イベントから帰った時、しばらく時が止まってほしいと思うことがある。
それは、学びが多すぎてじっくり復習したい。明日からの通常業務の波の中で今のモチベーションを忘れてしまうのが惜しすぎると思う時であり、つまりは素晴らしいイベントに参加できた時である。
2月22日~2月24日の3日間で開催されたDFIR忍者チャレンジに参加し、今まさにそんな気分なので書きたいことを残しておく。
何も分からない3行まとめ
- ちょっと理解できないレベルで良いイベントである
- 私のチームは15チーム中2位を獲得したが、個人的には大反省
- だからおかわり。神に感謝
DFIR忍者チャレンジとは
大和セキュリティが主催するデジタルフォレンジック・インシデントレスポンス(以下DFIR)のCTFを中心としたイベント。
メインはCTFだが豪華な特別講演が7枠もあり、これもメインイベントと言って良い内容。細かい内容は以下参照。
参加の目的
自分は1月に参加した別のイベントでDFIRの世界に初めて触れた。
その際にイベントログ、Prefetch、MFTなどの見方を学んだが、実際に演習に挑むと点は見つけられても線に繋げられないし、効率よくは出来ない。なんというか鼻が利かない。
そこを効率よく進めたり、線に繋げられるようになるためにHayabusaがどう役立つのか?を知ることが主な目的。
講演の感想
先に講演の話。
1つ1つは書かないが、↑のリンク先からタイトルを拾うとこんな感じ。
- NOCチーム
- Beyond the Code: AI as the Vanguard of Malware Analysis (ぴんく殿)
- ETWをめぐる攻防 (北原憲氏)
- CTI + Sigmaルールについて (石川朝久(@scientia_sec))
- Active Directoryハッキング ※よく見る脆弱性 (ルスラン氏)
- 文芸的ログ分析の試み (渡辺慎太郎氏)
- DFIR忍者チャレンジその後に (川崎隆哉氏)
おわかりいただけただろうか。
各分野のプロ中のプロに(しかもOSEE保持者が2名もいる)レッド系もブルー系も両方触れて頂けるという夢のような内容である。これだけでも満足度の高い何かのセキュリティイベントとして全然成立する。
少しタイトルから想像しづらいかもしれない部分を補足すると、
渡辺さんのお話はSplunkがDFIRになぜ相性がよくどう使いこなすと良いのか、更にDFIRで利用したコマンドを言語化(文書化や共有)することのメリットと構想、具体的な取り組み方について。
川崎さんのお話は忍者チャレンジの後にDFIRを独学する際に役立つサイト、学習ツール(動画、Github)、CTFなどの紹介。
どれも今回の忍者チャレンジを通して心底知りたい情報だったので大変ありがたかった。
CTFの感想
内容非公開なので詳細は触れられないが、非常に実践的な内容。
渡されたログを解析して問題を解いたり、事象をまとめて発表したり。
そう簡単には全貌を掴めない難易度だが、そのヒントが問題を解く中で得られるようにできているなど、よく考えて作られているなぁ…と感心しきりだった。
最終的に各チームで発表しあった内容も、お互いが発見できた内容や報告の仕方など沢山の気づき。
中でも優勝チームはずば抜けた精度と完成度で(何をされている方々かは存じ上げないが)「これがプロか!」と慄いた。
そうした中で、まさかの幣チームは初日のCTFを1位で完了。
最終的な発表も含めた結果が2位。
メンバ構成は、6人のうちフォレンジック経験者が1名だけ。あとはバラバラの経験や役割の集まり。
そのメンバでこの結果は大健闘と言える。
メンバ全員が悩みながらもそれぞれ壁を突破し、問題を着実に解き、気づけばチーム全員が手を動かしながら早いペースで全問完了していた。みんなすごい。みんな頑張った。
・・・1名を除いて。
そう、その1名とは私である。
実力不足で役に立てなかった!なら全然良い。今回はそうではなく、だからこそ大反省なのである。
大きな反省点
今回、自分は「チーム内で立候補者がいなければ最年長がリーダー」のルールにより、リーダーを務めた。
そうなると、どうしてもチームプレイ=とりまとめが必要=リーダー の思考が働き、メンバが問題を解いた結果をまとめてタイムライン化したり、足りない情報を探したりしていた。2日目もメンバからの情報を集めて資料を作り、最終日は自分が発表。
それはリーダーとしては良いのかもしれない。しかし、自分は何をしにきたのか?
普段仕事でやっている「できること」を披露しにきたのではなく、普段はできない「手を動かす」ことをやりに来たのではなかったのか?
せっかくの学びの機会を活用できない自分に腹が立つ思いだった。
こうしちゃおれん
そんな歯噛みする思いも、ひとたびお布団に入ってねんねすると、自分は気持ちよく全部忘れる人間である。
またセキュリティ飲み会楽しかったでしゅ。とか呑気にポストする生活が目に見えている。
そうならないように、ともかく短い時間でも帰宅後に自分でログを見た。
そして最終日、つまりついさっき、15時に忍者チャレンジが終わった後、上忍と有志でレンタルスペースを借りて「おかわり会」を開催した。
自分達が今回のチャレンジで分からなかったところ、取り組む順序、目線の配り方、関係ないと思しき箇所の見切り方、ツールやコマンドの使い方、そうした一挙手一投足を先生を囲んで質問しまくらせていただいた。
どうしても家庭の都合で帰らねばならず3時間限りだったが、ここでかなり自分なりに消化不良を解消できた。
快く付き合ってくださり、めちゃくちゃスマートにレクチャーくださったてきとう上忍(@tkitoさん)には心より感謝です。
そして大事なのは、ここで理解したことを踏まえて、改めて問題を解くこと。自分でやらねば。
(で、そこでまた分からなかったところについては再おかわり会を開催してくださる気配。神は実在する)
結局目的は果たせたのか?
反省したりおかわりしたりと忙しかったが、ひとまず夜の自習と先ほどのおかわり会により、前述の目的自体はなんとなく達成できた気がする。
まだまだ浅い理解なので全貌は見えていないが、Hayabusaがあれば万事解決!というよりも、Hayabusaは
- 膨大なイベントログから大事なところを選別してまとめてくれる
- その中で沢山のSIGMAルールにぶつけてCritialやHighなど効率的な調査のための起点を強調してくれる
というもので、あとはそれをExcelなりSplunkなりコマンドラインなりで調べる必要があり、そのための考え方、嗅覚、手の動かし方は鍛錬が必要。という感じかなと思った。
(違ったら言ってください。あとTakajoはまだ触れてないのでこれから学びます。。)
さいごに
問題を作りイベントを主催してくださったザックさん、それを事前に解いてくださった川崎さん・渡辺さん、環境を支えてくれたNOCの皆さん、Hayabusa開発者の皆さん、講演者の皆さん、スポンサーの飛松さん、本当にありがとうございました。
次回…の前に今回の問題や講演資料をしっかり自分の栄養にできるように、何度も振り返らせていただきます!
