ペネトレーションテストの技術を学べる長期インターンシップ～IoT機器の脆弱性を発見した人もいるって本当？

こんにちは、デジタルペンテスト部の田端です。

今回は、私たちの部署で実施した、セキュリティ技術の向上に繋がる取り組みが盛りだくさんだった、長期インターンシップの模様の一部をご紹介します。

はじめに

約8か月という長期間でのインターンシップは、オンラインで実施しました。遠方にお住いの方が多く、開催時期がコロナ禍だったためです。私たちも、インターンシップ参加者同士もオンラインで初めましてのご挨拶をしてスタートです。まず初めに、私たちデジタルペンテスト部のご紹介や、取り扱っているサービスの概要をお話ししました。

インターンシップでは、担当いただくお仕事の遂行に必要なセキュリティ技術を学んでもらうため、ペネトレーションテスト関連技術を学べるカリキュラムを用意しました。

インターンシップのカリキュラム

推薦図書の読み込みと感想レポートの作成

ペネトレーションテストに関する技術を網羅的に学べる推薦図書を読むことで、ペネトレーションテストの基礎や攻撃手法を学んでもらいました。また、本を読んで「気になった技術1つの説明と理由」をまとめたレポートを提出してもらい、獲得した技術知見をアウトプットする練習をしました。

推薦図書：Gray Hat Hacking: The Ethical Hacker's Handbook ペーパーバック

「Pentester Academy」を用いた学習と技術解説の資料作成

「情報システムペネトレーションテスト」を含む、ペネトレーションテストで用いられる技術要素や必要な能力である下記3点について、オンライン教材（オンライン学習プラットフォーム「Pentester Academy」）を用いた学習を実施してもらいました。

• ①調査能力：Red（攻撃手法）and Blue（検知防御手法）で用いられる技術に関する調査能力および原理追及能力
• ②サーバ構築能力：ペネトレーションテストに用いるツールを稼働させるためのサーバの構築、運用、保守に関する能力
• ③アウトプット力：技術的要素を正確かつ明確に文章でアウトプットする能力

そして学習した内容を元に、学んだ技術要素の解説資料を作成する課題を出しました。解説資料を作成してもらうことにより、推薦図書のレポートと同じく、振り返りとアウトプットの練習として取り組んでもらいました。

IoTデバイスペネトレーションテスト技術の基礎学習

「IoTデバイスペネトレーションテスト」に必要な技術を獲得してもらうために、座学と、研修用IoT機器を使用した実践学習を行いました。インターンシップは自宅からのオンライン開催だったため、こちらで用意した研修用IoT機器を参加者の自宅に送付して、機器を触りながら学べる環境にしました。

基礎学習は、下記のようなカリキュラムです。

• IoTデバイスペネトレーションテストの流れ、実施概要
• IoTデバイスペネトレーションテストにおけるバイナリ解析
• ファームウェアの抽出、展開について
• 機器解析のポイント（展開したファームウェアを見る、シリアルコンソールの活用）

研修用機材を使用して、解析作業の一部である下記も実施しました。

解析実施内容（一部）

• 侵入口を探す
• ファームウェアの抽出と解析
• 各種通信ポートの確認（侵入口に使えるかなど）
• 使われているOSSの脆弱性の確認

CTFの作問

ラックグループCTF「LACCON」で使用する問題を作成してもらいました。CTFに挑戦したことはあるけれど、作問側は初めてという方もいて、楽しんで取り組んでもらえたように感じます。

社員との座談会を定期開催

テレワークでのコミュニケーション不足を解消するため、オンラインで会話をする場を積極的に作りました。開始当初はインターン生同士も初対面だったので、週に1度「座談会」という時間を設けました。インターンの内容はもちろん、最近気になる技術についてなど雑談できる時間です。デジタルペンテスト部の社員にも参加してもらい、部署の雰囲気も伝えられるようにしました。1か月程度続けると和気あいあいと相談や会話ができる雰囲気になりました。

一度だけ、ラックテクノセンター秋葉原で、オフィス見学ツアーを開催しました。座談会でずっと話していたので初めましてではないけれど、リアルで会うのは初めてという、なんだか不思議な感覚でした（笑）。インターン生同士も初めは少し緊張していましたが、すぐに打ち解けて技術の話で盛り上がっていました。

参加したインターン生にインタビュー！感想を聞いてみた

1：長期インターンシップで楽しかった内容はありますか

• CTFの作問。色々と自分で考えて必要な技術を身に着けながら取り組めて楽しかったです。
• どれも楽しい内容でしたが、特にIoT機器を対象に脆弱性を探したのが楽しかったです。
  また、LACCONへの問題提供も、色々なジャンルで作問して知見を広げることができ、楽しく取り組んでいました。
• IoT機器の脆弱性解析がとても楽しかったです。
  また、プログラムの解析からPoC作成など一通り学べたことが非常に勉強になりました。

2：長期インターンシップで、他社にはないラック独自だと感じた内容はありましたか

• IoT機器を渡されて自由に検査する課題。実際に脆弱性を見つけられている方もいました。
• 多岐にわたるサービスの業務を少しずつ体験できる点がラックならではだと感じました。
  自分に合った仕事を探す上で非常に参考になりました。

3：長期インターンシップで一番印象に残ったことはありますか

• 他の参加者の方の技術レベルが極めて高いことに驚きました。
• IoT機器の解析で脆弱性を発見できたのは嬉しかったです。
  ファームウェアの解析の知見を少しでも得られれば嬉しいと思っていたところ、脆弱性を発見できたことに驚きました。

4：長期インターンシップ中のデジタルペンテスト部の印象はどうでしたか

• 非常にフレンドリーで、質問しやすい方が多いと思いました。
  インターンで馴染めると感じたなら実際に勤務する上でも馴染みやすいと思います。
• デジタルペンテスト部のメンバーはみなさん技術的に尖っていて、これだけは負けないという技術・知識を持っているという印象でした。
  また、デジタルペンテスト部全体では、自由な雰囲気が漂っていると感じていました。
  ラックに入社した今も、いずれの印象も変わらず持っています。
• とても気さくな方が多い印象でした。

5：オンラインで実施したことへの感想はありますか

• 特に問題はありませんでした。ほとんどの課題はオンラインで完結できていました。
• インターンシップ用にノートパソコンを用意して頂けたので、オンラインでも特に困ることはありませんでした。
• デジタルペンテスト部の拠点が秋葉原にあるのに対して、私は関西在住という状況だったので、オンライン主体でのインターンシップは距離的な制約がなく参加しやすいと感じました。
  時間的な制約についても、オンラインなので余裕のあるときに集中できた点がありがたかったです。
  また、ひとりで黙々と作業するのが主になるのではと懸念していましたが、度々講義や座談会という形でデジタルペンテスト部のメンバーとの交流の機会があり、デジタルペンテスト部の雰囲気をつかめたのはよかったです。
  一方で、コロナ禍のためにオフラインでの作業ができず、IoT機器の解析はファームウェアがすでに抽出されているところからのスタートであった点は残念ではありました。

おわりに

デジタルペンテスト部で実施したインターンシップの一部をご紹介させていただきました。尖った技術を持つエンジニア集団らしさが伝わる内容で開催できたかと思います。

インターンシップに参加してくれたメンバーは、今は同じ部署で働く仲間となっています。入社前からお互いを知れた、とても貴重な機会でした。現在インターンシップの募集はしておりませんが、ラックという会社、デジタルペンテスト部での取り組みや部署の空気感をお伝えしたいと思い記事を書きました。これからも、ラックらしい、デジタルペンテスト部らしい、少し尖った活動を継続していければと思います。