データサイエンス&サイバーセキュリティ備忘録

Python, Data Science, Kaggle, Cyber Security, CTF, などなど

Micro Hardening v2 に参加しました

2021年5月4日、オンラインにてMicro Hardening v2に参加しました。

(今更感がありますが、てっきり公開したと思ったら下書きを更新していただけで公開していませんでした汗)

microhardening.connpass.com

とある知り合いから、セキュリティに関する面白そうなイベントがあるよ!とわざわざ私に連絡をしてくださり、connpassにて参加登録をしました。(連絡してくださり、本当にありがとうございました <(_ _)> めちゃめちゃ楽しかったです!)

イベントの概要などは後述しますが、イベントを通じてセキュリティに関してより詳しくなることができました。

Micro Hardening v2 とは

Micro Hardeningとは、主催者が用意したECサイトの管理者としてサイバー攻撃の対処をするというプロジェクトです。

(v2がついているのは、前回のバージョン(= v1)から競技の環境の更新を行ったり、評価方法を少し変更してアップデートしたためのようです。)

このプロジェクトは、ゲーム感覚でサイバー攻撃に対処する能力を身につけるということがコンセプトであり、チームを組んでスコア(= ECサイトの売上)を稼いで競い合います。

競技の流れですが、競技が開始すると主催者が用意したクローラが動き出してECサイトで買い物を開始しますが、同時にサイトへの攻撃も始まります。

そのため、スコアを稼ぐために参加者はサイトを攻撃されないように設定を変更、または攻撃をされた後に適切にサイトを回復させる必要があります。

今回は、事前準備30分+競技45分を1セットとして計3回行いましたが、いずれのセットもクローラは全く同じ動きをするため、1セット目の反省を2セット目で活かすといったように繰り返し演習を行って対処方法を学ぶという流れでした。

プロジェクトの詳細は、今後参加する方へのネタバレになってしまうということであまり書けませんが、クローラの攻撃内容と対処方法は実務でも経験する可能性があるので、セキュリティに興味があるエンジニアにおすすめです。

また、今回参加したMicro Hardening v2はコミュニティ版であり、有償の企業向けのトレーニング版もあるとのことです。

チーム編成

connpassでの登録時は1人で参加しようと思っていたのですが、説明文をよく見るとチーム戦であることに後から気が付きました。

チームは知り合い同士で組むことも可能ですが、チームのメンバーの登録は主催者が用意したスプレッドシートに記入するというものでした。

私は勉強会が始まる15分前に、人数に空きがあるチームに名前を記入しました。

今回は、HUIT(北海道大学IT研究会)の方々のチームに入れて頂きました。

私が急に加入したのにも関わらず、一緒にプロジェクトを進めてくださってありがとうございました!

全セット終了後

全てのセットが終了したあとは、それぞれのチームがどのようにECサイトの設定を変更したのか、攻撃に対してどのように対処をしたのかを共有する時間がありました。

参加したチームの中には経験者で構成されたチームがありましたが、そのチームの対処法がスマートかつ的確な対処をしていて非常に勉強になりました。

本業がデータサイエンティストなので、このような機会でないと本格的な体験が今のところできないので、次回以降もぜひ参加したいと思いました。

後日談

HUITの方々とMicro Hardening v2の振り返り会を行いました。

大学時代はComputer Science Major の友だちと外部のコンペやプロジェクトに参加することがなかったので、私もちょっとした学生気分で参加させていただきました笑

HUITの皆さん、また機会があればよろしくお願いします!