ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

受託Webアプリエンジニアを辞めて、セキュリティエンジニアに挑戦しているお話

本記事は退職者 その2 Advent Calendar 2018の17日目の記事です。

adventar.org

色々と落ち着いたので転職エントリなるものを書いてみる。 年末ですしね。Advent Calendarも12月の恒例行事だし、せっかくの機会だし、一度私自身の考えを整理するためにもやってみたかったので便乗します。

2018年9月末Webアプリエンジニアを辞めました。 1ヶ月ニート期間を満喫した後、2018年11月頭よりセキュリティエンジニアとして働いております。

今年は転職を2回行いました。 1社目Web受託会社(2018年3月末退職)→2社目Web受託会社(2018年9月末退職)→サイバーセキュリティ会社という変遷をしたのですが、今回は1社目、2社目はあまり意識せずにWeb業界(受託)からセキュリティ業界への変更として見てもらえればいいかなと思います。

1. なぜ受託のWebアプリエンジニアになったか?

新卒で入社した会社がWebアプリケーションの受託開発をメイン事業としている会社だったからです。

私は大学時代に情報工学を専攻しており、新卒の就職活動でプログラマを志望していました。

情報工学科でしたがプログラムに関する知識はなく、C言語を大学の講義資料のまんま見よう見まねでコピペするような、ダメダメな情報工学科の学生でした。

手に職をつけるという意味では、Webアプリエンジニアはとてもいい選択だと思っております。 私自身一つのことを極めるオタクタイプの人間なので、技術職は向いていたかなと思います。

2. 受託のWebアプリエンジニアになってどうだったか?

とても楽しかったです。 休日に書籍を買って勉強して平日の業務に活かすとか普通にやってました。 そもそもそういうことをやるのがプロとしての姿勢と言われて育ちましたし、 早く一人前になるために私自身納得して業務外での勉強を自主的にやっていました。

仕事として残業もしましたが、よくTwitterで見る毎日終電・土日に出社することが当たり前みたいな大炎上プロジェクトは回避できました。

受託開発会社で良かったなと思った点は、案件ごとに触れられる技術が違うので、色々な技術に触れることができたことです。 自分の肌に合う技術に出会える可能性が高いのは受託開発の良いポイントだなと思っています。 実際に私はRubyに出会えることができましたし、今も一番の得意言語はRubyだと思っています。

また、1社目の会社がとても良い会社であり、技術者としての生き方、勉強の仕方を学びました。私が今技術者として存在していられるのは1社目の会社のおかげです。本当に感謝しております。ありがとうございます。

3. なぜ受託のWebアプリケーションエンジニアを辞めたのか?

理由は2つあります。

自分のやりたいことに向き合ってみたから

1つ目は、キャリアパス、やりたいことを見つめなおした結果です。

現在の私はプロジェクトのマネジメントに興味がありません(きっぱり)。

エンジニアのキャリアパスとして一般的なもの*1プログラマシステムエンジニア→プロジェクトマネージャー(以下PM)といったものがあります。

PMになるためには、プログラマなどの技術者として必要な技術とは別のタスク管理力や顧客折衝力、チームビルディングなどの技術が必要になってくるので、今の時点ではPMの勉強をする気が起きませんでした。

だって、技術が楽しいんだもの。 許されるうちは私は技術者として必要とされる技術を追求していきたいです(わがまま)。*2

そこで私が今興味を持っていること、構築したいキャリアを考えた結果、サイバーセキュリティという選択肢が出てきたのです。

受託開発に限界を感じたから

2つ目は受託開発に疑問を持ち始めたからです。

プログラマとして働いていくうちに、CIとか、ユニットテストとか、プログラムを綺麗に書くなどの作業がすごい重要だと気付きました。 ただ受託開発だとお客様理由で「期限」というものがあって、案件を受注した時点で開発する立場からは動かせない絶対的な制約条件がある場合がありました。 本当はプロジェクトとして正常な状態を保ちたいのに、期限という外部的な要因で諦めなければいけない状況にモヤモヤしていました。

上記の理由から受託開発は私の中ではもう限界だったのです。*3*4

4. なぜセキュリティを選んだのか

理由は2つあります。

成長する業界であり求められている人材だから

一つ目は近い将来、伸びる業界だし、求められている人材だからです。 まず、サイバーセキュリティの業界はこれからも絶対に必要な業界です。 理由はインターネットなどのサイバー領域が存在する限り、そのサイバー領域を狙って悪いことを企む輩(クラッカー)がいるからです。 クラッカーがいる限り、サイバーセキュリティに関する仕事は必ず存在します。

また、人材に関してはIPAから下記のようなレポートが出ています。 www.ipa.go.jp

資料によるとセキュリティエンジニアが足りなくなるとのこと。

サイバー攻撃は増える一方であり、人材も足りないのならば、今このタイミングで私もサイバー領域を守る立場になってみようと思った次第です。

目を覚ませ、僕らの世界が何者かに侵略されているぞ!!

情報処理安全確保支援士になったから

2つ目は、情報処理安全確保支援士になったからです。 自己研鑽の一環で大学時代からIPAの試験に挑戦し続けていました。 これからはプログラマとしてもセキュリティは必要だろうなと考えたため、情報処理安全確保支援士に挑戦し、合格、そして登録までしました。

晴れて、情報処理安全確保支援士として名乗れるようになったのですが、セキュリティに関して何ができるかって言われると何もできなかった私がいました。 名刺とかには「情報処理安全確保支援士」って付けられるのに、セキュリティ業務を何もできない、何も経験がないってダサいなと思いました。

それがコンプレックスになりつつあり、こんなコンプレックス持つくらいなら挑戦してみようと考え、思い切ってセキュリティ界隈に飛び込んでみました!*5

5. セキュリティエンジニアになるために頑張ったこと

本を読み漁りました

セキュリティ関係の本を読み漁りました。 情報処理安全確保支援士に挑戦するときに、色々と本は買っていたのでそれの読み直しなども行いました。

年末にも新しく本を買って勉強してみようかなと思います。

セキュリティ技術を学べる塾に行った

情報処理安全確保支援士や本は基本的に座学が中心であり、ハンズオン形式で学べる環境がありませんでした。 しかしググってみたところ、セキュリティ技術を学べるセミナーがいくつかあることがわかりました。 私が発見したところは、毎月受講生を募集しており、タイミングも重なったため運よく翌月からセキュリティ技術を学べるセミナーに週1回参加することができました。

セキュリティ会社に入社するために転職活動をして、面接も経験したのですが、 このセキュリティ技術を学べるセミナーは、好印象に受け取られていた印象です。

何かしら志望している職種を手に入れるために行動できていると、企業側も評価しやすいですよね。

ハニーポットを植えてみた

直にサイバーアタックを受けてみたい!と思い植えました。 個人がどのように観察するかによりますが、色々とセキュリティの知見を得ることができているのでとても楽しい勉強教材です。 取得できた脆弱性情報調べたり、ログの見方なんかも勉強しながらログからの情報検知を試しております。 月6,000円くらいの維持費がかかっていますが、自己投資だと思って我慢しております(苦笑

もし良ければ毎週観察日誌書いているので見てみてください。

ultrabirdtech.hatenablog.com

7. 転職活動

少し、転職活動についても触れておきます。 10月の1ヶ月をニート期間として転職活動に勤しみました。 10月に妹の結婚式があり、親族控え室で「今ニートです」と宣告する地獄を経験しましたが、それ以外は充実したニート期間でした。

転職エージェントさんには8月のお盆休みから相談をしており、エンジニアに特化した求人が得意なエージェントさんを活用させていただきました。 最終的に10月中旬には、ご縁のあった企業様から内定をいただき、11月よりセキュリティエンジニアの卵として日々努力しております。

8. セキュリティエンジニアに挑戦してみてどうだったか

まだセキュリティエンジニアの卵として2ヶ月目なのですが、毎日充実した日々を送らせてもらっています。

やはり私自身がどうなりたいかを考えたときに、周囲の環境を変えると言うのはすごい効果がありますね。

周りがセキュリティエンジニア、セキュリティに知見を持っている方々に囲まれているので毎日学びがあり、セキュリティエンジニアを目指す環境としては、とても充実した日々を過ごせています。

また、情報処理安全確保支援士を取得するために勉強した内容がすごい生きてきています。 情報処理安全確保支援士を勉強した時は、大量にセキュリティの知識を詰め込むだけだったのですが、業務の度に点の知識が線で繋がることを実感しております。

そしてすごい意外だったのですがプログラムできるということが、セキュリティエンジニアとしての一つの長所になりつつあります。 プログラムスキルってWebアプリエンジニアとしては当たり前のスキルでしたが、セキュリティエンジニアとしては絶対条件ではないみたいです。

プログラミング最の高ですね。

9.今後の展望

今後は一人前のセキュリティエンジニアを目指して日々精進いたします。

早いうちに情報処理安全確保支援士として名前負けしないような人材になりたい。 そして、目下の目標は30歳までにホワイトハッカーになることです。

漠然とホワイトハッカーというものに憧れております。

2018年の6月にお笑い芸人ハライチさんがMCを務める深夜番組で、ホワイトハッカーに色々聞いてみるという回がありました。 tvtopic.goo.ne.jp

それを見ていたら「ハッカーって私でも目指せるのかなぁ・・・」と思ってしまったんですね。 だって、ハッカーって技術職の最高峰の職位みたいな感じがして、とてもかっこいいじゃないですか!(知らんがな)

2社目の受託開発会社に転職して数ヶ月経った6月頃色々と仕事が辛い時期にさしかかっていて、やりたいことができない時期がありました。 凄いもどかしくて「なんで今辛い思いしているのだろう」、「人生ってやりたいことをやっていいんだよな」と思いつめていました。

大学時代の友人に「子供の頃からの夢だったバスの運転手になった友人」とか「マッサージ業界で新風を巻き起こそうとしている友人」がいるのですが、そんな彼らをみたいたら、夢や目標もなくただ仕事をしている私ってなんなんだろうなと思い、どうせだったらやりたいことをやろうと行動した次第です。

そんな「やりたいことをやることが大事」という、人生を生きる上で一番大事なことに気づかせてくれた2社目の会社にも、とても感謝しております。ありがとうございます。

これからもホワイトハッカーという目標に向けて引き続き努力していこうと考えているので、どうぞよろしくお願いいたします。

10.まとめ

現在、私はセキュリティエンジニアとして日々努力しております。Webアプリエンジニアとして学んだことも活かしていきます。

やはり、人生やりたいことをやったほうがいいですよね。

私は好きにした、君らも好きにしろ

この言葉に尽きます。

ということで、私の欲しい物リストを下に貼っておきます。

https://www.amazon.co.jp/gp/registry/wishlist/1OBDPSPLPXU7R/ref=cm_sw_em_r_z_pg__wb

以上です。

*1:企業毎に異なると思います。企業さんによっては技術職一本で行けるようにキャリアパスを考えてくれている企業さんもいらっしゃいますね

*2:遠くない未来、私もプロジェクトマネジメント力は必要になるスキルだと思うので、必要になる前に勉強はしようと思っています(ただ、今じゃない)。目安は30代以降かな。。。

*3:もちろん受託開発を中心としている企業様の中には、これらの問題に立ち向かいマネジメント力や技術力で解消している企業さんがいることも知っております。それらの企業さんからは学べることがたくさんあり、色々勉強させていただいております。ありがとうございます。

*4:余談ですが、2回目の転職先の候補として、ユーザー企業のプログラマというのもありました。 Rubyは今でも人材としての価値は高いようですし、転職エージェントさんからもRubyの開発案件なら沢山ご紹介できますよと言っていただけました。 ただ、今回はまだ20代なので失敗しても巻き返せると思い、挑戦できる時期にセキュリティエンジニアに挑戦するという選択をしました。

*5:Webアプリエンジニアとしても、セキュアプログラムやネットワーク構成の設計時など、ある一定の経験値を積んだエンジニアであればセキュリティの知識は必須です。ただ、私は将来的に情報処理安全確保支援士として仕事を受けると考えた時、もう少しセキュリティに特化した業務を経験しておきたいと考えました。

ばぁどのハニーポット・うぉっちんぐ - 2018/12/08 ~ 2018/12/014 -

ハニーポット観察日記としての定期アウトプットです。

観察期間:2018年 12月08日 00:00:00 - 12月14日 23:59:59

CVE

CVE 検知した回数
CVE-2005-4050 63
CVE-2017-7269 7
CVE-2015-1427 2
CVE-2003-0818 2
CVE-2017-0143 2
CVE-2017-5638 2

CVE-2005-4050が先週に引き続き流行しています。 先々週からすごい多いのですが、なにかあったのですかね。

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

攻撃種別

f:id:UltraBirdTech:20181215191241p:plain

攻撃種別 カウント数 %
known attacker 20087 84.43%
bad reputation 3606 15.16%
その他 - -

マルウェア

Total: 33

ファイル名 タイプ 取得日時 検出率
9c2848962... ELF 32-bit LSB executable 2018/12/08 02:07:41 37/56
5685b086c... ELF 32-bit LSB executable 2018/12/08 02:08:06 33/56
86fbdd7df... ELF 32-bit MSB executable 2018/12/08 02:08:31 33/55
5c8c41253... ELF 32-bit LSB executable 2018/12/08 02:08:55 36/57
0ffa9e646... ELF 32-bit LSB executable 2018/12/08 02:09:20 36/57
tmp95XNLf ELF 32-bit LSB executable 2018/12/08 03:32:09 39/58
tmp6ARi47 ELF 32-bit LSB executable 2018/12/08 03:32:10 39/58
tmpvudhxY ELF 32-bit LSB executable 2018/12/08 13:53:05 39/58
b33b30c3c... Bourne-Again shell script executable (binary data) 2018/12/08 16:56:56 27/56
tmpNnKr41 ELF 32-bit LSB executable 2018/12/09 03:30:26 39/58
tmp7Pc3mF empty 2018/12/09 05:23:15 0/60
ed52ad58b... ELF 32-bit LSB executable 2018/12/09 05:26:01 36/57
9910ca23d... ELF 32-bit LSB executable 2018/12/09 11:32:48 32/57
tmpySDcJi ELF 32-bit LSB executable 2018/12/10 01:40:56 40/57
tmpMD4yoT ELF 32-bit LSB executable 2018/12/10 13:53:29 39/58
tmpn2P0_c ELF 32-bit LSB executable 2018/12/11 01:07:43 39/58
tmphKIQZE ELF 32-bit LSB executable 2018/12/11 13:17:17 39/58
tmpD5zovT ELF 32-bit LSB executable 2018/12/11 19:55:08 39/58
tmpocCRDU empty 2018/12/11 20:12:09 0/58
f8c28666f... ASCII text 2018/12/11 20:12:39 0/58
42c3c0577... ELF 32-bit LSB executable 2018/12/11 20:13:00 36/59
tmpF27r4G ELF 32-bit LSB executable 2018/12/12 00:41:50 39/58
0293300dd... ASCII text 2018/12/12 06:27:24 0/58
20ceeed36... ASCII text 2018/12/12 06:27:24 0/57
d660d1120... ASCII text 2018/12/12 06:27:24 0/57
8779e030c... ASCII text 2018/12/12 06:27:24 0/57
512893f96... ASCII text 2018/12/12 06:27:24 0/57
5ab400ec0... ASCII text 2018/12/12 06:27:24 0/57
f6426a2b8... ASCII text 2018/12/12 06:27:24 0/58
d1858ce41... ASCII text 2018/12/12 06:27:24 0/58
b01ae8eba... ASCII text 2018/12/12 07:24:27 0/58
tmpawt7Ud ELF 32-bit LSB executable 2018/12/12 13:00:47 39/56
tmpGdSTni ELF 32-bit LSB executable 2018/12/12 19:50:42 39/56

所感

CVE-2005-4050 が気になりますね。

www.cvedetails.com

バッファオーバーフローを狙った攻撃で、リモート攻撃などを可能にする脆弱性のもよう。

12月に流行るなんてインフルエンザみたいですね。

少年ジャンプ新連載ne0;lationがハッキング漫画とのことなので読んでみた

どーも。ばぁどです。

今朝、Twitterを眺めていたら興味深いツイートを見つけました。

なにやら、少年ジャンプ新連載された「ne0;lation」がハッキング漫画なのですが、技術面で見るとガバガバで突っ込みどころがありすぎるとのこと。

www.shonenjump.com

待ちに待ったハッカーを題材にしている漫画だったので久々にジャンプを買って読んでみました。

早速買って読んでみた

普通の少年ジャンプの漫画だなーと言うところ。 ギャグのセンスとか、話の流れとか既視感ありますね。

二重人格があるゲーム好きの少年ではなく、死神代行を行うわけでもなく、 主人公が持っている能力が高度なサイバー技術になっただけと言うイメージ。

また、Twitter でもあったようにハッキングを行う場面での技術要素は飛躍しすぎているなという印象でした。 まぁ漫画ですし、主人公が魔法使い(ウィザード)級のハッカーということで納得しておきましょう。

一つ、個人的におぉっ!!と思ったのが「ハッカー」を本来の意味である「優秀なプログラマ」と正しい意味で捉えていたのは、少しゾクゾクッとくるところがありました。

作中に出てくる諸問題をハッキングで解決していくのが物語の骨子になるんですかね。

ne0;lationに寄せる期待

この漫画に僕はすごい期待しています。 何故ならば、日本産のハッキング漫画だからです。 少し前から日本産のハッカーを題材にした漫画やドラマがそろそろ新しく出て欲しいなと思っていました。

このようなハッキング漫画が出てきたことにより、 漫画を読んだ人たちがサイバーセキュリティ分野に興味を持ってくれることを期待しています。 近年ITの人材不足は叫ばれている問題であり、セキュリティ分野も例外ではないので。

次はドラマでみてみたいです。

ne0;lation 以前のハッキング漫画/ドラマ

以前にも何個かハッキングをテーマにした漫画、ドラマ、キャラクターはいますよね。 僕がさらっと思い出したものだけですが、下記に挙げていきます。

個人的にこののようなドラマを見て、自分の勉強のモチベを上げております。

国内漫画/ドラマ

ブラッディマンディ

主人公がファルコンというハッカーであり、テロ組織とバトルしていました。 実写化でドラマにもなっており、とても興味深く拝見していました。 流石に人工衛星ハッキングして座標を変えたりとか、数十秒でペンタゴンへハッキングとか無理ですけどね・・・苦笑 www.amuse-s-e.co.jp

相棒

そういえば、Season17時点で相棒にレギュラー出演している青木とかはサイバーセキュリティ捜査官でしたね。 少しハッカーとは違いますが、まぁ同じサイバーセキュリティ関連の仕事ということで。 www.tv-asahi.co.jp

海外漫画/ドラマ

海外の視点で見てみると、いくつかハッカードラマもできております。

MR.Robot

僕が把握しているものだと、MR.Robot. これが技術的に考察しても面白い作品となっております。

mrrobot-tv.jp

シリコンバレー

シリコンバレーとかも面白いです。 漫画の中にもあるのですが、 ハッカーとは優秀なプログラマの意味なので、 そのハッカーが行うハッキングというのもシステムを破壊することではなく、 本来の意味は「プログラムをして諸問題を解決すること」が本来の意味なのでこのシリコンバレーも遠からずというところだと思っています。 エンジニアあるあるがすごい詰まっているドラマなので、エンジニアの方であれば見てみたらすごい面白いのではないでしょうか。 www.hbo.com

エージェント・オブ・シールド

ハッキングドラマではないのですが、 エージェント・オブ・シールドに登場するスカイはハッカーの設定でしたね。 最近はハッキングする場面が描かれていないのが残念ですが、個人的に一番好きなハッカーキャラです。 abc.go.com

まとめ

私はne0;lationのような日本産のハッキング漫画を心待ちにしておりました。 引き続き、ne0;lationには期待をしつつ、動向を見守りたいです。 単行本買おうかな・・・

漫画やアニメといったコンテンツは教育コンテンツとしても優秀だと考えているため、是非とも長く続いていって欲しいと思います。

とりあえず読者アンケート答えておこう。

あとONE PIECEはやっぱり面白いです。

ばぁどのハニーポット・うぉっちんぐ - 2018/12/01 ~ 2018/12/07 -

ハニーポット観察日記としての定期アウトプットです。

観察期間:2018年 12月01日 00:00:00 - 12月07日 23:59:59

CVE

CVE 検知した回数
CVE-2005-4050 87
CVE-2017-7269 8
CVE-2015-1427 4
CVE-2003-0825 2
CVE-2014-3566 1
CVE-2016-6563 1

前回に引き続きCVE-2005-4050が流行している模様。 先週、他のハニーポットを見る機会があったのですが、同様にCVE-2005-4050の攻撃を大量に検知していました。 おそらく全体的に流行っているようですね。関連して脆弱性か何か発表されたのかな。。。

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

攻撃種別

f:id:UltraBirdTech:20181208081704p:plain

攻撃種別 カウント数 %
known attacker 29146 86.9%
bad reputation 4092 12.2%
その他 - -

前回に比べてbad reputationの割合が増えましたね。 ここら辺もう少し長い目で見てもいいんだろうな。 次回から比較なども検討していきます。

マルウェア

Total: 13

ファイル名 タイプ 取得日時 検出率
tmpLemIzQ ELF 32-bit LSB executable 2018/12/01 04:19:00 40/57
tmpBRTiXJ ELF 32-bit LSB executable 2018/12/01 19:41:10 40/57
tmpccyXY4 ELF 32-bit LSB executable 2018/12/02 14:07:00 40/57
80555461c987303f528794b1e5d159bddcd93342772291bdf1562277101f0c6d Bourne-Again shell script executable (binary data) 2018/12/02 18:47:58 16/57
tmpR2QNGT ELF 32-bit LSB executable 2018/12/02 19:37:42 40/57
tmpHmKfyt ELF 32-bit LSB executable 2018/12/03 05:04:27 40/57
tmpxsR0BP ELF 32-bit LSB executable 2018/12/03 17:46:22 38/55
tmp67sdCR ELF 32-bit LSB executable 2018/12/04 03:29:34 38/55
tmp5SWH1v ELF 32-bit LSB executable 2018/12/05 03:34:52 40/58
tmpl5oldr ELF 32-bit LSB executable 2018/12/05 19:49:54 39/57
tmpsQ8aOJ ELF 32-bit LSB executable 2018/12/05 19:49:55 39/57
b33b30c3cc7e027320e4d203303cc36a4e84b44451278bbb524ec54d5f61a4d6 Bourne-Again shell script executable (binary data) 2018/12/05 20:07:13 29/57

所感

CVE新しいものがなければ、工数は15分程度でできそうです。

ログの調査などもそろそろ始めたい。

あとはマルウェア調査結果の表崩れをなんとかしたい。

Drupal Camp Den Japan 動画が公開されていたのでいくつか見てみた

ばぁどです。

以前参加したDrupal Camo Den Japan Vol1.0の動画がYouTube で公開されていました。

限定公開で公開されております。 URLは貼ったらまずそうなので、下記ページより各自飛んでください。

drupal-camp2018.den-japan.org

個人的に興味があった動画をみたのと、軽い感想です。

Track B 11:10 - 11:30 Drupal on Kubernates

Kubernates という次世代のWebアプリ作成のための環境構築手法について触れていました。

よくK8sと略されていますが、個人的にはセンスすごいいいなと思っております。K[ubernate]sの[]内が8文字なので、K8sなんですって。

個人的には Docker の時点でついていけていないので、まずはDockerかなぁ・・・(アハハ

kubernetes.io

www.docker.com

Track B 11:40 - 12:00 Drupal 情報カタログ 2018(Drupal Info Catalog 2018)

Drupalの情報の集め方についてのセッションでした。 独学で勉強する時、情報がどこにも転がってなくてすごい苦労した思い出。 コミュニティに飛び込むのは僕もすごいおすすめです。 あるところには、情報はあるんだなーと感じた。

Drupal いまだに日本語の情報が少ないだよなー。 少しずつ多くなっている気はするが。。。 英語ならDrupalの本、オラクルからも出ているのに・・・

Track B 13:00 - 13:20 オープンソースコミュニティ運営手法

このセッションすごい面白かったです。

多分、エンジニアの方々でコミュニティを作っていきたいっていう方は結構いるんじゃないかなー?

学生時代に色々と団体活動を行なっていたけど、やはりこういうコミュニティは活動はすごい重要だなと思いました。

いつか何かしらのコミュニティ活動は運営してみたいなーという野望は抱いております笑

Track B 14:00 - 14:20 エンタープライズ向けDrupalソリューションのAcquia全貌と最新事例

Acquia さんのお話でした。

日本でついに設立!!待ってました!!

個人的には、セッション最後のQ&Aの時のDrupalの資格の日本語化が一番嬉しいニュースでした。

Track B 16:00 - 16:20 Drupal IoTの可能性~ハードウェアベンダーから見るDrupalの魅力~

個人的にこのセッションが一番Druoalの可能性を感じることができたセッションでした。 他のセッション見ていても、どうしてもDrupalCMSとして扱っている事例しか紹介していないんですよね。 その中でもこのセッションだけは、本当にデータを扱うためのDrupalとして活用しようとしている事例をあげてくれていたなーと感じました。

まとめ

少し雑だったかもですが待ちに待ったセッション動画の配信だったので記事にしちゃいました。 勉強会の動画、このように配信してくれると参加できなかった場合でも後から観れるからとても助かります。

ありがとうございました。

ばぁどのハニーポット・うぉっちんぐ - 2018/11/24 ~ 2018/11/30 -

ハニーポット観察日記としての定期アウトプットです。

観察期間:2018年 11月24日 00:00:00 - 11月30日 23:59:59

CVE

CVE 検知した回数
CVE-2005-4050 165
CVE-2017-7269 6
CVE-2015-1427 4
CVE-2017-0143 2
CVE-2003-0818 1

CVE-2005-4050が165回もありますね。 あとは久々に新しいCVEがありました。

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

CVE-2015-1427

CVESCORE

7.5

概要

The Groovy scripting engine in Elasticsearch before 1.3.8 and 1.4.x before 1.4.3 allows remote attackers to bypass the sandbox protection mechanism and execute arbitrary shell commands via a crafted script.

Elasticsearchの脆弱性のようです。 shell コマンドが実行される可能性がある。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partial) 一部のファイル閲覧できる可能性があり。
完全性への影響( I ) 部分的(Partial) 一部のファイルが書き換えられる危険性があり。
可用性への影響(A) 部分的(Partial) 一部の可用性が損なわれる可能性あり

www.cvedetails.com

JVN

JVNDB-2015-001538 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

CVE-2015-1427 ElasticSearch Search Groovy Sandbox Bypass | Rapid7

攻撃種別

f:id:UltraBirdTech:20181201073341p:plain

攻撃種別 カウント数 %
known attacker 19021 82.53%
bad reputation 2681 15.97%
その他 - -

マルウェア

Total: 9

ファイル名 タイプ 取得日時 検出率
tmpj9tGV6 ELF 32-bit LSB executable 2018/11/25 00:03:11 39/58
tmpLGyqiI ELF 32-bit LSB executable 2018/11/25 00:57:58 39/58
tmpo0th8I ELF 32-bit LSB executable 2018/11/25 14:54:52 39/58
tmpPLt9Jc ELF 32-bit LSB executable 2018/11/26 03:32:48 40/57
tmpEQLbt4 ELF 32-bit LSB executable 2018/11/27 00:46:45 40/57
tmpltJxFI ELF 32-bit LSB executable 2018/11/27 13:16:16 40/57
tmpJo0Ros ELF 32-bit LSB executable 2018/11/27 16:12:50 40/57
tmptrpI_m ELF 32-bit LSB executable 2018/11/27 19:40:51 40/57
tmpsTVTvb ELF 32-bit LSB executable 2018/11/28 19:39:45 39/58

所感

集計結果を出す時間を測るの忘れた・・・・ 工数計算しなければ。

というよりは、マルウェア解析はスクリプトは大丈夫なのだが、zipファイルが想定しているものが来ない・・・ まだ調整が必要そうです。

ばぁどのハニーポット・うぉっちんぐ - 2018/11/17 ~ 2018/11/23 -

ハニーポット観察日記としての定期アウトプットです。

観察期間:2018年 11月17日 00:00:00 - 11月23日 23:59:59

CVE

CVE 検知した回数
CVE-2017-7269 9
CVE-2016-6563 1

今回、やたら少ないな・・・

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

攻撃種別

f:id:UltraBirdTech:20181124070706p:plain

攻撃種別 カウント数 %
known attacker 70584 98.44%
bad reputation 1013 1.41%
その他 - -

今回はknown attacker の攻撃回数がとても多かった一週間のようですね。

マルウェア

前回報告した通り、スクリプトは一応完成しました。

github.com

残りは機能改善と、リファクタリングなどです(課題は山積しています)

解析結果

(2018/11/26更新)

マルウェア総数:17個1`個

ファイル名 取得日時 検出率 URL
tmpNeQUaB 2018/11/17 20:03:51 40/57 https://www.virustotal.com/file/2409fb21fe377f7e12dda392f26d7c93b7715239169d362dd907fe499ab38ee9/analysis/1543126971/
tmp8ELU4m 2018/11/18 03:31:43 40/57 https://www.virustotal.com/file/2409fb21fe377f7e12dda392f26d7c93b7715239169d362dd907fe499ab38ee9/analysis/1543126971/
946378b371f1b6aaefc9641b170b5b56dc1ef4f687311077808a0dd6a5b50ccc 2018/11/18 19:01:13 - -
tmpEXP280 2018/11/19 15:49:51 37/56 https://www.virustotal.com/file/94b59b4761147519fecf662cecba7219ac2f70682ae02685081a181758cb705f/analysis/1542400627/
tmpLKTOvS 2018/11/20 02:49:55 38/56 https://www.virustotal.com/file/0636d8749ecb285c293dc533c9b7690ba17ac7902488bf39164129a12d54c1c3/analysis/1542720994/
tmpxestfb 2018/11/20 16:56:03 38/56 https://www.virustotal.com/file/0636d8749ecb285c293dc533c9b7690ba17ac7902488bf39164129a12d54c1c3/analysis/1542720994/
a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b 2018/11/20 16:56:09 0/57 https://www.virustotal.com/file/a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b/analysis/1542791498/
tmps_WEnz 2018/11/21 00:38:34 38/56 https://www.virustotal.com/file/0636d8749ecb285c293dc533c9b7690ba17ac7902488bf39164129a12d54c1c3/analysis/1542720994/
tmp7PmNBN 2018/11/21 15:14:19 40/56 https://www.virustotal.com/file/02ab39d5ef83ffd09e3774a67b783bfa345505d3cb86694c5b0f0c94980e5ae8/analysis/1542948374/
tmpcAaBK9 2018/11/22 19:51:47 39/57 https://www.virustotal.com/file/7358b6fc402681a3585d7cd69763d4b8f0c3093d746b85a35205b77e5b26e13d/analysis/1543105734/
tmp1K7g9_ 2018/11/23 00:39:45 39/57 https://www.virustotal.com/file/7358b6fc402681a3585d7cd69763d4b8f0c3093d746b85a35205b77e5b26e13d/analysis/1543105734/

(2018/11/26更新)

file コマンド

fileコマンドの結果。

./946378b371f1b6aaefc9641b170b5b56dc1ef4f687311077808a0dd6a5b50ccc: ASCII text, with very long lines
./a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b: ASCII text, with very long lines
./tmp1K7g9_:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp7PmNBN:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmp8ELU4m:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpEXP280:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLKTOvS:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpLSkNE7:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpNeQUaB:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpZVtSCx:                                                        empty
./tmpcAaBK9:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmps_WEnz:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
./tmpxestfb:                                                        ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

むむ。今回もshellとperlがありますね。

shellに関しては新しく取得したものです。

perlは前回のものと同じでした。

解析結果が間違っていました。 取得したフォルダが間違っていたようで、なぜか17日以前の情報のみが取得されていたようです。

今回は新しいものとしてパックされたファイルがありました。 こちらも今後解析対象のファイルとして勉強材料にさせていただきます。

所感

マルウェア解析スクリプトも完成したので、少しは時短できたかなと思います。

マルウェア解析スクリプトを改善して、もっといいものにしていくのが直近の課題。

あと、マルウェア解析スクリプトで表が崩れてしまうのなんとかしたいです。

以上です。