はじめに
こんにちは、morioka12 です。
今回は「2022年の振り返り」ということで、今年あったことを簡単に振り返ってまとめてみようと思います。
タイムライン
覚えている範囲で、時系列でまとめると以下のような感じでした。
1月
- 特になし
- (確か脆弱性探したり、就活考え始めたり、カジュアル面談し始めてた)
2月
- 技術ブログ「Lambdaの落とし穴 - 脆弱なライブラリによる危険性とセキュリティ対策」を書いた
3月
4月
- 3年生に進級した
5月
- CVE ID を取得した
- 「IPFactory Welcome CTF 2022」を主催した
- 「AWS Certified Solutions Architect - Associate」を取得した
- 「サーバーレス LT vol.2」で LT 発表した
- 「Security-JAWS【第25回】」に登壇した
6月
- 「IPFactory LT 2022 #1」で LT 発表した
7月
- 技術ブログ「Amazon S3の脆弱な利用によるセキュリティリスクと対策」を書いた
8月
- 「セキュリティ・キャンプ全国大会2022 オンライン」でチューターをした
9月
10月
- 「JAWS DAYS 2022 - Satellites」に登壇した
- 技術ブログ「CTF Cloud 問題の攻撃手法まとめ(2021年版)」を書いた
- 技術ブログ「HTB Cloud 問題の攻撃手法まとめ」を書いた
11月
- 「セキュリティ・ミニキャンプ オンライン 2022」で講師をした
12月
- 「MBSD Cybersecurity Challenges 202」で最優秀賞を獲得した
各カテゴリー
JAWS
今年は初めて JAWS のイベントに2回セキュリティネタで登壇しました。
- Security-JAWS【第25回】
- タイトル:「AWS Lambdaにおけるセキュリティリスクと対策」
- JAWS DAYS 2022 - Satellites
- タイトル:「AWSサービスにおけるサーバーレス環境のセキュリティリスク」
Security-JAWS の方では登壇時間20分で、JAWS DAYS の方では登壇時間40分で話しました。
どちらもサーバーレス環境でよく使われる Lambda や S3 などの AWS サービスに着目して、セキュリティリスクや対策についてまとめました。
JAWS DAYS の登壇は、CfP(Call for Papers)応募に初めて応募して初めて選ばれて登壇することになり、ビックリしましたが無事に終えられて良かったです。
どちらもとても良い経験になりました。
登壇スライドは公開しているので、こちらからご覧ください。
詳しくはこちらの公式ページをご覧ください。
セキュリティ・キャンプ
今年のセキュリティキャンプは、以下の2つに参加しました。
- 「セキュリティ・キャンプ全国大会2022 オンライン」:チューター
- 「セキュリティ・ミニキャンプ オンライン 2022」:講師
ちなみに、セキュリティキャンプ歴は以下のようになりました。
- セキュリティ・キャンプ全国大会2020 オンライン: 受講生 (B トラック) - セキュリティ・キャンプ全国大会2021 オンライン: チューター (B トラック) - セキュリティ・キャンプ全国大会2022 オンライン: チューター (B クラス) - セキュリティ・ミニキャンプ オンライン 2022: 講師
全国大会の方では、専門コードの B クラス(Web セキュリティクラス)でチューターを務めました。
全国大会にチューターとして参加するのは、今回で2回目でしたが初のオフラインで参加して、とても有意義な時間になりました。
そして、全国大会にある LT では「AWS サービスにおける設定不備やリスクの概要」という内容を発表しました。
今年のセキュキャンでこんなこと話します#seccamp #セキュリティキャンプ pic.twitter.com/NYygBFFluh
— morioka12 (@scgajge12) August 7, 2022
詳しくは、以前書いた参加記をご覧ください。
ミニキャンプの方では、「WebとCloudにおけるセキュリティの基礎と実践」というテーマで講師を務めました。
2日目 午後の講義は、情報科学専門学校在学
— セキュリティ・キャンプ (@security_camp) November 6, 2022
森岡 優太 氏による『WebとCloudにおけるセキュリティの基礎と実践』 です。
Webとクラウドのセキュリティリスクを把握し、Webアプリケーションの開発やクラウドサービスを使用する際に活かせるセキュリティのノウハウについて学びました。#seccamp pic.twitter.com/YMQYjPbTMP
講義では、 Web Security と Cloud Security の2軸で講義資料を作成し、3時間の座学・演習の講義を行いました。
本講義では、Webアプリケーションの脆弱性やクラウドサービス(AWS)に潜む脆弱な設定不備、セキュリティリスクやそれらの対策について概説します。あわせて、実際に脆弱なクラウド環境上にある脆弱なWebアプリケーションに対して、攻撃者の視点を演習から通して確認し、その防衛策について解説します。本講義を通して、Webとクラウドの密接な関係にある両方のセキュリティリスクを把握し、Webアプリケーションの開発やクラウドサービスを使用する際に活かせるセキュリティのノウハウについて学びます。
正直、テーマを幅広く取りすぎた分、説明したい内容や講義でやりたい構成などが多くなってしまい、結果「資料・演習多め」で「講義中・事後学習で取り組んでみよう」といった形になりました。
そして講義最終日には「修了試験」があり、受講生には各講義から出題された講義に関する問題を解いてもらいました。
本講義では、「Web Security」と「Cloud Security」で2問を CTF 形式で出題しました。
講義終了後も、講義内容に興味を持ってくれた受講生と DM でやりとりをしていて、今でも学習のサポートや交流をしたりしてます。
最終的に、本講義に就いてくれたチューター2名のサポートのおかげで、ミニキャンプを無事に終わることができました。
インターンシップ
今年度は就活生(24卒)ということで、いくつかのインターンシップに参加しました。
その中の一つに、サイボウズが主催するサマーインターンで「プロダクトセキュリティコース」に選考を通過して、4日間参加しました。
主に Cy-PSIRT が普段行っている業務を体験させていただき、以下のような内容を行いました。
PSIRT の業務を一通り簡単に経験することができ、普段は脆弱性を探す・検証する・報告するといったことはしていましたが、その裏側の対応面を知ることができ、とても良い経験になりました。
詳しくは、以下の公式の開催報告をご覧ください。
コンテスト
今年は「MBSD Cybersecurity Challenges 202」にチーム IPFactory として参加し、最優秀賞(1位)を獲得しました。
MBSD Cybersecurity Challenges 2022でIPFactory(@01futabato10,@y0d3n,@n01e0,@scgajge12)が最優秀賞を取りました🎉
— IPFactory (@_ipfactory_) December 15, 2022
IPFactoryとしては3度目の最優秀賞です!!! pic.twitter.com/EXsRkmDbZY
コンテストのテーマは「Web アプリケーションの脆弱性診断」で、配布された VM を元に診断・報告書作成・再診断・診断報告会といったことを行いました。
私はちょうど「セキュリティ・ミニキャンプ」の講義に関することなどで、あまりコンテストに注力できませんでしたが、先輩たちの実力で最優秀賞を取ることができました。
詳しくは、以下のメンバーの参加記や公開情報をご覧ください。
専門学校・高等専門学校対象のセキュリティコンテスト「MBSD Cybersecurity Challenges 2022」最終審査会|専門学校と経営:専門学校経営者に情報を届けるサイト
【セキュリティ ニュース】サイトの脆弱性診断で勝負 - 専門学生向けセキュコンが開催(1ページ目 / 全2ページ):Security NEXT
技術ブログ
今年に書いた技術ブログは以下になります。
今年は「Cloud Security」多めのネタ(特に AWS )を書いてました。
どれも Twitter など良い反応を頂けて、ありがとうございました。
Bug Hunt
今年はあまり Bug Hunt に時間を割くことができませんでした。
OSS の方では、複数の脆弱性を報告して CVE ID を2つ取得しました。
初めて CVE ID 取得した (CVE-2022-29894) https://t.co/uVc99IVZxY
— morioka12 (@scgajge12) May 13, 2022
CVE ID 取得した (CVE-2022-3072)https://t.co/BtesskAd8q https://t.co/eo0HkbvYFG
— morioka12 (@scgajge12) September 1, 2022
また、Bug Bounty の方では、数件認定(Accept)されて、今年は合計数十万円獲得してました。
インパクトが大きい脆弱性だと2件だけ Critical な報告をして、そのうちの1件は認定されました。 (もうひとつは重複だった)
脆弱性はどちらも「Account Takeover」でした。
この報告で報酬金17万円くらい貰えそうでちょっと嬉しい https://t.co/KhgD2iZTer
— morioka12 (@scgajge12) May 13, 2022
来年はもっと Bug Hunt に取り組みたいと思ってます。
その他 (ディズニー)
ここまで技術系ネタばかり書いたので、最後にちょっとした趣味まとめです。
私はディズニーが好きで、特にディズニーランド・シーでショーやパレードを見たり、写真撮ったり、好きなキャラクターのグッズを買ったりしていつも楽しんでます。
いつもスマホや PC の壁紙は全てディズニーで、ディズニーのファンクラブ(ファンダフル・ディズニー)にも入ってます。 (Twiiter のヘッダー画像の今年撮ったシーの写真: https://twitter.com/scgajge12/header_photo)
今年はディズニーラント・シーに何回行ったか数えてみると、合計7回行ってました。
(毎月行きたいけど)流石に忙しい月は行けてませんでしたが、どのシーズンも楽しかったし、良い思い出となりました。
他にも、ディズニーストアによく行ったり、今年は初めて劇団四季でアナ雪のミュージカルを見にも行ったりしました。
来年も既にディズニーに行く日程が決まっているので楽しみです。
最後に (来年に向けて)
今年もあっという間に終わりそうで、この振り返りブログを書いてて「色々やってはいたな」って思いました。
来年(来年度)は4年生で最後の学生生活になると思うので、より時間を大切にして有効に使いたいと思っています。(学業も業務も趣味も色々と)
今年は色々な人に大変お世話になりました、ありがとうございました。
来年もどうぞよろしくお願い致します!