくじの答え合わせ

今年の初めに引いたおみくじは大吉から始まりました。 周りから期待されていたのかは自分では測りかねますが、結果的に仕事、健康に関しては押しつぶされそうになったり、メンタル的にだいぶクラッシュしていたのでおみくじ侮るべからずと執筆時点で感じています。

pic.twitter.com/31L2sga2PF

— Azara (@a_zara_n) January 3, 2021

途中気持ち的に大変だった時期もありますが、結果的には大吉だったのかなと振り返ってみて感じました。

学業を終え、いざ新天地

エンジニアを目指して歩んできた学生生活の締めくくりを迎えたこの三ヶ月、正直この 1~3 月の記憶は特に残っていない。引越し関連の手続きや新しい生活へ心躍らせて色々とわちゃわちゃしていて記憶に残るものはあまりないのが現状です。すこし記憶として残っているのは、昔めちゃくちゃやっていたマインクラフトを久々にやりたいとお熱になってしまったことです。Java 版 1.7.10 住民の私からすると当時の 1.16.5 環境はもはやマイクラの皮を被った何か違うゲームだなと感じました。(いや、当時の 1.7.10 も MOD を入れまくっており元のゲームからは離れていたが)

そのようなゆっくりとした時間の中、引っ越しや入社までの三ヶ月間をすごしながら現所属の Flatt Security でエンジニアバイトをして過ごしていました。

ネット開通

入社前の 3 月から都内に引っ越したものの、当時猛威を奮っていたコロナ対策のリモート業務への移行ラッシュでネット回線の開通する目処が立たず、入社後 1 ヶ月ほど家にネット回線がありませんでした。 実際、引越し後すぐにアルバイト先に実質住みつく形でネット環境を確保していました。(技術調査が多く、仕事と学習の境目があまりなかった時期なので割と当時は楽しかった覚えがある。)

AWS solution associate 合格

AWS solution associate を 2 週間でとると豪語してなんとかとることができました。

2週間前、資格取るかと思い立って今日受けた。
今月中にセキュリティの方も申し込む pic.twitter.com/FjCn7g2EiM

— Azara (@a_zara_n) July 19, 2021

体力を戻す活動

アラサー入門を果たしてしまった 2021 年、自分自身の体力を戻すためにダイエットと筋トレを始めました。 当初の目標だった 20kg はダイエット成功したものの、この年末年始で飲み会とあれこれでまた太ってしまっているので、来年は年初からウォーキングと筋トレをするぞという気持ちでやっていこうと思います。

社会人として

社会人 1 年目として、Flatt Security に入社しました。

主業務の特性上多くは書けませんが、行った業務として下記のようなものがあります。 - クラウド診断の整備/調査(AWS/GCP) - 社内のAWSアカウントの管理方法の整備 - 脆弱性診断業務 - Web診断 - プラットフォーム診断 - 診断サービスの営業同行 - 新規サービスの開発/オーナー

このような業務を行ってきた上で、今年の社会人期間を総括すると「慢心」の一言でくくれるかなと思っています。

多くの業務を行ったものの、主業務の足場を固められておらず、最終的に新規サービスの開発のオーナーを任されたタイミングで足元がぐらつき仕事全てがクラッシュしてしまいました。

今年の11月からはこの不安定な足元を安定化させるために色々と取り組みをして立ちなおしてはいますが、多くの人に迷惑をかけてしまったなと感じております。🥲

社内の皆様、そして話を聞いてくれた同期メンバーやメンターのお二方、そして社外で相談に乗ってくださった じゅんさん @june29に感謝をお伝えします。

対外活動

JAWSでの発表

前年の 2020 年からずっとクラウドとセキュリティという観点で仕事と趣味で追っかけてきました。 ただ、エンジニアバイト先でブログ発信をしたものの、対外発表をするかと思いつつ、なかなか重い腰を挙げられない日々を過ごしていました。

https://flattsecurity.hatenablog.com/entry/cloud_security_aws_case

その中で JAWS での登壇オファーをいただき Amazon Cognito とサーバーレスアプリケーションという観点からお話をさせていただきました。 当時の自分的にはかなりの自信作でありましたが、実際後々読み返してみると、まだまだ詰めの甘い資料だなと感じます。

speakerdeck.com

次回発表できるのであれば、もう少しミクロな手段や実装だけではなく、アーキテクチャ全体やより実務的な話ができればいいなと考える次第です。

mob security

AWS IAM の特権昇格に関する考え方と対策について mob security という勉強会でざっくりと話させていただきました。

speakerdeck.com

この勉強会で話したことは、AWS 上のコンポーネントの悪用や情報の取得に必要となる IAM への攻撃について「攻撃者視点」で理解してもらうことを目的としていました。 この発表を通して、どのように AWS IAM が攻撃されるのか、図解化することに関してはよかったなと考えています。

一方後悔もあります。攻守の理解が両方できてのセキュリティであるのに、攻撃側の解説を厚くしてしまいました。たとえば実際に攻撃された場合に Cloud Trail の Log がどのように残るのかや、実際に攻撃がなされた場合にどのように対応をすべきかを解説しておらず、あとは自分で調べてくれと言わんばかりの形で締めてしまいました。

セキュリティ・キャンプ

仲山先生(@nekoruri)から「毎年やっている講義のパワーアップ版をやろうと思っているんだけど、よかったら相方として講師やらない?」とお声かけをいただき、セキュリティキャンプの講師のお誘いを引き受けさせていただきました。

全国大会選択コースB3「分散アーキテクチャ時代におけるWebシステムの開発と運用」では、Webシステムをコンテナやサーバーレスなどを用いた分散アーキテクチャとしてどのように設計し、実装・運用するのかを学びます。受講生はチームに分かれ、ハッカソン形式でWebシステムを考えます。#seccamp pic.twitter.com/RGGe7Vw69t

— セキュリティ・キャンプ (@security_camp) August 12, 2021

事前課題として、クラウドの全体像のおさらいやクラウドセキュリティを俯瞰しながら見てもらい、実際にパブリッククラウドを用いたサービス構築の際にどのような観点で構築すべきなのかを学んでもらいました。

下にその事前課題の資料を記載します。 speakerdeck.com

総括的な話として、このセキュリティキャンプを通して、自身の力不足や調整能力の不足を実感する他、周りの人を頼ることをまなべ大変成長できたと思っています。

多くの関係者、特にBトラックプロデューサーの西村先生、お声をかけてくださった仲山先生にご迷惑をかけてしまったことを深く反省する次第です。色々とご助力いただきありがとうございました。

来年に向けて

学生時代一番なってはいけないと思っていた井の中の蛙に自分が一番なっていたんだなと感じる一年でした。 まだまだ、自分自身学ぶこともあるし成長していく途上であるのに、いつしか自分のいる環境で満足してしまったのでしょう。

来年度は自分の学びや考えに上限を設けず、自分のやれることより少し高めに目標を設定しながら、一歩、そしてまた一歩進めるように努力、精進していきたいと思います。

このブログではお久しぶりです(本日2度目)。azaraです。

また歳をとりました。age++;

雑な怪文書を書きます。

今年

今年は初めてCVEが採番される脆弱性を報告して、AWSの勉強を必死にして、セキュリティにいっぱい触れるみのりある1年でした。

安堵としては、学生のうちにCVEが採番される脆弱性を報告するという目標があったのでそれが達成できてよかったっというものがあります。(ペパボの時もチャンスがあったけが掴めなかった...)

びっくりしたこととして、Cognito UserPoolの脆弱性を見つけてAWSのセキュリティチームとやりとりをしたこと。セキュリティチームの迅速で丁寧な対応にはすごく感動しました。

悲しかったこととして、旅行に行けなかったことです。毎年行ったことのない県に旅をするというのが目標だったのですが、コロナの影響と個人的に気分が乗らないということもあり断念しました。

来年

来年は今年inputしたものをoutputするような年にしていきたいです。 (毎年抱負を年始に考えているので年明けに気持ちが前向きだったら書きます)

余談

今年読んで個人的に気に入っている本の紹介

実践クラウドセキュリティ(Practical Cloud Security)

learning.oreilly.com

クラウドセキュリティに関する基礎的な考え方を身につける際に読みました。個人的にはIDおよびアクセス管理に関する項目がためになりました。

Network Security Assessment, 3rd Edition learning.oreilly.com 実践ネットワークセキュリティ監査―リスク評価と危機管理

www.amazon.co.jp

原著と翻訳版を付き合わせながら読みました。プラットフォーム診断をサポートでする際に全くもって知識がない状態から始めるのは不安があり、書籍を元にVulnHubなどで近しい環境を探して試すなどをしていました。

Web Application Security

learning.oreilly.com

Salesforceのセキュリティエンジニアである AndrewHoffman さんが書いた書籍で、攻撃者視点と防御側の視点がどちらも書かれていてとてもいい本だなと思いました。

書き出し

年末に時間が少しできたので、その空いた時間でWeb問題を解きに行った。

Web Newbie

問題

http://server

Hey, I just learned how to make a web application!

Even though I might create some vulnerabilities, but I bet you'll never get the flag!

The submitted files will be deleted every hour.

テキストデータを保存公開できるアプリケーションのような風貌の問題のサイト

flag

BAMBOOFOX{0hhh_n0_s7up1d_li77l3_8ug}

解法

1. navにコメントアウトされたヒントがある

      <!--
      <li class="nav-item">
        <a class="nav-link" href="/myfirstweb/index.php?op=nav&link=hint">Hint</a>
      </li>
      -->

なかには

HINT
Flag is in ../flag.txt

と記載されていた。 2.ディレクトリとラバーサルがある - http://host/myfirstweb/index.php?op=nav&link=filepath - http://host/myfirstweb/index.php?op=view&file=filepath のlinkとfileにディレクトリトラバーサルがある。 なのでこれらに../flag.txtを入れると

Error
Found flag format in content, no flag for you!

と出てくる。 3. そのまま指定する http://host/flag.txtと入れると出てくる

その他

実は2と3の間に何か他の脆弱性があってそれを利用するのではないかと思い探していたときに、ソースコードを抜き出せたので中身を見てみると、中身がNode.jsで動いていた。

HAPPY

問題

I prefer Jekyll for building my blog. Please try to read /home/web/flags/flag1.txt.

flag

BAMBOOFOX{251d19bd7cb60e72a3825d898bffcee5}

解法

特にpostしている箇所がなかったのでそのままpathを指定してあげたらflagを取得できた http://host/../../../../../../home/web/flags/flag1.txt

まとめ

問題を解いていると深読みしたり、逆に固執してしまうことがあるので、直していきたい。