GMOインターネットグループでは、初めての試みとなる『GMOインターネットグループパートナー全員ホワイトハッカー化計画』実現に向けたハッキングコンテスト「Hacking Night#01 ~初めてのWebハッキング~」(社内勉強会)を開催しました。イベントの様子や参加者の声をお届けいたします!
イベント概要
開催日時:2022年9月7日(水)16:00~18:00開催方法:ハイブリッド開催(フクラスyours+オンライン配信)参加定員:250名登壇者:GMOサイバーセキュリティ byイエラエ株式会社 牧田 誠(代表取締役) 出家 祐貴 梶谷 慶人 熊坂 駿吾
16:00全体挨拶16:10Hacking Time17:10解説17:40結果発表・表彰17:50クロージング
GMO Hacking Nightとは
CTF形式による実践的なハッキングコンテストと、問題の解説を行いました。-※CTFとはCapture The Flagの略で、隠されているFlagを見つけ出す旗取りゲーム-※サーバ上に隠された旗(文字列)を、ハッキングスキルを駆使して発掘
記念すべき第一回目となる今回は、『GMOインターネットグループパートナー全員ホワイトハッカー化計画』実現のために、まずは入門者向けに脆弱性のあるWebサイトを用意しました。
※GMOサイバーセキュリティ byイエラエがグループジョインしてから、グループ全体のセキュリティレベル向上に向けて、『GMOインターネットグループパートナー全員ホワイトハッカー化計画』 が発表されました。
参加者特典
Hacking Night#01でしか手に入らない、参加者だけにお渡しできるノベルティをご用意しました。今後の開催にも参加してノベルティをコンプリートしてほしいですね!
Tシャツステッカーピンズ
早速Tシャツを着用して参加してくださる方もいらっしゃって、うれしい!!
コンテンツ概要
セキュリティの重要性に気付くきっかけに
コンテスト開始前に、牧田社長と作問者の熊坂からHacking Nightの概要や参加方法について説明がありました。
牧田社長Hacking NightはGMOインターネットグループ全体に向けて行う初めてのハッキングコンテストです。パートナー全員がセキュリティに興味関心を持ち、「サービスやお客さまをみんなで守っていこう」と考えるきっかけをつかんでもらうためのイベントで、先着250名で募集したところ満員参加となりました。日々ホワイトハッカーがどういう仕事をしているのか、Webハッキングがどのように行われているのかを技術的に体験していただく場であり、「初めてのWebハッキング」というサブタイトルの通り、普段仕事でセキュリティに関わっている方やエンジニアに限らず、誰でも参加できる内容になっています。まったくの初心者だと少し難しいところもあるかもしれませんが、解説しながら進めていくので、ぜひ楽しみながらチャレンジしてみてください。ハッキングコンテストは、経験者の人にとってはスピード勝負になります。90分と時間制限がありますので、ガチ勢の皆さまはぜひどんどん解き進めて、満点クリアを目指していただければと思います。また、解き終わった経験者の方は、まだ解けていない参加者のフォローに回っていただけると助かります。今回は、参加者特典のノベルティだけでなく、西山副社長からのご厚意で10万円の賞金をご用意いただきました。優勝者に差し上げますので、賞金の行方も楽しみにしていてください。
Hacking Nightは『GMOインターネットグループパートナー全員ホワイトハッカー化計画』実現のためのCTFイベントです。初回となる#01は入門向けコンテンツ+αとなっており、回を重ねるごとに徐々に難易度を上げていき、参加者の皆さまの知識や技術を底上げしていく計画になっています。CTF(Capture The Flag)とは隠されているFlagを見つけ出す旗取りゲームのことで、Flag=文字列をハッキングスキルを駆使して発掘していきます。フラグには問題難易度に応じた点数があり、その合計点数で競い合います。同点の場合は先に高いスコアへ到達した方が勝ちとなります。スピードも順位に影響しますので、わかる方はどんどん問題を解いて全問正解を目指してください。今回はCTF大会と同時に入門向けハンズオン解説を行いますので、わからない方は解説を見ながら一緒に進めていきましょう。今から行うハッキングは、コンテスト用の環境以外には絶対に試さないでください。不正アクセス禁止法(通称)やウイルス作成罪(通称)という犯罪となる可能性があります。熊坂
Hacking Time スタート!
それぞれのPCを使って90分間のハッキングにチャレンジ! 優勝目指して腕を競い合いました。
今回のシナリオは全12問!(※問題は非公開とさせていただきます)
問題は難易度の低いものから始まり、徐々に難しくなっていくため、慣れている皆さんはどんどんクリアして次の問題に移っていきます。
スコアーボードでは先へとどんどん進められる参加者のスコアが表示されていきます!
管理者用のスコアボードに問題を解き進めていく参加者のスコア
オフライン会場では、熊坂さんが1問目から順番に解説を行いながら進めていくため、自力で解けない参加者も安心して学びながら進めていくことができました。Zoomで参加しているパートナーも配信を確認しながら一緒に解いていきます。
問題を重ねるごとに、どんどん難しくなっていきます・・・
オフラインでは、わからなくなったらイエラエの技術メンバーがサポートしてくれます!!つまづいているポイントを丁寧に教えてくれます。
その場でやり取りができるのはオフラインイベントの醍醐味ですね!これなら初心者でも安心して参加できそうです!
表彰
後半の問題は難易度が高いため、なかなか全問クリアの参加者が現れませんでした。
このままHacking Time終了か? と思っていると、なんと残り10分というタイミングで全問クリアのパートナーが登場! 2つのヒントを見てクリアしていたため、スコアは満点ではありません。より少ないヒントで全問クリアすれば逆転勝利が可能です。
このまま逃げ切れるか……と思いきや、1つのヒントで全問クリアしたパートナーが現れます。ノーヒントで満点クリアするパートナーが現れなければ優勝確定です!
そして残り5分というところで、ついにノーヒントで全問クリア、満点のパートナーが登場して優勝が確定!最後の最後で怒涛の追い抜き劇が巻き起こり、会場もZoomも大盛り上がりでした!
優勝者には、なんと【賞金 ¥100,000】!おめでとうございます!!
参加者の声
イベントに参加してみていかがでしたか
社内で本気でコンテスト参加できて大変楽しかったです。CTFやハッキングについては初心者でしたが、楽しんで参加することができました。CTF形式のイベントだったので、ゲームで友だちと競争をしているような感覚で参加することができました。基本的なWebの脆弱性を網羅していたので、楽しいだけでなくセキュリティの知識も高められるイベントになっていたと思います。正直、用語などまったくもってわからなかったですが、ハッキングとはなんなのか、どういったことができるのか、初歩的なところから知れてよかったです。全てを理解することは出来ませんでしたが、サイトのどのようなところに脆弱性があるのか、など危険性を認識できただけでも、自分としては大きな収穫でした。
事前アンケートでも楽しみというお声をたくさんいただくことができ、結果として嬉しいお声をいただけたこと、運営側として嬉しく思います!
参加者の属性
セキュリティエンジニア:30.4%エンジニア(セキュリティ専門外):40.7%非エンジニア:28.9%
と、約7割がセキュリティやハッキングになじみのないパートナーでした。
初心者の方でも抵抗感なく始められるよう、前半は初歩的な問題が多く、解説を聞きながら進められるようになっていたため、全12問中7問目までの正解者は90%という結果になり、1つずつクリアしていく達成感を皆さん味わえ高菜と思います。
後半は難易度がかなり上がったため、全問正解にたどり着いたパートナーは22%。セキュリティ専門外のエンジニアのスコアも高かったため、持っている知識を使って考えればハッキングできるんだ、という「ハッキングの脅威」を肌で感じることができたのではないでしょうか?
また、イベント終了から2日間、Hacking Nightの問題サーバを開放し、解説資料を見ながら問題にチャレンジできる時間が確保されていたため、約30名のパートナーが改めて問題に取り組んでいました。問題をクリアしたい、答えを知りたいという興味関心を引けた結果と考えられます。
さいごに
初めての試みとなるHacking Night#01は大盛況で終わることができました。
今後も『GMOインターネットグループパートナー全員ホワイトハッカー化計画』実現のために、Hacking Nightを開催していきたいと思います。
また次回開催をお楽しみにいただければと思います。
