TryHackMeを1か月継続したら上位4%にランクインした

概要

TryHackMeを1か月継続したところ、上位4%にランクインしました。
ただし、これは全然すごいことではなく、下記の理由から誰でも到達可能だと思います。

• 本格的なCTFのように、ヒントなしで脆弱性を調査してflagを取得するような高度な問題には取り組んでいません。
• セキュリティ基礎やペネトレーションテストの手法を学ぶ、Easy以下の学習系Roomのみ取り組んでいました。

そのため、上位4%にランクインするのはそれほど難しくありません。
私のマイページはこちら

（毎日継続ではなく、2週間ほど空いている期間がありますが、ご了承ください）

私の経歴など

• 約10年のIT業界経験があるSESエンジニアです。
• Webアプリケーションの保守開発をやっています。
• セキュリティを主要業務にしたことはないです。
• ネットワークスペシャリスト、情報処理安全確保支援士の資格を保持してます。

TryHackMeをやるきっかけ

• Webセキュリティについて、具体的かつ実践的に学びたいのが大きなきっかけです。
• ゲーム感覚で学べるので、継続できそうと思いました。
• Hack The Boxと迷いましたが、初心者はTryHackMeの方が良いと調べてこちらを選択しました。

学習時間

• 平日
  • 朝起きてからは、30分くらいやってました。
    • 前日に翌朝やるRoomを決めておくと、継続のハードルが下がります。
  • 仕事終わりは、1～1.5時間くらいやってました。
• 休日
  • 3～4時間くらいやっていました。
• その日の時間的余裕や、やる気などで振り幅はあります。
• 仕事がフルテレワークで、それほど忙しくなかったのもあり、継続できたと思います。

Roomの選び方

• 基本的にRoadmapの順番で、Roomを完了していました。
• その他は、Learn -> WalkthroughsにあるRoomを出来そうなものから優先して完了していました。
  • Roomの絞り方
    • Most Popular順にソートする
    • DifficultyをInfoとEasyにフィルターする

Roomの使い方

• PCのブラウザで日本語訳をして使っています。
• 攻撃マシンを使うRoomでは、AttackBoxとVPNのどちらも使えますが、ほぼAttackBoxを使っています。

問題が解けないとき

• 問題にヒントがある場合は、まずヒントを見ています。
• 15～30分程考えても分からない場合は、問題文をコピーしてネット検索して、答えを見ています。
  • ただ、自力で解きたい問題は、答えを見ずに時間をかけています。
  • 答えを見て解答はせず、日が経ってから再度解くこともあります。
• TryHackMeに付属しているチャット機能はほぼ使ったことないです。
• 分からない問題に出会う割合は、30問に1問くらいです。

アクティビティ

• マイページのYearly activityの色が緑になるよう、毎日3 event以上はやっていました。
• 問題を1つ解いたり、解説を読んで完了ボタンを押すだけでevent数が増えるので、3 eventは軽く突破できます。

獲得ポイント

• 獲得ポイントは、10803ポイントです。

達成ランク

• 最初の2週間くらいで、下から8番目のHackerランクになりました。
  • Hackerランクまではポイントがそれほど必要ではないので、結構簡単に到達できると思います。
  • Hackerランク到達時点で上位10%なのは驚きでした。
• Hackerランクから次のMageランクになるのは、1週間くらいかかりました。
  • Mageランク到達時点で上位6%には入っていたと思います。
• Roomによって完了した時の獲得ポイントが異なる（難しいほどポイントが高め？）ため、私よりCompleted roomsが少ない人で、ランクが高い人がいました。

獲得バッジ

• バッジは重視していませんが、15個獲得しました。
• 全部取得するのは、相当難しそうです。
• 全部のバッジを載せることはできませんが、このようなバッジを獲得しました。

リーグ

• リーグとは、世界中の29人のTryHackMeユーザーと毎週競い合うリーダーボードです（こちらから翻訳して引用）。
• リーグは重視していませんが、毎回次の上位リーグに昇格していたと思います。
  • それほど昇格は難しくないと思います。
• 現在はSapphire Leagueにいます。

課金

• 登録後の2週間は無料でやってました。その後、プレミアムユーザーとして1年分課金しました。
• 11月下旬の1週間くらいの間でブラックフライデーセールが開催されていたので、1年分課金しました。7000円くらいでした。
• 課金した理由
  • 課金専用のRoomを開放したかったためです。
  • 1日1時間のAttackBox制限を開放したかったためです。
• ただし、プレミアムユーザーになっても、全てのRoomは解放されません。
  • AWSなどのクラウド関係のRoomは、Cloud licence accessという別の課金が必要になります。

TryHackMeの良いところ

• ゲームのようにポイントが増えてランクが上がるので、やる気アップして継続に繋がります。
• Yearly activityは3 eventだけで最大の緑色になるため、少しの学習で達成でき、継続する気持ちがアップします。
• 解答に文字数制限があるため、解答しやすいです。
• 解答に正解したり、Roomを完了した時のBGMが達成感があってよいです。
• 無課金でも楽しめます。

TryHackMeの悪いところ

• サイトを日本語訳してから使うと、ページ遷移やStart Machineボタン、AttackBoxボタンクリック時にエラーページになることがあります。
  • そのため、これらの操作をする場合は英語原文に表示してからやっています。
• Roomの目安時間は、あまりあてにならないです。
  • 例えば
    • Metasploit: Exploitationは20分目安だが、2時間で完了しました。
    • Security Operationsは60分目安だが、10分で完了しました。
• スマホの場合は解答が合っていても、正解にならずエラーになることがありました。

印象に残ったRoom

• Nmap
• SQLMAP
• John the Ripper: The Basics
• Metasploit: Introduction

攻撃系のコマンドを学ぶのは面白いです。
特にnmapコマンドは今まで用語だけ知っていたので、実際使ってみると脆弱性も調査できる強力なツールだと知ることができ、興味深かったです。

自分に足りないこと

• CTFのような問題が出題される Practice -> Challenges のRoomが解けないです。
  • 最初から何したらいいのかわからないです。
  • コマンドや考え方・解き方の知識や理解が浅いです。

今後の目標

• 1年分課金したこともあり、1年は継続していきます。
• ランクやポイントなどは気にしないで、学ぶことに力を入れていきます。
  • 仕事の役に立つよう、特にネットワークやWebの分野を伸ばしていきます。
• Practice -> Challengesの問題を解けるようにします。
• DifficultyがMedium以上のRoomを完了させます。