初心者向けペネトレーションテストのハンズオン研修「Penetration testing for Basic Infrastructure」が3月に都内で開催された。講師として招かれたのは、イギリスのセキュリティ企業 NotSoSecure 社でペネトレーションテスター、デジタルフォレンジックコンサルタント、トレーニング講師を務める Will Hunt 氏で、10年を超えるセキュリティ業界経験を持つ。NotSoSecure 社は、世界各国でトレーニングを開催した実績を持ち、今夏ラスベガスで開催される Black Hat USA 2018 でも、4つのトレーニングコースを提供する予定だ。Hunt 氏は、自身の情報発信のブログやTwitterで積極的な情報発信を行っており、多数のソフトウェアの脆弱性を発見してきた実力派。研修は、午前9時から17時までの2日間行われ、逐次通訳のもと、下記のカリキュラムを、配付された計196ページにわたるPDFの教科書をもとに順に学びながら、NotSoSecure 社のラボへVPN接続し、計8台のマシンの調査・攻撃・権限奪取を行っていく。Day1Module1 ポートスキャニングの技術Module2 オンラインパスワード攻撃の技術Module3 データベースをハッキングする技術Module4 Metasploit基礎Module5 パスワードクラッキングModule6 UnixのハッキングDay2Module7 Unix上でのアプリケーションサーバーのハッキングModule8 サードパーティのCMSソフトウェアのハッキングModule9 Windows EnumerationModule10 クライアント側の攻撃Module11 Windows上でのアプリケーションサーバーのハッキングModule12 ポストエクスプロイテーションModule13 Windowsドメインのハッキング各講義では、まず最初にその攻撃対象が攻撃者から見てどう魅力的であるか、なぜそれが狙われるのかについての説明からはじまる。そして攻撃成功時に Hunt 氏は目を輝かせ、達成の躍動感を会場と共有した。「ペンテスト技術」の研修でありながらも「ハッキングノウハウ指南」といった雰囲気も色濃く、単に攻撃技術習得だけではなく、たとえば攻撃者はターゲットがどのような業務手順で仕事をするかなどを想像しながら攻撃を組み立てることなどに言及、研修を通じ、攻撃者の視点と同化していく過程を受講者は味わった。本ハンズオンセミナーは、INTEROP などを開催する株式会社ナノオプト・メディアによって、 Security Days Spring 2018 の併催イベントとして企画された。早割で約20万円、当日約30万円の受講料で、当初2日間の終日研修を2回開催することを予定していたが、満席がつづいたことで2回追加開催する盛況となり、サイバー攻撃の実際を知ることで対策や業務に役立てたいという企業の需要がうかがい知れた。
