きなこもち。

(´・ω・`)

2022年の振り返り

時系列

1~3月

  • 去年から引き続きRailsメインのバックエンドエンジニアとして働いていました

    • 既存のRails APIの保守とちょっとした開発を担当してました
    • 今も動いてるのかな...
  • 去年からGo言語を書いて仕事をしたいと思っていたのですが、ついに叶わず、自ら新設のセキュリティの部署へ異動を願い出ました

    • JWTのハンズオンをGoで書いたのもこのアピールだったりするのですが、私は選ばれませんでした。無念...
  • 3月に初めて2つduplicateでないバグをHackeroneに報告し、ちょっとしたお金とswag(Tシャツ)をもらえました!

    • developerとして働きつつのバグハントはかなり厳しかったですが、どんなに小さくとも去年から勉強していたバグハントでの成果が出てよかったです...(・ω・;)
    • ちなみに最初のバグはDOM-based XSSで、過去にCTFで出題されたテクニックを用いてexploitまで繋げたので、やはり学んだことは無駄にならんなぁと思いました
    • このバグのストーリーを元に某大学のサークル向けにプレゼンする予定だったのですが、転職でお蔵入りになりました😉

4~7月

  • 新部署でセキュリティをやる予定でしたが、色々あって転職を決意しました

    • ここに関しては後述で詳しく書きます〜
  • 最終出社日後の有休消化でフリーだったので北海道行ってきました

    • 外国人と話していると「日本行くなら北海道に行ってみたい」と言う人が比較的多く、そういえば自分は日本人なのに行ったことないなーと思ってたので北海道に決めました
    • アイスクリーム屋が多く、食べすぎて無事お腹壊しました。他に味噌ラーメンが美味しかったです🍜
  • 4月に開催されたNahamCon CTF 2022に出場し、一人でweb問を全部解きました💯

    • writeup→https://kinako-mochimochi.hatenablog.com/entry/2022/05/01/073316
    • NahamCon CTFには腕試しで必ず出場するように心がけており、当時は一人でhard1問でも解けたらいいな...くらいの気持ちだったのですが、1つ、また1つとhard問が解けて最終的に全部解けてしまいましたw
    • Deafconという問題は10時間以上粘りました、一生忘れないと思います😂

ちなみにCTFerなら誰もが知っている某CTF Youtuberの方が作問者の一人だったらしく、Twitterでいいねをもらえて感激でした。

  • また、この頃HTBのactiveなweb challenge埋めを始め、現在は11/16埋めてます
    • activeならExpressionalRebelという問題が面白かったです。解けた時「おおー!」と叫んでしまいました
    • retireしてしまったのですがSpiky TamagotchiとDebugger Unchainedもかなり良かったです。後者は作問者の意図を完璧に読み切った感があるの思い出深いです笑
    • HTBのweb問はNodejs製が多めでローカルで動かしやすいので本当助かります...

8~12月

新しい職場についても後述しますので別のことを書きます

  • 外国のCTFチームTask_Hashed(現/bin/cat)にお誘いいただきjoinしました!(https://ctftime.org/team/211363/)
    • 最初は軽い気持ちでDiscordに入ったのですが、予想以上にレベルが高く、楽しくやれそうなので正式に加入しましたw
    •  HTBに問題を提供しているプレイヤーなどがいて、本当に驚くばかりです...(o_o)
    • 来年は/bin/catのメンバーとして暴れるぜ😎

/bin/cat

Thanks!😎

  • OCSPに落ちました😭
    • 最初の数時間で50点確保し、「勝ったな(確信)」と余裕の表情でAD攻略を始めたのですが、途中で次のステップに進む手がかりが全くわからず、10時間以上enumし続けましたが最後まで分からずギブアップしました...
    • HTB含め何十ものWindowsマシンを経験してきましたが、冗談抜きで一番固い環境だったと思います
    • 今でも何が悪かったのか分からないんですよね...😐
    • 次回は6週間後とのことで、暇なのでC#マルウェア開発と解析の両方を勉強して備えてます...

転職

転職を決意したきっかけ

転職について本格的に考え出したのは去年の秋頃です。

当時はTerraform+AWSで分析基盤構築の仕事を終えAPIサーバ保守の仕事に戻ったのですが、基本一人の仕事だったのでかなり孤独でした。

また、仕事内容についてもRailsAPIサーバの保守メインだったので「これでスキルが身につくのだろうか」と内心焦っていました。

新たに作成するAPIは既存のものをコピーして少しロジックを変えるだけで大体事足りるので、高いRailsの専門性が身に付くことはないと思っていましたし、何より社内でGo言語を大々的に推進している中このままだと置いていかれるのではないかと不安しかなかったです...

状況を変えるべく4月に部署異動などを経験させていただいたのですが、諸事情あって異動前より精神的に厳しい状況に置かれてしまったので本格的に転職をスタートさせました。

(異動を申し出ておいてめちゃくちゃ自分勝手ですね、前職の人々には申し訳ないです)

応募、面接、内定まで

転職にあたり以下のようなツイートをしたのですが、これをきっかけにペンテスターとしての仕事の紹介を3件ほどいただきました!

Twitter最強です!他の転職系SNSはいりませんでした!

最終的に1番早く内定を頂いた現職に決め、転職活動は終了しました。

(今回ご縁がありませんでしたが、他のお誘いいただいた方々もありがとうございました🙇‍♂️)

端的に書くと、4月に転職決意&一次面接、5月に技術適正チェック&二次面接、6月上旬内定、7月に以前の職場を退職&夏休み、という感じでした。

面接でアピールしたこと

前述の通り、当時ちょうどH1にバグを報告してバウンティをもらう経験をしたり、NahamCon CTFでweb問全完したのでそのことを話せたのは大きかったと思います。

また、2年前にオンサイトのペンテスト大会で2位を取っていたのでそのことも全力でアピールしましたね😅

OSCPなどの資格を持っていないので不利かと思いましたが、前述の3つで十分カバーできた...かな?

転職の感想

最高です!

本来はペンテスターになれたらいいなーと思っていたくらいなのですが、期待以上の業務ができて本当に恵まれてます。

そして資格や教材は会社持ちで受け放題ですし、なにより仕事も他社ではなかなかできないようなことができるので楽しいです😁

年収については具体的な金額を書きませんが、前職に比べると大幅にアップし福利厚生も手厚くなったので今のところ待遇に不満は0ですね。

加えて1日の勤務時間が7.5時間なのが地味に嬉しいです。

しかし外資なので、レイオフされないように頑張ってます😂

その他

最近はwebセキュリティをお休みして、今までは自分と無縁だと思って手を出してこなかったマルウェアやC2サーバなどの分野を優先的に勉強しています。

バグバウンティなどもやりたいのは山々ですが、今の職場でしかできないことを優先したいのでしばらくはマルウェアなどの勉強に集中することになりそうです。

CTFはコミットの頻度を上げたいのでwebセキュリティ要素はそこで補完する感じになりそうです。

来年の目標

  • OffSecの資格たくさん取る!

    • せめてOSWEは合格したいです🤢
  • CTFもっと精進したい

    • 来年はもっとハイレベルなCTFでsolveを稼ぎたいですね
    • マルウェア解析と並行してrevやforensicもブラッシュアップしていく予定です💪
    • /bin/catでgo-go🚀
  • 猫島に行く🐈

tobimike.com

というわけで短いですが2022年の振り返りでした〜来年もよろしくお願いします〜!