こんにちは、のみぞう(@nomizooone)です、趣味でサイバーセキュリティをやっている者です。
アイキャッチは「クリスマスの日にnmapコマンドを-vオプションをつけて実行するとクリスマスをお祝いするメッセージが特別に表示される」という使い古された小ネタの画像ですが本文とは一切関係ありません。中島くんも関係ありません。
この記事はClassi developers Advent Calendar 2022の15日目の記事です。本当はClassiの脆弱性対応はこういう感じでやってます~って真面目な話でもしようと思ってたのですが、あんまりおもしろくなかったので、それは会社の技術ブログのほうにネタを温存しておくことにします。かわりといってはなんですが、Classiは教育の会社なので、クリスマスにちなんだセキュリティの学習教材の紹介をします。
ゲーミングセキュリティ学習の提案
ゲーム好きな人って多いですよね。サンタさんにゲームソフトをおねだりしてるちびっこも多いのではないでしょうか?(ちびっこがこのブログを読んでるかはさておき)ちなみに私は今年のクリスマスはFitBoxing 北斗の拳を自分に贈ろうと思っています。
閑話休題。いろんなセキュリティの勉強会にちょいちょい顔を出してほかの参加者の方とお話しすると、「セキュリティってどうやって勉強したらいいんでしょうか?」って質問されることが驚くほど多いです。これはミドル以降のセキュリティ屋あるあるではないかと思ったりします。
正直答えは「人による」なので簡単に返事するのってすごく難しいです。しかし、クリスマスには奇跡が起こります。今の時期は無料でゲーム感覚でそれなりに楽しく幅広い分野のセキュリティを学習できる良質コンテンツが2つもあるのです。
両方英語ですが…どっちも基本はブラウザで動くので翻訳ソフトを使えば語学が壁になることはほとんどありません。英語が苦手な人もあきらめずにいきましょう。
2022 SANS Holiday Hack Challenge & KringleCon
一般企業や政府機関など組織横断的にサイバーセキュリティに関わる研究を推進したり、実務の現場で必要となる高度な専門教育を手掛けるSANS Instituteによって毎年行われている、クリスマスをテーマにしたバーチャルカンファレンスです。
推しポイント
他のユーザーも同じ世界のなかで動いているのが見えたりして、ネットゲームのような雰囲気でストーリー仕立てでセキュリティや関連する技術を学ぶことができます。登録できるのは13歳以上の人という制限がありますのでそこだけ注意。
ちなみに期日までにWriteUp(ゲームクリアまでの回答方法を解説したレポート)を提出すると商品が当たる可能性があるそうなので、腕に覚えのあるかたはチャレンジするのもよさそうです。
登録してみよう
特設サイトからPlayNowをクリックします。
説明を読んで「Click here to register for KingleCon!」をクリック
マウス操作や十字キーで移動ができます。
アバターをカスタマイズする
初期状態はアバター(中央にいる自分の分身となるキャラクター)がランダムにつくられるので、気に入らなかったらカスタマイズしましょう。感情移入には見た目も大事です。右上の人型アイコンをクリックします。
ウィンドウの左側の左右の矢印で色や各パーツの形が変更できます。気に入ったキャラクターにできたらセーブをしてウィンドウを閉じましょう(こういうキャラデザのセンスは海外だなあという感じがします)
ジングル・リングフォードと話す
さっきから話したそうにしているひと(緑色で表示されているのがキャラクターの名前です)がいるのでクリックして話を聞きましょう。人じゃなくてエルフです。サンタさんにオリエンテーションを頼まれたそうです。
リングフォードと話すと5つのリングがもらえてウォレットを確認しろと言われます。左にあるATMっぽいやつがそれっぽいのでクリックします。
説明をよむとKingleCoinというものがもらえます。仮想通貨的なやつでしょうか。なくすなよ!絶対なくすなよ!!って言われています。嫌な予感しかしません。おそらくストーリーが進む中で必要になるのだと思います。ちなみにKingleってのはサンタさんの本名らしい。
話がおわるとターミナルが出現します。このラズパイっぽい緑色の四角のアイコンはクリックするとターミナルが使えます。
クリックするとブラウザの中でターミナルが開くので、この世界の中ではこうやってターミナルを起動して操作します。今後も使うことがあると思うので覚えておきましょう。
上側の四角をクリックすると文字入力ができるようになるので、answerと入力してエンターキーをクリックします。
クリアするとチュートリアルが終わって門が開きます。十字キーかマウスを移動させて門の外に出ましょう。
サンタさんと話す
門から出てすぐのところにいるサンタさんと話すと「雪でサンタ城が埋まっています。それはそれとして5つの魔法のリングを探してください。リングがないとクリスマスができません。クエストに挑戦してください(意訳)」って言われます。
…え、急にどういうこと??
私の英語力に問題がある可能性がありますが…とにかく、この手のゲームのお約束として困ってる人がいたら助けてあげましょう。クエストをこなしていくタイプのRPGと思えばなんの不思議もありません、慣れてください(2度目)
画面左側のメニューでクエストが確認できます
最初の問題を解いてみる
最初だけ一緒に問題を解いてみましょう。開いたウィンドウの「Objectives」ってところにクエストがまとめられてます。スクロールバーでスクロールしてみましょう
サンタさんから授かったクエストの中から「Recover the Web Ring」ってのをやってみましょう。
いたずらなIPアドレス
最初はpcapファイルがダウンロードできるのでそれを解析する問題のようです。CTFとかでもよくあるやつですね。
トラフィックを分析していたずらをしてくるIPアドレスを特定すればよさそうです。Sparkle Redberryという人(?)がヒントをくれるらしいのですが見つけられなくてそのまま解いちゃいました。マップの中のどこかにいるのかなあ?
色んな解法があると思いますがダウンロードしたpcapファイルをWiresharkで開くのが簡単です。Wiresharkをインストールしていない人はこちらからどうぞ。
問題文から「いたずらをしてきている」ってことがわかるので、何度もログインを試しているのではないか?と予想ができます。つまり短時間に何度も/login.htmlにアクセスを繰り返している不審なIPアドレスを見つけて回答するとそれが正解でした。
回答が正しいとチェックが緑色になって解決したことがわかります。こんな要領で問題に答えてリングを回収していくのが当面の目的になりそうです。
最初はWiresharkを使ったWEBのログ解析の問題でしたが、ストーリーを進めると様々な種類のクエストをこなす必要があります。自然にツールの使い方などを覚えることができますので、よかったら試してみてください。
詰まったらゲームの世界を探索してみるといいですよ!
Advent of Cyber 2022
2つめにご紹介するのは、個人的に初心者の方に推しているセキュリティ学習プラットフォームTryHackMeの、クリスマスの時期に毎年行われているイベントです。
推しポイント
前述のHoliday Hackももちろん面白いんですけど、どうしてもキャラクターを操作したりセリフを読んだりアイテムを探したり…テレビゲームっぽい遊びの要素がどうしても入ってくるので、そういうのいらんのじゃーー!って方にはこっちの方がおすすめです。一応ストーリーはありますがそんなに感情移入しなくても純粋に知的好奇心を満たすものとして楽しめます。
登録してルームにアクセスすると、チュートリアルとストーリー説明が読めます。可愛いマンガだなあ。
ベストフェスティバル社のMcSkidyくんがサイバー事件の調査とシステムの保全を行うから力を貸して!僕と契約してセキュリティエンジニアになってよ!(意訳)っていうストーリーのようです。
25日までに、レッドチーム・セキュアコーディング・WEB脆弱性・ブルーチーム・IoTハッキングのテーマが扱われるとのこと。個人的にIoTハッキングとかあんまり馴染みがなくて興味があるのでちょっとやってみようかなあと思います。
タスクひとつひとつはそれほど重くない&初心者向けにきちんと解説がついているので、気軽に幅広いテーマにチャレンジできるのもうれしいポイントです。
アドベントカレンダーイベント
このイベントは、アドベントカレンダー形式になっているので、クリスマスまで1タスクずつ公開されます。まだ15日目なので、急げばクリスマスに間に合います!最後に抽選があって、いろんな賞品が当たるみたいです。解いた問題が多いほど当選確率が上がるそうな。
登録してみよう
興味のある方は登録の仕方など別の記事にまとめてるのでそちらをご覧ください(思ったより記事が長くなってしまったので割愛)
無料で遊べるし勉強になるし面白いよ!
まとめ
そんなわけで、クリスマスはセキュリティの勉強をするのに最適な時期といえるのではないでしょうか?
今回紹介した2つのサイトはどちらもクリスマス過ぎても1年中遊ぶことができます(じゃあ時期関係ないじゃん、というのはそうなんですが…季節感を感じていきましょう)もしご興味があれば、休日の暇なときとかに一歩踏み出してみると、また別の楽しみが見つかって良いかもしれません。ではでは。
明日のClassi developers Advent Calendar 2022は新卒のすずまささんの記事です。たのしみにしてます!
