mixi engineer blog

*** 引っ越しました。最新の情報はこちら → https://medium.com/mixi-developers *** ミクシィ・グループで、実際に開発に携わっているエンジニア達が執筆している公式ブログです。様々なサービスの開発や運用を行っていく際に得た技術情報から採用情報まで、有益な情報を幅広く取り扱っています。

リアルな攻撃体験をしよう! Scrap Challenge 2015年度シーズンのご案内

FYI

git技術イベント「git challenge」の第6回を2017.9.2に開催します。
エントリお待ちしてます!


と、いうわけで

人事・イノベーションセンター 森本です。こんにちは。

株式会社ミクシィでは、今年もSNS mixiを擬似攻撃できるセキュリティ技術体験イベント「Scrap Challenge」を開催します。

f:id:mixi_engineers:20150713184615p:plain

開催日 2015.8.29(土) 11:00〜19:00 (ランチ・懇親会あり)
会場 ミクシィ本社 コラボルーム (東京都渋谷区)
エントリーと詳細 こちらからどうぞ!
hashtag #mixi_scrap

 

5年めの「卒業生インタビュー」

Scrap Challengeは、2011年に第1回を開催してから今年でもう5年目。今年度(2015)は夏の終わりの2015/8/29からスタート。概算11回めの「スクチャレ」です。

今日は、今年度の開催のご案内に加え、Scrap Challengeでミクシィのエンジニアリングに触れ、そして2015年春に入社された新卒エンジニアのお二人にお話を伺ってみます。

 

f:id:mixi_engineers:20150713185156j:plain

2015年度新卒入社 中西さん、辻さん

 

森本: お忙しいところどうも。実は、去年の暮れごろにもmixi Engineers' BlogでScrap Challenge経由で入社したみなさんへのインタビューをしたばかりなんですが、

今年の春にまたお二人が「スクチャレ卒業生」として入社されたこともあり、改めてお話を伺ってみたいなと、お時間をいただきました。今日はどうもありがとうございます。

: いえいえ。こちらこそありがとうございます。

中西: ありがとうございます!

今年のスクチャレ卒業生

森本: というわけで、まずは簡単なプロファイルからお伺いしていきますね。出身校と学科、加えてどんなことを専攻してらっしゃったか、教えてください。

中西: 京都大学大学院 情報学研究科 システム科学専攻で、主に機械学習系にまつわることを研究していました。

: 立命館大学 大学院 情報理工学専攻 計算機科学コースです。研究内容はデータマイニング系です。

f:id:mixi_engineers:20150713185849j:plain

 

森本: お二人が参加されたのは2013年の冬のScrap Challengeですよね。

この、Scrap Challengeというイベントをそもそも知ったきっかけは何でしょう?

 

中西: (2人とも少し考えこむ) このイベントのこと自体はもともと知ってました。知ったきっかけがなんだろうと言うと…… 第1回が開催されたときのtweetが出回ってたのを見たのかもしれません。
その上で、ミクシィに就活エントリーしたとき、Scrap Challenge開催のお知らせをいただいたので、申し込んで参加しました。

: 僕も事前に知ってました。知ったきっかけまでは覚えてないのですが…… たぶんネットのセキュリティ関係の記事か何かだったかな? で、後輩を誘って、一緒に参加しました。

森本: 実際に攻撃に加わってみて、面白かったところ、あるいは簡単・難しかったあたりなど教えてください。

コンビネーション・アタックのおもしろさ

中西: チームの3人のコンビネーションで解くのが面白かったです。

f:id:mixi_engineers:20150713190024j:plain

最初のうちは出題された問題をチームメンバーひとりずつで担当し、問1は君、問2は僕、という感じで割り振って進めていたのですが、割とセキュリティ攻撃の初心者が多かったので、分からないところを教えあいつつも、なかなか進まず……

で、途中から戦術を変更して、3人共同で問題にアタックするようにしました。そうしたら、知見やアイディアの出し合いがうまく行って、謎がどんどん解けはじめ……

それから攻略も進むようになっていったんです。チューターのかたにも、技術的に分からないところをどんどん聞いたり。

中西: あと、アタックの後の懇親会も面白かったです。イベントのあいだ技術チューターをやってくださったエンジニア社員のみなさんや、ほか懇親会だけ駆けつけてきてくれた方もいらして、とにかくフランクにいろんな人と喋れたのが良かったです。社内の空気がすごくよく分かりました。

森本: なるほど。実際にサイトを攻撃してみたりするのははじめて?

中西: 初めてです。知識では知っていましたが、実際に実在サイトを解析して穴を探したり、さらに攻撃したりするのは初めてでした。

: 僕は、以前からバイト先で、暇をみては攻撃はしてました(笑)

f:id:mixi_engineers:20150713190148j:plain


攻撃先は自分たちで開発している成果物のステージングサイトで、実際の攻撃の被害に遭わないよう脆弱性を探しておく、hardening目的ですね。
いろんな手法がわかってくると、攻撃まではしなくても、いろんなサイトのHTML, JavaScriptとかソースをふと見てみたり、とあるコンテンツ配信サービスで任意のアイテムを購入させられる脆弱性を見つけたり…… もちろん、見つけた脆弱性はIPA経由で報告しましたよ。

他には、著名なグループウェアの本物の穴を見つけるというイベントにも参加しました。

森本: セキュリティ強化や知識向上に力を入れてらっしゃるところですよね。辻さんチームは優勝チームになっただけあって、割とガチな戦いをしてたんですね!

: ここでひと暴れしてやろうみたいな(笑) 戦闘力高そうなチームメイトが揃ってました。XSSに強い人や、他にもSQL Injectionに強いチームメイトがいたり。
戦い方も、まずはSkypeでルーム作って、攻略コードの共有もそこで行ったり。結果として優勝チームにさせていただきました!

今年の夏へのアドバイス

森本: なるほど! 主催側の僕らも、そのへんのチーム間の情報共有がしんどそうだなと思って、その後はScrap Challenge参加者専用Slackを前もって用意するようにしたんですよ。
今年度のScrap Challengeは、夏の終わりの2015.8.29が第1回なんですが、参加するかたへのお勧めやアドバイスってありますか?

中西: 基本はとにかく徳丸本を読んでおけ! ですね。ある程度予習・準備していたほうが当日楽しめます。 

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

 

: アタックする競技ではありますが、たぶん楽しんでもらうのが一番です。チーム構成も当日アサインされるし、ハンズオン的なイベントなので、気負わないで参加してみるといいと思います。

予習としては、本を読んでおくのもいいし、可能なら、穴のあるWebアプリを作って、それを自分で攻撃してみるとか。

森本: ありがとうございます!

f:id:mixi_engineers:20150713190435j:plain

: 学生対象のセキュリティ・イベントってなかなかないし、そうした数少ない中でScrap Challengeは参加の敷居も低いほうだと思います。
でも内容はしっかりしてますし、貴重な体験ができると思います。ネットサービス開発の登竜門みたいになっていけると楽しいですね!

中西: あのころはまだ全然攻略問題を解けなかったけど、その後入社して、こうして今年はチューター役にまわります。成長できますよ!(笑)
参加される学生さんと会えるのも楽しみです。ぜひ参加してね!

渋谷でお待ちしてます。

というわけで、5年めを迎えたScrap Challengeの通算11回め、今年度の第1回開催は2015/8/29(土)です。
ランチ・懇親会に加え、遠隔地の方には交通費の補助もございます。
みなさんぜひ今年の夏は、普通はできない「たのしく、やばい」コンピューティングを渋谷で体験してみてください。お待ちしています!

 

f:id:mixi_engineers:20150713191407p:plain

エントリーは mixi-recruit.snar.jp へどうぞ!