今回のブログは、HackTheBoxやCTFで得られる効果と、実務との関係性についてまとめていきます!
HackTheBoxやCTFはサイバーセキュリティの業界において、非常に有名ですが、実務に役に立つのかどうかに関しては、かなり昔から多方面で言及されています。
恐らく、人によって考え方は異なると思いますが、今回は私が個人的に思う点を紹介していきます!
HackTheBoxとCTFとは
本題へ入る前に、簡単にHackTheBoxとCTFについておさらいしておきます。
HackTheBox
HackTheBoxとは、ペネトレーションテストを学ぶことができる実践型の学習プラットフォームです。
公開されたやられマシンに対して、実際に侵入し、権限昇格を目指します。初心者向けのマシンから上級者向けのマシンまで多様な難易度のマシンが存在し、学生からペンテスターまでユーザ層も幅広いです。
また、Webに焦点を当てたマシンやLinuxに焦点を当てたマシンなど、ジャンルも様々なものが存在します。
CTF
CTF(Capture The Flag)とは、サイバーセキュリティ業界で行われる競技の一種で、旗(Flag)を取得することで得られるポイントの合計で競います。
CTFにも初心者向けの大会や全国大会のような上級者向けの大会があり、HackTheBox同様に、幅広いユーザ層を誇ります。
また、WebやOSINT、Crypto等、複数のカテゴリが存在し、各カテゴリで出される問題を解くとフラグを得ることができます。
HackTheBoxとCTFはどちらも非常に楽しく取り組むことができるため、業務としてペネトレーションテストを実施する方はもちろん、趣味としてHackTheBoxやCTFに取り組んでいる人もいます。
私もHackTheBoxとCTFは、かなり熱心に取り組んでいた時期があり、国内CTFで入賞したりHackTheBoxでPro Hackerランクまで到達しました。
今回は、そんな私が、実務でHackTheBoxやCTFが活きたと感じた瞬間を紹介していこうと思います。
HackTheBoxとCTFで得られる効果
では、HackTheBoxとCTFからどのような効果を得ることができるのでしょうか。
特に実感できたものとして、以下のようなものがあります。
1. 多種多様な脆弱性に触れることができる
HackTheBoxやCTFでは、様々な脆弱性が取り上げられます。
Webアプリケーションの脆弱性であったり製品の脆弱性であったり、有名な脆弱性からあまり知られていない脆弱性もあります。
有名な脆弱性であれば、多くのドキュメントから詳細を簡単に知ることができるため、特に問題はありませんが、あまり知られていない脆弱性や複雑な脆弱性には
実務では遭遇しない脆弱性に触れることができる機会はかなり貴重です。多くの脆弱性を知ることは、自分の知識量を向上させることに繋がり、既知の脆弱性をより深く理解することができます。
2. 最新の脆弱性や攻撃手法を知ることができる
HackTheBoxやCTFでは、基本的に最新の脆弱性が取り上げられることが多いです。
私の肌感では、マシンがリリースされた3ヶ月前程度に公開された脆弱性が導入されているイメージです。また、脆弱性だけでなくAIやコンテナ等に対する攻撃手法が含まれたマシンや問題が作成されることも多いです。最新の脆弱性を実際に攻撃し、悪用可否を調査することで、実務で最新の脆弱性が検出された場合でも、迅速かつ確実な調査を行うことができます。
3. 脆弱性の悪用を試せる
脆弱性を理解するには、実際に攻撃してみることが一番ですが、実務では脆弱性の種類によっては、攻撃できない場合があります。
例えば、サーバに過度の負荷を与えるものや内部の情報を改ざんするような攻撃は実行できません。しかし、HackTheBoxやCTFはやられ環境であるため、例外を除いてほぼすべての攻撃を実行することが可能です。
自分でやられ環境を構築することは、想像以上に大変であるため、すでに用意されていて、好きに攻撃できる環境というのは、かなり価値が高いです。
手を動かしながら試行錯誤することで、脆弱性の理解と再現力を身につけることができ、実務の際に実行可否や悪用可否を適切に判断することが可能になります。また、攻撃者視点で物事を考えることができるようになる点も大きな効果の一つです。
4. Try Harder精神(自己解決力)が身に付く
Try Harderとは、Offsec社が掲げるスローガンであり、この言葉には「自分で考えて、自分で調べて、自分で解決する力を育てよ」という意味が込められています。
ペネトレーションテストを行う際に、自己解決力は非常に重要です。その時、その場所で得られた出力や結果から次何をするべきなのか、何をすれば良いのか自分で考え、時には調査し、実行する必要があるためです。
HackTheBoxやCTFは基本的にある一定期間(HackTheBoxであれば、マシンがリタイアするまで。CTFであれば、開催期間が終了するまで)答え(Writeup)が公開されません。そのため、攻略の途中で詰まってしまうと、何時間も同じ場所で立ち往生してしまいますが、この時間こそが自己解決力を向上させる時間になります。長くツラい時間ではありますが、どのように列挙すれば脆弱性を発見できるのか、どのように攻撃すれば脆弱性は悪用できるのかを自分で考え、解決できた時はかなりの嬉しさや達成感を味わうことができます。
これを繰り返すことで、Try Harder精神(自己解決力)を身につけることができ、実務に活かすことができます。
まとめ
ここまでHackTheBoxとCTFが実務でどう活きるのか、得られる効果に焦点を当ててまとめていきました!
上記の内容からも分かるように、HackTheBoxやCTFは直接的に実務で活かせるわけではないですが、実務でも重要な脆弱性の判断や自己解決力に貢献してくれます。
ペネトレーションテストを始めたばかりの人やこれから始める人には特におすすめです。気になる方はぜひ挑戦してみてください!
当社のQiitaにも、いくつかHackTheBoxの記事を公開しているので、興味がある方はそちらもご確認ください!
また、HackTheBoxを攻略する上で必要となるツールをまとめた記事も公開しています!
最後まで閲覧していただき、ありがとうございました!