2021 年を振り返る
学生気分から社会人への切り替えも難しく多くの方々に迷惑をかけながら、1 ヶ月、半年、1 年と時間が経過していきました。そんな中、せっかく年の瀬なので、後ろを振り返りながら自身は成長できただろうかと振り返る記事を書いていこうと思います。
2021 年はエンジニアを目指す最後の年であり、エンジニアとして駆け出すはじめの年で割とバタバタと忙しなく心体共に動いていた一年でした。
私生活
おみくじの答え合わせ
今年の初めに引いたおみくじは大吉から始まりました。 周りから期待されていたのかは自分では測りかねますが、結果的に仕事、健康に関しては押しつぶされそうになったり、メンタル的にだいぶクラッシュしていたのでおみくじ侮るべからずと執筆時点で感じています。
— Azara (@a_zara_n) January 3, 2021
途中気持ち的に大変だった時期もありますが、結果的には大吉だったのかなと振り返ってみて感じました。
学業を終え、いざ新天地
エンジニアを目指して歩んできた学生生活の締めくくりを迎えたこの三ヶ月、正直この 1~3 月の記憶は特に残っていない。引越し関連の手続きや新しい生活へ心躍らせて色々とわちゃわちゃしていて記憶に残るものはあまりないのが現状です。すこし記憶として残っているのは、昔めちゃくちゃやっていたマインクラフトを久々にやりたいとお熱になってしまったことです。Java 版 1.7.10 住民の私からすると当時の 1.16.5 環境はもはやマイクラの皮を被った何か違うゲームだなと感じました。(いや、当時の 1.7.10 も MOD を入れまくっており元のゲームからは離れていたが)
そのようなゆっくりとした時間の中、引っ越しや入社までの三ヶ月間をすごしながら現所属の Flatt Security でエンジニアバイトをして過ごしていました。
ネット開通
入社前の 3 月から都内に引っ越したものの、当時猛威を奮っていたコロナ対策のリモート業務への移行ラッシュでネット回線の開通する目処が立たず、入社後 1 ヶ月ほど家にネット回線がありませんでした。 実際、引越し後すぐにアルバイト先に実質住みつく形でネット環境を確保していました。(技術調査が多く、仕事と学習の境目があまりなかった時期なので割と当時は楽しかった覚えがある。)
AWS solution associate 合格
AWS solution associate を 2 週間でとると豪語してなんとかとることができました。
2週間前、資格取るかと思い立って今日受けた。
— Azara (@a_zara_n) July 19, 2021
今月中にセキュリティの方も申し込む pic.twitter.com/FjCn7g2EiM
体力を戻す活動
アラサー入門を果たしてしまった 2021 年、自分自身の体力を戻すためにダイエットと筋トレを始めました。 当初の目標だった 20kg はダイエット成功したものの、この年末年始で飲み会とあれこれでまた太ってしまっているので、来年は年初からウォーキングと筋トレをするぞという気持ちでやっていこうと思います。
社会人として
社会人 1 年目として、Flatt Security に入社しました。
主業務の特性上多くは書けませんが、行った業務として下記のようなものがあります。 - クラウド診断の整備/調査(AWS/GCP) - 社内のAWSアカウントの管理方法の整備 - 脆弱性診断業務 - Web診断 - プラットフォーム診断 - 診断サービスの営業同行 - 新規サービスの開発/オーナー
このような業務を行ってきた上で、今年の社会人期間を総括すると「慢心」の一言でくくれるかなと思っています。
多くの業務を行ったものの、主業務の足場を固められておらず、最終的に新規サービスの開発のオーナーを任されたタイミングで足元がぐらつき仕事全てがクラッシュしてしまいました。
今年の11月からはこの不安定な足元を安定化させるために色々と取り組みをして立ちなおしてはいますが、多くの人に迷惑をかけてしまったなと感じております。🥲
社内の皆様、そして話を聞いてくれた同期メンバーやメンターのお二方、そして社外で相談に乗ってくださった じゅんさん @june29に感謝をお伝えします。
対外活動
JAWSでの発表
前年の 2020 年からずっとクラウドとセキュリティという観点で仕事と趣味で追っかけてきました。 ただ、エンジニアバイト先でブログ発信をしたものの、対外発表をするかと思いつつ、なかなか重い腰を挙げられない日々を過ごしていました。
https://flattsecurity.hatenablog.com/entry/cloud_security_aws_case
その中で JAWS での登壇オファーをいただき Amazon Cognito とサーバーレスアプリケーションという観点からお話をさせていただきました。 当時の自分的にはかなりの自信作でありましたが、実際後々読み返してみると、まだまだ詰めの甘い資料だなと感じます。
次回発表できるのであれば、もう少しミクロな手段や実装だけではなく、アーキテクチャ全体やより実務的な話ができればいいなと考える次第です。
mob security
AWS IAM の特権昇格に関する考え方と対策について mob security という勉強会でざっくりと話させていただきました。
この勉強会で話したことは、AWS 上のコンポーネントの悪用や情報の取得に必要となる IAM への攻撃について「攻撃者視点」で理解してもらうことを目的としていました。 この発表を通して、どのように AWS IAM が攻撃されるのか、図解化することに関してはよかったなと考えています。
一方後悔もあります。攻守の理解が両方できてのセキュリティであるのに、攻撃側の解説を厚くしてしまいました。たとえば実際に攻撃された場合に Cloud Trail の Log がどのように残るのかや、実際に攻撃がなされた場合にどのように対応をすべきかを解説しておらず、あとは自分で調べてくれと言わんばかりの形で締めてしまいました。
セキュリティ・キャンプ
仲山先生(@nekoruri)から「毎年やっている講義のパワーアップ版をやろうと思っているんだけど、よかったら相方として講師やらない?」とお声かけをいただき、セキュリティキャンプの講師のお誘いを引き受けさせていただきました。
全国大会選択コースB3「分散アーキテクチャ時代におけるWebシステムの開発と運用」では、Webシステムをコンテナやサーバーレスなどを用いた分散アーキテクチャとしてどのように設計し、実装・運用するのかを学びます。受講生はチームに分かれ、ハッカソン形式でWebシステムを考えます。#seccamp pic.twitter.com/RGGe7Vw69t
— セキュリティ・キャンプ (@security_camp) August 12, 2021
事前課題として、クラウドの全体像のおさらいやクラウドセキュリティを俯瞰しながら見てもらい、実際にパブリッククラウドを用いたサービス構築の際にどのような観点で構築すべきなのかを学んでもらいました。
下にその事前課題の資料を記載します。 speakerdeck.com
総括的な話として、このセキュリティキャンプを通して、自身の力不足や調整能力の不足を実感する他、周りの人を頼ることをまなべ大変成長できたと思っています。
多くの関係者、特にBトラックプロデューサーの西村先生、お声をかけてくださった仲山先生にご迷惑をかけてしまったことを深く反省する次第です。色々とご助力いただきありがとうございました。
来年に向けて
学生時代一番なってはいけないと思っていた井の中の蛙に自分が一番なっていたんだなと感じる一年でした。 まだまだ、自分自身学ぶこともあるし成長していく途上であるのに、いつしか自分のいる環境で満足してしまったのでしょう。
来年度は自分の学びや考えに上限を設けず、自分のやれることより少し高めに目標を設定しながら、一歩、そしてまた一歩進めるように努力、精進していきたいと思います。
Security-JAWS #20で発表をした。
報告
Security-JAWS #20で発表をしました。
発表に不慣れということもあり、言いたいことが適切に言えなかったのが悔やまれます。
次回は、もう少し話す内容を早めにまとめて、資料も暗唱できるまで読み込んで練習してから挑みます。
発表資料。
また歳をとった
このブログではお久しぶりです(本日2度目)。azaraです。
また歳をとりました。age++;
雑な怪文書を書きます。
今年
今年は初めてCVEが採番される脆弱性を報告して、AWSの勉強を必死にして、セキュリティにいっぱい触れるみのりある1年でした。
安堵としては、学生のうちにCVEが採番される脆弱性を報告するという目標があったのでそれが達成できてよかったっというものがあります。(ペパボの時もチャンスがあったけが掴めなかった...)
びっくりしたこととして、Cognito UserPoolの脆弱性を見つけてAWSのセキュリティチームとやりとりをしたこと。セキュリティチームの迅速で丁寧な対応にはすごく感動しました。
悲しかったこととして、旅行に行けなかったことです。毎年行ったことのない県に旅をするというのが目標だったのですが、コロナの影響と個人的に気分が乗らないということもあり断念しました。
来年
来年は今年inputしたものをoutputするような年にしていきたいです。 (毎年抱負を年始に考えているので年明けに気持ちが前向きだったら書きます)
余談
今年読んで個人的に気に入っている本の紹介
実践クラウドセキュリティ(Practical Cloud Security)
クラウドセキュリティに関する基礎的な考え方を身につける際に読みました。個人的にはIDおよびアクセス管理に関する項目がためになりました。
Network Security Assessment, 3rd Edition learning.oreilly.com 実践ネットワークセキュリティ監査―リスク評価と危機管理
原著と翻訳版を付き合わせながら読みました。プラットフォーム診断をサポートでする際に全くもって知識がない状態から始めるのは不安があり、書籍を元にVulnHubなどで近しい環境を探して試すなどをしていました。
Salesforceのセキュリティエンジニアである AndrewHoffman さんが書いた書籍で、攻撃者視点と防御側の視点がどちらも書かれていてとてもいい本だなと思いました。
脆弱性を報告して初めて採番されたCVEの解説と注意喚起
このブログではお久しぶりです。azaraです。
近況の報告などは別の記事で書くとして、本記事はIPFactory Advent Calendar 2020の17日目の記事です。IPFactoryに関してはこちらをご覧ください。
注意喚起
本ブログの内容はセキュリティに関する知見を広く共有する目的で執筆されており、脆弱性の悪用などの攻撃行為を推奨するものではありません。許可なくプロダクトに攻撃を加えると犯罪になる可能性があります。筆者が記載する情報を参照・模倣して行われた行為に関して筆者は一切責任を負いません。
また、該当製品は常に今回する脆弱性への修正を行っているため、影響を確かめながらアップデートを行うことを強くお勧めします。
JVN#56450373 GROWI における複数の脆弱性 / JVN#94169589 GROWI における複数の脆弱性
今回採番されたCVE
- CVE-2020-5676
- CVE-2020-5677
- CVE-2020-5678
- CVE-2020-5682
脆弱性解説
今回報告した脆弱性において、RCEやNoSQLiなどの脆弱性は報告していないため、緊急度の高いものではありません。ただし、攻撃手法に関しては簡単なものが多かったため先の注意喚起でも述べた通り、影響を確かめながらアップデートを行うことを強くお勧めします。
CVE-2020-5676
ユーザーが設定した非公開状態のemailがHTML常に表示されているというものです。
再現手順
- メールアドレスの公開を非公開に設定
- 別アカウントでログインをし先程設定したユーザーのページを閲覧する
DevツールなどでHTMLを確認するとユーザー情報がJSON形式で表示されている。その中に先程設定したメールが表示されている。
リスク
遠隔の第三者によって、ユーザが非公開にしている情報を窃取され。
修正状況
emailが表示されていたid=content-main
を確認すると、emailが表示されていないことが確認できます。
CVE-2020-5677
Header タグ内にPathが出力された際のXSSフィルターの処理が不完全な状態だったためHTMLタグが出力されてしまい、XSSが実行できてしまう脆弱性でした。
Pathをtitleに表示するページ全般で発生し、攻撃の手法としては簡単に実行できてしまいます。
Plane : http://localhost:3000/Sandbox</title</s>><script<s>>alert(1);</script</s>>
URL encode: http://localhost:3000/Sandbox%3C/title%3C/s%3E%3E%3Cscript%3Cs%3E%3Ealert(1);%3C/script%3C/s%3E%3E
再現手順
報告当時のGrowiではXSS対策のためにタグ文字(例: <s>
のように完全に閉じられたもの)を削除するという機構がありました。
実際にリクエストを投げると次のように表示されます。
URL: http://localhost:3000/Sandbox%3Cs%3Ehoge%3C/s%3E
CTFの問題でみたことのある挙動だったので試しに<s<s>>hoge</s<s>>
のような形式で入力をしてみました。
URL: http://localhost:3000/Sandbox%3Cs%3Cs%3E%3Ehoge%3C/s%3Cs%3E%3E
すると素直にタグが表示されるようになりました。あとは</title>
でタグを閉じられ、<script></script>
が挿入できればXSSができます。
そこでこの機構を回避するために</title<s>><script<s>>alert(1)</script<s>>
のような入力をURLに行いました。
URL: http://localhost:3000/Sandbox%3C/title%3Cs%3E%3E%3Cscript%3Cs%3E%3Ealert(1)%3C/script%3Cs%3E%3E
するとalert(1)
の表示がポップアップします。
HTMLの表示を確認すると、HTMLタグが表示されておりXSSが作動していることが確認できます。
リスク
当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される 。
修正状況
/
より右に位置する文字列のみ<title>
内に表示することで修正されていました。
CVE-2020-5678
ページの配下にあるページをリストで表示する箇所で発生したXSSで、先のCVE-2020-5677
の発展で発見したものです。
再現手順
XSSフィルター自体がマークダウンには有効でしたがそれ以外の部分ではCVE-2020-5677
同様のXSSへの対策機構を利用していました。
検証のため、まず初めに<s>test1</s>
のようなタイトルて新規ページを作ってみましょう。
するとPathでは<s>test1</s>
のURLエンコードされた文字列が見えます。
しかし、HTMLの表示上は反映されていなさそうです。
そのあと新規作成をする際のリクエストを見ても、<s>
タグは削除されて送信されています。
リストの表示上も当然、打ち消されていません。
次に先程のCVE-2020-5677
同様に<s<s>>test2</s<s>>
のような形式でページを作成しましょう。
文字符号化はしてそうですが表示されているのがわかります。
一部ではありますがHTML上に表示されているPathを見ても文字符号になっています。
リクエストをみると<s>test2</s>
となっているのでもしかしたらと思いリストを見に行きます。
確認をすると、<s>
タグはしっかりと削除されています。
最後の確認として、CVE-2020-5677
よりもう一つ<s>
タグを増やしページを作成します。
実際に新規作成をしてみると<s>
タグが打ち消し線を引いているのがわかります。
最後に<script<s<s>>>alert(1)</script<s<s>>>
でページを作ってみましょう。
でました。
修正状況
ページ名に含まれるタグ文字がリストに表示される場合は削除された状態で表示されるようになっている。
CVE-2020-5682
Growiでは記事に対してタグを付与することができます。このタグを検索するAPIでは、mongodbの正規表現検索を利用しており、その検索の際にAPIの正規表現を直接利用しているためDoSを引き起こすことができました。
謝辞
脆弱性の修正を行ってくださった開発者の皆様、そして関連する業務やサポートをしてくださったJPCERT/CC,IPAの皆様に心より感謝申し上げます。
ありがとうございます。
また、注意喚起のため詳細の開示を許していただいたGrowiの開発陣には改めて感謝申し上げます。
BambooFox CTFにWeb問題を解きに行った
書き出し
年末に時間が少しできたので、その空いた時間でWeb問題を解きに行った。
Web Newbie
問題
http://server Hey, I just learned how to make a web application! Even though I might create some vulnerabilities, but I bet you'll never get the flag! The submitted files will be deleted every hour.
テキストデータを保存公開できるアプリケーションのような風貌の問題のサイト
flag
BAMBOOFOX{0hhh_n0_s7up1d_li77l3_8ug}
解法
- navにコメントアウトされたヒントがある
<!-- <li class="nav-item"> <a class="nav-link" href="/myfirstweb/index.php?op=nav&link=hint">Hint</a> </li> -->
なかには
HINT Flag is in ../flag.txt
と記載されていた。
2.ディレクトリとラバーサルがある
- http://host/myfirstweb/index.php?op=nav&link=filepath
- http://host/myfirstweb/index.php?op=view&file=filepath
のlink
とfile
にディレクトリトラバーサルがある。
なのでこれらに../flag.txt
を入れると
Error Found flag format in content, no flag for you!
と出てくる。
3. そのまま指定する
http://host/flag.txt
と入れると出てくる
その他
実は2と3の間に何か他の脆弱性があってそれを利用するのではないかと思い探していたときに、ソースコードを抜き出せたので中身を見てみると、中身がNode.jsで動いていた。
HAPPY
問題
I prefer Jekyll for building my blog. Please try to read /home/web/flags/flag1.txt.
flag
BAMBOOFOX{251d19bd7cb60e72a3825d898bffcee5}
解法
特にpostしている箇所がなかったのでそのままpathを指定してあげたらflagを取得できた
http://host/../../../../../../home/web/flags/flag1.txt
まとめ
問題を解いていると深読みしたり、逆に固執してしまうことがあるので、直していきたい。
GMOペパボ を退職した 学生エンジニア編
2019年12月12日、アルバイトをしていたGMOペパボへ業務上の最終出社をしました。ポジションとしてはセキュリティ対策室というサービスのセキュリティ強化や水先案内人のような業務を行う部署で学生エンジニアをしていました。
この記事では、振り返りと次のステップのための意気込みを書いていこうと思います。
本日1年3ヶ月アルバイトをしていた会社に業務上の最終出社をかましてきました!
— Azara/nori (@a_zara_n) December 12, 2019
これからは21卒として就活生にジョブチェンだ! pic.twitter.com/xRU3emZnMd
目次
諸情報
GMOペパボ is ?
詳しくはこちらを見て貰えばわかるとは思うのですが、軽くどんな会社なのかを説明します。
"もっとおもしろくできる"という理念と"インターネットで、可能性をつなげる、ひろげる"というミッションを元に、国内最大級のハンドメイドマーケット「minne」やクリエイターのグッズ販売をサポートする「suzuri」、ホスティングの「lolipop」、ecサービスの「カラーミーショップ」、HP作成支援の「goope」などを展開している会社です。
バイトの概要
- 期間
- 1年3ヶ月
- 職種
- セキュリティエンジニア
- 業務内容
- サービスの脆弱性診断
- インシデントレスポンスの支援ツールの内製
- ツール作成
- 社内のセキュリティ研修向けの教材の作成
ペパボ を知った経緯と入社
当時触っていたフレームワーク「Laravel」の勉強会で当時ペパボ で働いていたhypermktさんの"Passportのパスワードグラントで独自の認証を実装する方法"という発表や2018年のセキュリティキャンプ Bトラックで、当時ペパボ研究所の主席研究員の松本 亮介/まつもとりーさんの講義を聞きペパボ という会社をしりました。
その時は自分自身がバイトに行くとも考えておらず、「すごいエンジニアがいるすごい会社だなー!」程度の感想でした。
セキュリティキャンプ後、それまで小規模なベンチャーで開発のインターンをしていたが、もっと自分の技術を磨いていきたい、チーム開発をもっと学びたいと思い学生のエンジニアバイトを募集している会社を探しました。
その時に見つけたのがセキュキャンや勉強会でみていた "GMOペパボ" でした。
その後、エントリーして面接へ。
初めて大きな会社の面接へ、正直面接前から緊張しっぱなしで何もかもがぎこちない状態でした。
面接は、Ruby のCoreメンバーのhsbtさんと会社の技術基盤を担当しているtnmtさんが担当してくれて、普段やっていることや今まで出たコンテストの話、セキュキャンの講義で学んだことについて話して面接は終了。結果は内定をいただき2018年の9月からセキュリティ対策室でアルバイトを始めました。
バイトの内容
Ruby on railsのチュートリアル
社内のサービスがrailsでできているものもあるため、一度は触ってみようということでチュートリアルを実際にやってみた感じです。
PHPのフレームワークは触ったことがあったので余裕だろと思い挑んだものの、railsのDRYを実践する文化や、テスト駆動の文化に圧倒されながら多くを学ぶことができました。
社内のセキュリティ研修向け教材の作成
社のmrtc0さんの開発したCureVulnの問題文と脆弱性のあるページを作成し研修のサポートを行いました。
再現した脆弱性
社内サービスの脆弱性診断(4サービス)
goopeやsuzuri people、カラミーアプリストア、2019年にジョインしたGMOクリエイターズネットワークのウーフーなどをmrtc0さんとペアになり進めて行き、指導のもと網羅的に診断を行いました。
OpenAPI SwaggerをBurpSuiteのrepeaterに展開するextensionの開発
Swaggerで定義されたAPIへの診断をもっと効率的に行うためにBurp SuiteのExtentionを作成しました。
関連ブログ
補助用のSlack botを作成
VirusTotalへリンクやHashを投げ簡易的な判定を行うためのSlack botやサーバーのIPアドレスがどこのサービスに属しているか確認するBotを社内のk8sへあげBot牧場をつくっていました.
ポート監視の自動化と通知を行うツールのメンテナンス
nampを用い外部IPからのポート監視とその結果をSlackへ通知するツールのメンテナンスとそのツールの動作するサーバーの細かな管理をしました。
脆弱性情報のトリアージ業務
Slackに毎日JVNやNVDなどから収集してきた情報が流れており、その脆弱性がサービスへ影響するのかを確かめる業務をしていました。
この業務の一環で、PHPのimapモジュールの0day(当時)を再現した記事がこちら。
その他
社内のサービスや■■■伏字■■■にバグハントをして数件脆弱性を報告をしたり、それが原因で後日変なファイルが生えてしまったり、アラートが上がったり、IPブロックが働いてしまったりと本番環境でミニやらかしてしまった状態になってしまったのは本当に申し訳ないです....
非破壊かと思ったら実は破壊していたり何かができてしまったりと診断って難しいなと思ういい経験でした。
社内の様子と周辺グルメ
残念なことに社内の様子を撮り忘れた....
様子
社内は固定席とフリーアドレスが存在しており、僕が座っていた場所はフリーアドレス(占有ロックをかけていたが)席で、近くにはホスティングの会社らしくUNIXプログラミングや詳解 Linuxカーネルなどの分厚い本やPerlやRubyなどの言語に関する本がいっぱい! 社内では活発な意見交換がいろんなところで行われ、自分たちの携わるサービスをより良くしていこうと感じられました! また、お昼には勉強会やゲームをみんなでする風景も多く、みんな仲がいいなと思いました。
またイベントも多く、四半期に一度慰労会のような模様しものがあったり、PTF(Pepabo Tech Friday)という Tech ミーティングが月一で開かれたりと楽しい環境です!
福利厚生
GMOグループ共通の福利厚生として、Myカップを持っていくことで社内カフェ "Yours" でフリードリンク!しかも毎週金曜日はバーとしてお酒やご飯が飲み食べ放題!(有限個しか用意されていないのでなくなり次第終了)
お昼もフクラスYoursとセルリアンYoursの双方で要予約であるが無料で食べられお財布にやさしい!
GMOペパボ としては、1泊2日の年末社員旅行にバイトでも参加できる! 東京と福岡、鹿児島各オフィスのパートナーが一箇所のホテルに泊まり、交流を深めることが目的です。詳しくはこちら
周辺ランチ
グルメ情報が長いので興味がある方はどうぞ
グルメ情報
とあるパートナーさんの行きつけのかんからという沖縄料理屋さん
tabelog.com
優しく包んでくれるようなネパール料理 ネパリコ tabelog.com
排骨担々麺の美味しいRenge no Gotoku tabelog.com
リーズナブルに回らない寿司が食べられる和泉鮨 tabelog.com
無限にナンが出てくるカンティプール tabelog.com
美味しい蕎麦とどんもので生きていると感じるためにいくお店 蕎麦由々 金王庵 / tabelog.com
健康的だがクセになるカレー(オフィスから遠いのでいきにくいかった....) tabelog.com
他にも美味しいお店や飲み屋さんがあるのでぜひ渋谷に行った時はいきたいです!
振り返り
今振り返ってみると、入社直後は本当に技術や人間的にも未熟で、何もできていなかったなと感じるほど、この1年と3ヶ月がエンジニアとして、そして学生として成長できるものだったと感じます。
この期間にコーディング面ではクリーンアーキテクチャやDDD、テスト駆動開発という考え方を、環境面ではk8sやDockerをうまく扱えるようになったりandibleなどのツールも使えるようになりました。また、実践でしか経験できないようなことや事業会社のセキュリティ、そしてセキュリティエンジニアはどのようなものなのか、エンジニアとはどうあるべきなのかといった多くのことを間近で学ぶことができ大変勉強になりました。
これから
ひとまず来年の3月までSecHack365があるので、そちらに集中しながら、早期選考をしている会社さんにエントリーする就活生ムーブを決めていこうと考えています。
最後に
ペパボ でエンジニアとして、そしてコード/システム/サービスに対する姿勢や考え方、そして技術を教えてくれたhibomaさんとmrtc0さん、CTOのあんちぽさん、室長のtamonさん、面接をしてくださりそのあとも気にかけていただいていたhsbtさんとつね(tnmt)さま、仲良くしてくださった技術部や多くのパートナーのみなさん、本当にお世話になりました。ありがとうございました!!
P.S endoさん、スマブラ初心者の僕をぼこぼこにしたのはずっと覚えているので覚悟しておいてください!(スマブラ持ってないけどいつの日か!)
P.S 年末の旅行には参加する予定です
学生向けに
百聞は一見にしかず!いまペパボでは ウィンターインターンを募集しているので是非応募して社内の様子を見にいこう!
社会人向け
楽しいセキュリティ対策室ではこんな募集があるのでぜひ! www.wantedly.com