PEStudio

www.winitor.com

マルウェア解析に限らずリバースエンジニアリングで最も大切なことは「自分が今向き合っているモノは何なのか」のあたりをつけることなのではないかと筆者は考えています。.NET で作られていれば de4dot や dnSpy を使って難読化解除やデコンパイルをしますし、pyinstaller や nexe によって実行ファイル化されたツールであればネイティブコードの抽出を目指す人が多いでしょう。つまり、対象がWindows PEファイルであれば最適な分析手法を割り出すためのワンクッションがあったほうが効率的です。そのためのツールの1種別が表層解析系のツールで、筆者は PEStudio を好んで使用します。

ただし、この項目についてはめっちゃ派閥がわかれると思います。pe-beer や CFF Explorer のほうがツールとして使いやすいという人もいますし、malwoverview のようなツールでトリアージは自動化している人、Detect It Easy のような最低限の表層解析ツールで十分の人もいます。

ここまでいろいろ書きましたが、ぶっちゃけ最適な解析ツールを導出することができればなんでもよいと思うので、あとは皆さんが触ってみたフィーリングやレベル感によって使いやすいものを決めてください。筆者はなんで PEStudio 使っているかというと strings の部分が優先度順で並ぶのと全体的にグラフィカルでわかりやすいからです。

IDA Free (Pro)

hex-rays.com

最強です。純粋なマルウェア解析をやっている時間の9割以上がこのツールを触っている時間と言っても過言ではないかもしれません。チラッと目次を見てもらった方には「あれ、デバッガ書いてなくね?」と思った方もいらっしゃるかもしれませんが、現在は x64 のアーキテクチャであれば Free からデコンパイルもできるしデバッグもできるのでほぼこのツールで完結します。つよいです。

ただし Free だと x86 や arm まではデコンパイルできないので、そういう場合は Ghidra でディスアセンブル/デコンパイルしながら x64dbg を使うという人が多いのではないかなと思います。(ただやはり Ghidra を使うとデコンパイルの精度やショートカットの微妙さなどが気になるので、できることなら IDA 使いたいなと筆者はよく感じます。あと、バージョンアップのたびにプラグインをビルドしたり python3 がデフォルトで使えないのがあまりにも厳しい。。。)

また、最近なぜか WinDbg を使いますという声もちらほら聞きます。たしかに先日 かえるのほんだな さんが0円というまさかのバグ価格でWinDbg本を公開されていたので、こちらを参考にしながらデバッガの勉強をするのも非常にありな選択肢だと思います。
techbookfest.org

雑にまとめますが、基本 IDA を使う練度を上げて使えない部分は他のツールでカバーするというのが一番実践的だと思う、というのが筆者の主観です。

FakeNet

github.com
FLARE チームが作成したネットワーク通信のエミュレートツールです。デフォルトだとほぼすべてのネットワーク トラフィックをインターセプト、リダイレクトし FakeNet 側で指定したカスタムレスポンスを返させることができます。つまり、マルウェア解析の場面ではホストオンリーの環境でもC2サーバの擬似応答を返させることでデバッグ解析を継続させることができるという強力なサポートをが得られるツールです。(リバエン力が高くない筆者にとっては、ここまでの上三つがとりあえず使うツール3強な気がしています。)

試しに FakeNet を起動した状態で google へ curl を叩いてみると、FakeNet からの fake レスポンスを返してくれることがわかります。

DNS も解決してローカルホストにリダイレクトさせてくれるので、ここからC2サーバのレスポンスを作りこみ、解析をより深く行うこともできたりします。FakeNet に届いた通信は pcap 形式でdumpしてくれるので、事後分析もしやすいです。総じて優秀なので、デバッグしながら解析している際には脇で動かさない手はないでしょう。

mandiant さんの公式ブログを見るとカスタムレスポンスのつくり方なども書いてあるので、興味がわいた方はこちらを参考にカスタムしてみてください。
www.mandiant.com

Yara

github.com

ファイルに対するシグネチャマッチングのデファクトスタンダードです。多くのベンダー・組織がマルウェアの検知ルールとして Yara rule を公開しており、さらにセキュリティ製品でもこの Yara が導入可能となっているものが多いです。なので、解析で Yara を使わなくても純粋に Yara の読み書きができるというだけでも得をする場面はあるかなと筆者は想像しています。特にマルウェア解析を仕事にしている人だと、解析結果から Yara ルールを作成して、それを組織のセキュリティ製品に組み込んで運用できる状態にしてもらうことをアウトプットの一つにしていたりするのではないかなと思います。
ルールのイメージがわかない方は JPCERT/CC さんが公開しているものなどを参考にしてください。

脇道にそれたので話を解析に戻します。主に解析後の話を中心として Yara を記述しましたが、筆者のトリアージプロセスの一つとして Yara をかけるというのは最初期段階で行います。「シグネチャでマルウェアのファミリ判定されれば儲けもの」くらいのモチベーションです。たしかに標的型検体や Pack されているマルウェアなどからはいい結果が得られませんが、ものの数秒くらいのロスにしかならないのでとりあえず JPCERT/CC さんなどのGithubに公開されているルールをかけて損はないと思います。

またシグネチャマッチングとは少々異なりますが、実行ファイルがどんなことをしていそうかというのを推定してくれる capa というケーパビリティツールもあります。
github.com

筆者は自分でルールを作りこむことまではしたことなく mandiant さんが提供するルールを IDA Pro のプラグインから使ってトリアージに活用しているだけなのですが、IIJ さんのブログなどを参考にすると自身でルールを書いてもっと有用な使い方ができそうな気がしています。皆さんはぜひ有効活用してください。
eng-blog.iij.ad.jp

FileInsight

俗にいうバイナリエディタです。FLARE-VM にも一時期話題になった午前3時から頑張る人向けのバイナリエディタ ImHex や010 Editorなんかが入ってはいるのですが、筆者の肌感にあわずメインでは使ってません。

代わりに何を使っているかというと McAfee 製の FileInsight というのを使っています。こちらは有志の方がマルウェア解析に特化したような plugin を作ってくれたりしていることもあり、雑にデータの復号とか解凍とかができるのがうれしい点です。バイナリエディタ単体で起動することもあまり多くは無いのですが、振り返ってみると一番使っているのはこれですね。

github.com

あとは、IDA にも Hex 表示の機能がついているので、けっきょくのところそこで見て python 使ってデータいじってしまうことが多いですかね。。。IDA つおい。

Process Hacker

processhacker.sourceforge.io

プロセスが使用しているメモリやネットワークレベルのリソースまで確認できる、プロセスリソースモニターです。
似たようなツールとしてProcess Explorerもありますが、筆者の場合 Executable なメモリを見つけたりそこからメモリをダンプしたりする機能が便利すぎてずっと Process Hacker を使っています。

また、少し余談になりますが、Process Explorer などに代表される Sysinternals tool は有用なものが多く FLARE-VM にも標準でインストールされるため見てみることをオススメです。("Tools -> sysinternals" にあります)
learn.microsoft.com

前にも述べた通り筆者はほぼ IDA を使うばかりで動的解析をしなくなってしまったのであまり使ってはいないのですが、Process Monitor, Autoruns なんかはマルウェアをとりあえず動かしてサクッと挙動を掴むうえで有用なツールだと思います。

直近だと IIJ さんのブログにも Process Monitor を活用した動的解析ツール Noriben のはなしがあるので、いきなり静的ではなく動的から勉強していきたい人は活用してもらえるといいのではないかと思います。(初めてのマルウェア解析 の本を持っている方はここからでも学べたりします)
eng-blog.iij.ad.jp

bindiff

github.com

最近 Open-Source になったことで話題となったディスアセンブルコードの比較ツールです。同じところで何年も働いていると一度解析したことのあるマルウェアの亜種とは何回も戦うことになり、詳細を全部確認すると無限に時間がとられてしまいます。なので、限られた時間で読む部分にあたりをつける、さらにはコードの更新部分を第三者にわかりやすく説明するためにかなり重宝されます。(特に、非エンジニアに説明する意味だと後者はデカいと思います。)

具体的なイメージが見たい方は moly さんのブログを参考にしてください。Ghidra での解析差分をサクッとそしてビジュアブルに図示できることがわかると思います。

morimolymoly.hateblo.jp

ちなみに IDA Pro を使っている方は diaphora という便利なプラグインがあるためこちらを使っている方が多いかもしれません。こちらでも bindiff と同等のことができますが、関数をクリックするだけで IDA の該当の関数に飛んでくれるので非常に親和性が高いです。 Pro がある人はこっちも試してみることをおすすめします。
github.com

BlobRunner

github.com

かなり tips よりのツールだが、「抽出した shellcode をサクッとデバッグしたい。。。」とアナリストならば一度は思ったことがありそうな要望を叶えてくれるツール。Initial Accessでは全部が shellcode でできたようなツールがポンポン降ってくるような昨今ではすごく有用だと思います。

筆者もかつては「指定したファイルを読み込んで、Executable なメモリに配置して、3分sleepして、call する。。。」なんてツールを書いて使っていましたが、BlobRunner だとデバッガでアタッチしたあとにエンターキー押せば breakpoint まで飛んでくれるので利便性高いですね。

OALabs さんは他にも API hashing の解決を補助してくれる hashdb のようなプロジェクトや Youtube channel で解析手法なんかを公開していて非常に有用なので、時間に余裕のある方はチラ見してみてください。(筆者自身も、こういうところから便利そうなツールの情報を盗むことが多いです)
github.com

Hayabusa

github.com

大和セキュリティさんが公開している Windows のファストフォレンジックツールです。「あれ、フォレンジックツールは紹介しないんじゃなかったっけ?」と思った方もいらっしゃるかもしれませんが、筆者は Sigma と呼ばれる SIEM でのログ検出用のシグネチャルールを検証する際に使用しています。

github.com

下記は Sigma 公式 Github の README に載せられている図ですが、Sigma ルールは Sigma rule のコンバーターと何かしらの SIEM (に検証したいログがたまっている状態)がないと有効活用、つまり検証できません。

Hayabusa は Sigma を解釈したうえでローカルに溜まったエベントログをスキャンしてくれるので、コンバーターと実質 SIEM 部分の役割を担ってくれます。便利です。Sigma ルールを書いたり検証したりするジョブに就いている人にとっては、マルウェアをローカルでガチャガチャ動かして検証できるようになるツールなので入れておいて損はないと思います。

試験概要

OSWA の試験は OSCP と同じく1マシンからlocal.txtとproof.txtを取得するタイプの試験ですが、実態はOSCPと少々異なります。OSCP はuser shellの取得証明でlocal.txt, privilege shell の取得証明でproof.txtを提出しますが、OSWA はwebのコントロールパネルへの侵入でlocal.txtが, そこからfile system上のファイル読み出しができてproof.txtが得られるような試験になっています。(ここでいう webのコントロールパネル というのは、WordPress の admin dashboard だと考えてもらえればOKです。)

wordpress.com

つまり権限昇格のフェーズは存在せず、HackTheBox でいうところのlocal shellが取得できるまであたりがゴールという感覚です。これは"権限昇格がないので簡単です"という表現ではなく、WEB-200で取り上げているような脆弱性でもRCEにつながらないものを試験に取り上げるための都合だと思われます。具体例をあげると、単純なXSSの脆弱性ではRCEにつながらないのでOSCPの試験だと取り上げにくいですが、コントロールパネルへの侵入が第一目標だとcookieをstealする問題として出しやすいという感じですね。なので、OSCP のように "whoami + cat or type proof + ip a or ipconfig" のスクリーションは必要なく、local.txt or proof.txt が映ったBrup SuiteからのスクリーンショットとWeb UIのスクリーンショット2つをレポートに張り付けることが変わりに求められていますね。

https://help.offsec.com/hc/en-us/articles/4410105650964-WEB-200-Foundational-Web-Application-Assessments-with-Kali-Linux-OSWA-Exam-Guide

もう少しイメージしやすい具体的なboxを挙げると、"soccer" というマシンのuser shell取得までをもう少し難しくしたマシンになります。
infosecwriteups.com

このようなマシンが5台分存在し、local.txt, proof.txt がそれぞれ10 pointで合計70 points overで合格です。ボーナスポイントは存在しないので、最低でも4つのマシンでコントロールパネルに侵入できないとアウトとなります。取り扱っている内容が難しくないとはいえ、8割のマシンでexploitを成功させなければならないのでスピードが重要な試験ですね。

試験本番のタイムスケジュール

Web のペネトレは列挙がすごく多いので、筆者のレベルでは時間がかなりカツカツでした。筆者の試験タイムスケジュールは以下で、合格までは15.5時間程度の時間がかかりました。

1, 2台目のマシンと筆者のメンタルモデルが合わず前半はけっこう焦りましたが、後半はラボやトレーニングの内容をベースにポンポン進んだので内心ホッとしました。悩んで首をひねり続けていても見えないものは見えないので、チートシートを使ってどんどん列挙を続けるのが大切な試験でしたね。ある意味、OSCP のときにやった諦めない列挙の心というのを思い出しました。

github.com

最後1台目のproof.txtだけどうしても取得できず90pointsで終了。スクショの取得漏れが一番怖いので合格点達成時点でレポートを書き、最後に5台目分の内容を追記する形で早めにレポートを提出しました。レポート提出後は別の作問作業などをしていましたが、ピッタリ24時間後に合格通知が来て特に山もなく谷もなくといった具合でWeb-200は修了です。

Intelligence ≠ Collection

Open Source Intelligence (OSINT) ≠ Open Source Collection

— Neutral8✗9eR @0x009AD6_810@infosec.exchange (@0x009AD6_810) 2023年3月9日

さて、これからOSINTについて考えるということは、まずその言葉の定義について確認しなければならない。
本記事を見ていただいている人の多くは、OSINTという単語を見聞きしたことがあるだろう。「本日のOSINTまとめです。」といってWeb記事のまとめを提出する人間や、「OSINTでSNSアカウント特定しました!」と言ってくる身内と遭遇した経験は少なからずあるのではないかと思っている。では、この文脈で語られているOSINTというワードは、果たしてOSINTの定義に沿ったものなのだろうか。

OSINTとは "Open-Source INTelligence" の略であり、その名の通りWebサイトやSNSといった公開情報から生成された "インテリジェンス" なるものである。OSINTはインテリジェンスを"情報の収集源"という観点で整理した一つの分類上の呼び名にすぎず、その他にも HUMINT (Human INTelligence) や SIGINT (Signal INTelligence) といった別の情報源から収集したインテリジェンスの呼び名が存在するが、本記事の本質から内容が反れるため今回は割愛する。

ここで疑問となるのが、先ほどから多用されている"インテリジェンス"とはいったい何者なのかということである。近年では AI (Artificial Intelligence) という言葉が一般人にも知れ渡り使用されるようになったが、おそらく"インテリジェンス"という言葉を単体で使用する人はいまだに少なく、意味をしっかり調べたことがあるという人はもっと少ないのではないだろうか。それもそのはずで、インテリジェンス (Intelligence)とは元来軍事で用いられる専門用語であり、日常で使われることはほとんどない。まずは米軍統合情報本部が公開している『Joint Publication 2-0: Joint Intelligence』*1から、その意味を確認してみるとしよう。PDFの冒頭には、こう書かれている。

Information on its own may be of utility to the commander, but when related to other information about the operational environment and considered in the light of past experience, it gives rise to a new understanding of the information, which may be termed “intelligence.”

情報はそれ自体でも司令にとって有用かもしれない。しかし、作戦環境で関連する他の情報や過去の経験と照らし合わせたとき、その情報に対する新しい理解が生まれる。これを "インテリジェンス" と言うのかもしれない。

日本語訳は筆者が書いたものなので、多少誤訳があるかもしれない。しかし原文を確認した方はおそらく同じような感想を抱くのではないだろうか。「用語解説のはずなのに説明が抽象的ではないか? 情報をいい感じに使ってもっと価値のある何かにすればええのか!?」と。では、内容がより明瞭になる Introduction まで読み進めてみよう。Introduction だけでも長く全文を載せることができないので、筆者がインテリジェンスを理解するうえで重要だと思う箇所だけ抜粋した。もし原文が気になる方は、PDFの Introduction を見ていただきたい。

a. 情報は将来の状況や条件について合理的な洞察を提供することで、司令の意思決定プロセスに貢献し最大の価値を発揮する。
(中略)

生のデータ(Raw Data)はそれ自体は比較的限定的な有用性しかもたない。しかし、データが理解しやすい形に処理されるとそれは情報(Information)となり、より大きな有用性を得る。情報の段階でも司令にとって有用かもしれないが、作戦環境に関する他の状況や過去の経験と照らし合わせたとき、その情報に対する新しい理解が生まれる。これを "インテリジェンス (Intelligence)" と言うのかもしれない。
(中略)

インテリジェンスは、最終的に情報とは2つの異なる特徴がある。インテリジェンスは将来の状況や情勢を予測することができ、行動指針(Courses of Action)をとることでどのような違いが生まれるか明らかにすることによって意思決定に貢献することもできる。

b. インテリジェンスは、作戦環境を理解しやすくさせるための評価および推定を司令に提供する。
(中略)

c. インテリジェンスは科学ではない。インテリジェンスアナリスト(分析者)は作戦環境を評価する際に不確実性を持っている。
(中略)

したがって、アナリストは自らの分析にどの程度信頼を持っているか(degree of confidence)を伝えることが重要である。
(中略)

d. インテリジェンスには、能力・プロセス・組織が含まれる。
プロセスには、収集, 加工, 抽出, 分析, 配布の工程が含まれている。
(中略)

インテリジェンスはそれ自体が目的ではない。作戦におけるインテリジェンスの関連性を向上させるために、マネージャーは消費者のニーズを予測し、インテリジェンスが効果的か、影響力があるかを検討しなければならない。
(中略)

作戦環境は絶えず変化するため、インテリジェンスは継続的な活動であることを留意する必要がある。

ここまで読み進めると非常に詳細に書かれているため、多くの方がより鮮明に"インテリジェンス"をイメージできるようになったのではないだろうか。筆者なりにまとめた"インテリジェンスとは何か"をまとめたものが以下である。

• インテリジェンスとは: 以下の3つを含むものである。
  • 能力: 意思決定者に対して有効な"アウトプット(成果物)"を提示できることを指す。具体的には、データを収集し、情報へと加工し、分析してインテリジェンスへと昇華できるとともに、それが意思決定者に対する具体的な行動指針として貢献できていることである。サイバーセキュリティの文脈では、CISOに対してセキュリティ施策や予算への提言、SOCにIoC(Indicator of Compromise)やシグネチャの提供といったアウトプットが該当する
  • プロセス*2: 顧客・組織のインテリジェンス要求(Intelligence requirements)を理解・検討し、より要求に沿ったインテリジェンスが提供できるよう継続的に改善が行われている。
  • 組織: 上記が組織的に従事されている。
• なぜインテリジェンスがあるのか
  • 刻一刻と変化し大量の情報が溢れている現場において、意思決定者は必要な情報だけを取捨選択し次の行動を決める必要がある。インテリジェンスは意思決定者を助け、組織がより最適な行動をとることを継続的にサポートできる
• インテリジェンスはどのように生まれ、どのような特性を持つのか
  • 組織に所属する能力を持ったアナリストが、意思決定者のニーズをもとに改善を繰り返しながら行動指針に寄与する分析をすることで生成される。しかしインテリジェンスは科学ではなく不確実性を伴っているため、分析にはアナリストの評価・推定が含まれる。アナリストによる不確実性の評価は、信頼度として表現される。

少々遠回りとなってしまったが、このまとめを踏まえつつも『Joint Intelligence』の定義に基づきながら、「OSINTとは?」に対する筆者なりの説明一言で表現してみると、以下のようになった。

「組織・顧客のインテリジェンス要求を達成すること目的として公開情報を収集・分析し、 組織の情報戦に関わる意思決定に継続的に貢献すること」

さて、それでは冒頭の問いに戻ろう。Web記事のまとめやSNSアカウント特定は果たしてOSINTなのだろうか。筆者の見解としては、「OSINTを生成するための情報収集及び分析結果の一部ではあろうが、インテリジェンスの定義には沿っていないのでOSINTと表現すべきではない。」になる。つまり、元来のかっちりとした定義に基づいて"インテリジェンス(または、OSINT)"という単語を使用している人にとっては、昨今様々なコンテキストで使用されているOSINTは本来の意味からずれた別の何かとして映るのである。
本騒動においても、OSINTを生成するための活動を指して"OSINT"と表現している人が散見されたため、「情報収集(Open-Source Collection)というのはOSINTを生成するうえでの活動の一部ではあるが、それ自体はOSINTではないよ」という意味を込めて、このような本質的な事象について述べたアナリストがいたものと思われる。

ここまで長々と茶番をし続けてきたが、直近でSANSから出されたOSINTに関する記事でも同様の内容が書かれていることが確認できる。余力がある方は、是非一読してもらいたい。
www.sans.org

冒頭を抜粋すると、以下のように述べられているのが確認できるだろう。

Open-Source Intelligence (OSINT) is defined as intelligence produced by collecting, evaluating and analyzing publicly available information with the purpose of answering a specific intelligence question.

OSINT は、特定のインテリジェンス要求にこたえることを目的として、公開されている情報を収集・評価・分析することによって生成されるインテリジェンスと定義される。

OSINT のスコープ定義あるいは倫理との境界

今年も OSINT をトピックとして扱う講義をやるので、改めて定義を宣言するのが大切だな、と。これが正解だ！ではなく、諸説あります、にはなるだろうけど🤔自分はこんなイメージで捉えて、ていぎしている。※諸説あり pic.twitter.com/bxS3ZBxj8J

— _roku_ (@00001B1A) 2023年3月9日

本騒動は「OSINT をする過程で図らずして攻撃となってしまったり、法律に抵触するようなことがあるかもしれないので注意してくださいね」という発言内容がもとだったため、法と倫理に関する言及が最も多かったように感じている。

OSINTの定義は先に述べた通りであるが、筆者が調べた限りではそこに倫理や法といった概念は介在していない。そのため、OSINTと倫理に関する論点は、「"OSINT"を生成するにあたり、倫理に背く・法を犯すアクティビティというのはそれに含まれるべきではないのではないか」という命題に言い換えることができるのではないかと思う。(もし筆者が趣旨を間違って理解していたならば、申し訳ない。)

この論点に関して、「OSINTは倫理・法に背くアクティビティを含まない」という意見も散見された。しかし筆者の私見を述べるならば、「OSINTを生成するためのアクティビティには倫理・法に背くものも含まれる」というのがOSINTと倫理問題に対する回答になる。筆者の言葉で言い換えるならば、「己がインターネットをさまよって調査・分析した結果生成されたインテリジェンスであれば、それはすべてがOSINTに分類される」というような認識である。これは、上で引用させていただいた _roku_ さんの図が非常に参考になると考えており、筆者のOSINTに関する理解もまさしくこの通りである。OSINTを生成するためのアクティビティを大別すると、ターゲットに対して自らが直接関与した痕跡が残るActiveとそうでないPassiveの2つのタイプがあり、Activeの活動をやりすぎると倫理や法律の問題が絡んでくるという認識である。いくつか領域わけがされていても、ここに含まれるすべてのスコープがOSINTを生成するために必要なアクティビティである。

なお、これはあくまで「OSINTの定義的に倫理・法に背く活動がその生成過程で行われているものもある」というニュアンスで述べたものであって、決して犯罪を教唆するような内容ではないことに留意してほしい。しかしながら、あくまでサイバー空間における情報戦指南のような存在であるOSINTに求められるのは情報の正確性、蓋然性、証拠の確実性(再現性)である。インテリジェンスとしての価値を高めるための行動は倫理・法的に疑問が残ったとしても、最終的に生成されたインテリジェンスに倫理的な問題が絡まないのであれば、それは非常に価値のあるインテリジェンスとして享受している組織が多いのではないだろうか。少なくとも、筆者は倫理的に疑問がある手法は用いられていれど、そこから非人道的な言及をしたインテリジェンスが生成されているレポートは見たことはない。現実に、カンファレンスでの発表や有償インテリジェンスサービスのレポートを見ていても「おそらく法的に問題ある方法でIoCを取得しているな」というモノはちらほら存在する。だが、それに対して皆は生成されたインテリジェンスに感謝をしながら自組織のシグネチャに組み込んでいるのではなかろうか。だとすると、多くの組織は倫理・法的に問題のある活動を暗黙的に了承しているということに他ならない。

先ほどまでは「インテリジェンスと倫理」という観点で論じたが、では視点をもう少しミクロに落とし「OSINTを生成するまでのアクティビティと倫理」という観点からも考えてみよう。法や倫理に抵触しそうなアクティビティに対する言及にはどのようなものがあっただろうか。

A「不正アクセスはするな!」
B「許可なく脆弱性検査をするな!」

なるほど、たしかにアクティビティに対しては倫理・法的に問題があることはやめましょう、と説くことができそうである。(しかし、これはOSINTという文脈ではなく"調査活動"のようなニュアンスで語るほうが正確な気がしてならないが)
では、これらの行為がどのような法律に引っかかる恐れがあるのだろうか。おそらく、『不正アクセス行為の禁止等に関する法律』、通称『不正アクセス禁止法』が該当する。法律の該当部分*3を抜粋すると、以下の文面になると思われる。

不正アクセス行為の禁止等に関する法律
(中略)

第二条
４　この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。）
(中略)

三　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

要約すると「本人の許可なしに認証情報/脆弱性を使って操作をしてはいけない」という内容だろうか。たしかにこれは倫理的にも問題がある行為だし、内容としては妥当な法律であるかもしれない。

では、ちょっと別の事例を考えてみよう。あなたの所属するインテリジェンスチームでは「自組織に関連するサイバー脅威のIoCを収集し、信頼性の高いものをSOCに提供してほしい」というインテリジェンス要求を達成する必要があったとする。アナリストは自組織のネットワーク境界やインターネットから日本に関連するであろうサイバー攻撃関連のIoCを収集し、評価・分析をして継続的にSOCにインテリジェンスを配布することになるだろう。

日本にばらまかれるマルウェアには様々な種類のものがあるが、ここではAgent Teslaという情報摂取型のマルウェアについてとりあげてみよう。
このマルウェアは感染した端末のクレデンシャル情報を収集した後、他の感染者(攻撃者が独自で作成したものの場合もある)から認証情報を盗んでコントロール配下となったメールやFTPサーバに対して認証を行い、盗んだ情報を転送するといった動作をする。
news.sophos.com

例えば、以下の検体は日本のIPアドレスからANY.RUN というオンラインサンドボックスに投稿された、FTPサーバに対して情報を転送するタイプの例である。
app.any.run

ここで一つの疑問が生まれる。『意図的にオンラインサンドボックスにマルウェアをアップロードした結果、他人の認証情報を勝手に使用してアクセスしてしまった場合は不正アクセス禁止法に該当するのだろうか?』と。

。。。筆者が文面を読む限りでは、このようなケースも「不正アクセス禁止法に該当する」のではないかと思われる。いきなり「逮捕！！」という事態にはもちろんならないとは思うが、不正アクセス禁止法は非親告罪である以上、当人や当人を含んだ所属組織に恨みのある第三者によって「あの人、このサービスを使って他人の許可なく認証情報を入力して不正利用しましたよ！！」と告発されてしまったら、当人が貶められるなんてことは十分考えられるだろう。(筆者は法律の専門家ではないため、もしかしたら見当違いのことを話しているかもしれない。そうであったら申し訳ない。)

では検体をアップロードまではしなくとも、インテリジェンスで重要な再現性をとるために、ANY.RUN にある "Restart" ボタンを押してもう一度解析を行い挙動を確認してIoCを整理したとしよう。これは、どうだろうか? 同じく、VirusTotal にある Reanalyze ボタンを押した場合は? 。。。どちらも再度通信は飛んでいくため、アウトな気がしてならない。

「じゃあ細かい操作は一切せずに結果だけ確認すればいいではないか」という話であるかもしれない(そもそも論として、結果を収集するのみで独自で分析をしないという行為はすでにインテリジェンスではないのだが、一旦脇に置いておこう)。では他の誰かがインターネット上に情報を公開するのを待ち、その結果だけを受け取れというのは果たして誠実な行いなのだろうか。これは言い換えれば、「君がやると犯罪になるかもしれないけど、他の誰かがやったものの結果だけを閲覧する分には犯罪じゃないから、誰かがやるのを待ちなさい」という、ただただ実行犯を自分以外の誰かになりすつけるだけの言葉な気がして、筆者は倫理的な問題を抱えているような気がしてならない (筆者の倫理観が狂っているということもあるのかもしれないが)。ここまで疑心暗鬼になるとすべてをローカル環境で分析するしかなくなってしまうのだが、これが「外部のインテリジェンス要求にこたえるための活動のはずなのにそのインテリジェンスの詳細を外に出しにくい」というなんとも不合理な現実を生み出すのである。

これはあくまで一例であるが、そのほかにも権限設定があまいAPI keyや攻撃者が設置したWebshellなど、調査を深ぼりしていくうえで「これってどこまでやったら法で裁かれるんですか?」という場面にはたびたび遭遇する。現実問題、筆者も何度も直面した経験があるため、チームに「これ、やってもええと思いますか?」と議題を投げかけることがたびたびある。そのほかにも、「IPアドレスを入れるとサービスを調査しますが脆弱性検査まではしませんよ」と謡っておきながら、悪性パケットを送り付けているサービスも存在するかもしれない。「hogehoge はしてはならない」と論じるのは容易いが、実際のアクティビティが本当に「hogehoge」を含んでいないことを保証できるかというのは技術に対して深い造詣がなければなしえず、初～中級者にとっては注意喚起をされてもその境界は不明瞭のままであろう。殊更"倫理"に関しては、個人による事象の受け止め方の差が激しく、より一般論的に語ることが困難である。

守破離

今回講演していないけど、OSINTで得られたメールアドレスとパスワードを入れてログイン成功した場合、MITERの偵察にあるNessusなどでの脆弱性スキャンは一部脆弱性を使った攻撃コードが含まれているので成功した場合の2ケースは不正アクセス禁止法にかかります。

— lumin (@lumin) 2023年3月9日

ここまで散々倫理・法について述べてきたが、筆者は善悪問答がしたいわけでも倫理に関する哲学をしたいわけでもない。先で述べたかったことは、「OSINTを生成する以上、その生成過程においていずれ倫理・法的な問題に直面する」ということであり、これに疑問を呈する方は、おそらくそのインテリジェンスがどのようにして生成されてきたかについて無知でいられる人間だけであろう(少々、表現方法がよくない気がするが)。

しかしだからと言って、OSINTについて紹介や研修をする人間・組織が「OSINTは倫理や法の問題が付き物だから、ライン見極めながらどんどん調査をしていこうね」なんてことを無責任に唱えることはまずできない。特に不正アクセス禁止法もアウトの境界線が明瞭でない以上、日本では一歩道を外れたら違法になるようなOSINTという存在は、一般論的には制約をかけた状態で紹介せざるを得ないだろう。筆者もOSINTに関する研修を作成したことがあるが、外部の人間にも話す以上不幸があってはいけないと思い、ツールやサービスの紹介では注意事項を執拗に記述していた。このような背景が、「OSINTは倫理・法に背くアクティビティを含んではならない」と考えている人の多くにあるのかもしれない。ある意味、日本における"守"的なOSINTの考え方である。

しかしながら、組織・消費者のインテリジェンス要求に対して少しでも価値の高い答えを返そうとすると、"守"のみの考え方は厄介な"限界"として立ちはだかってくる。このあたりの課題感が、ちらほら見られた「倫理・法の遵守は無理がある」という"破", "離"側にいるアナリストの考えなのではないかと思われる。この課題に遭遇した場合、個人の判断で調査を継続するにはリスクが大きすぎるので「ここまでは調査しましたがここから先は法的にグレーゾーンになります。しかし、深ぼりすればより価値の高いインテリジェンスになると思うのですが調査を継続しますか?」といった具合で組織側の意思決定に委ねてもらうのが最善手になるのではないだろうか。情報処理安全確保支援士などの資格もこのあたりの倫理を縛ってくる一方で、活動の幅を広げてくれるような特権は何一つ与えてくれない。保守的な組織では活動が非常に制限されてしまっているため、真面目に取り組んでいるアナリストほど守的なOSINTに対する限界に嘆いているのではないかと思われる。

なお、本記事も「これがOSINTなんだ!!」といった"守"寄りの内容ではなく、"破"に向かっている捻くれた人間が書いているものである。一般論ではなく、話半分で見てもらうほうがよいだろう。

なぜOSINTの解釈がここまで広いのか、に対する一考察

それが虚無ならば虚無自身がこのとほりで
ある程度まではみんなに共通いたします
（すべてがわたくしの中のみんなであるやうに
　みんなのおのおののなかのすべてですから）

• • • • • 『春と修羅』: 序 (宮沢 賢治)

まず、どうしてOSINTという言葉にはこんなにも解釈に違いがあるのか、筆者なりにいくつか仮説を立ててみた。

• そもそも "Intelligence" という言葉の認識が多くの人に誤解されている。
• 『公開情報』から調査したことを、広義的な意味で"OSINT"と紹介している人・記事がある
• ネタ的なコンテキストで使われた"OSINT"がそのまま公的な場面で使われる

どれも当たらずとも遠からずな仮説だが、筆者の考えでは"OSINT"という言葉を使う人が増えたことが影響として大きいのではないかと考えている。少々乱暴な表現をするならば、『専門用語の認知度があがりすぎて非専門家がこのワードを多用することになった』ことが現在の事態に拍車をかけているのかもしれない。OSINTという言葉が少々キャッチーな言葉なので、使用することによって検索に引っかかりやすかったりすることもあるのだろう。『Joint Publication 2-0: Joint Intelligence』の冒頭だけを切り取って解説したようなWeb記事を見て、「公開情報をいい感じに使ってもっと価値のある何かにすればそれがインテリジェンスなのか!」といった少々異なる理解をしてしまった方もいるのかもしれない。

それとは別に、「OSINTで特定しましたw」のようなちょっとしたネットミームチックな表現を見て、「これもOSINTって言うんやな」と解釈をした人もいるのだろう。様々な理由が考えられるが、OSINT という言葉が様々なコンテキストで使われるようになった真髄には、その汎用性の高さが背景にあるのではないかと筆者は考えている。「公開情報を使っていい感じに何かしました」というふわっとしたニュアンスで、技術的に詳しくない相手に対してもそのイメージを伝える言葉として優秀なのだ。「〇〇というWebサイトで△△について調べて、発見した××をまた別のツールで...」なんてことをわざわざ言わなくても、「OSINTした」というだけで「あーなんかいい感じに調べたら見つかったんだろうなー」と相手が解釈してくれれば、それでコミュニケーション自体は成立するのである。本来の"OSINT"の意味からは乱れが生じていても、"ある程度まではみんなに共通"するイメージによって相手が都合のいいように解釈してくれる。そのような魔力が、このOSINTという言葉に備わっているのかもしれない。

その一方で、ある一定数の人間にとってOSINTという言葉は "みんなに共通" するイメージから逸脱してしまっている、というのが今回の騒動によって明るみになったことだろう。現に、元来の言葉の意味から大きく外れたものも「OSINT」の派生として解釈されているため、専門家にとってはコンテキストをきちんと把握しなければそれが自分が普段扱っているOSINTなのかを判断できない状況に陥っている。同じような騒動を繰り返さないためにも、「我々はOSINTという単語をどう扱っていくべきか」ということを今一度考え直す必要があるのかもしれない。

我々はOSINTをどう扱うべきか

定義も曖昧で共通認識が形成されていない言葉なんだったらいっそのこと使わないほうがいいと思うんですよね。「OSINT」って言葉がまさにそれ。

— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) 2023年3月9日

筆者が考える "OSINT" という単語を使用する上で留意すべき事項は次の二点である。

1. 単語の共通認識が確立されている組織内でのみ使用すること
2. そもそもの使用を避けること

しかしながら、どちらの事項についてもこの記事を読んでいる人よりもOSINTという単語を雰囲気で使い続けている人に宛てているので、果たして本記事で言及することで現状が改善されるかというとそれは定かではない。もし上記を逸脱しているような使い方を確認した場合、ぜひあなたが警察として動いていただきたい。

まず一つは、OSINTというワーディングの使用に際して、それ含む専門用語の共通認識が確立されている組織でのみ持ち出すべきという点である。もっともインテリジェンスに携わる業務をしていれば、OSINTに限らずそれにかかわる専門用語は山のように出てくるわけであるが、解釈がブレる最たる例が推定確率言語といった信頼水準を表現するワーディングだろう。推定確率言語はインテリジェンスの信頼性を表現するうえで必要不可欠であるが、これに世界標準的なものは存在せず、どのようなワードで信頼性を表現しても間違いではない。しかし、使用するワードの認識が統一されていなければその信頼性の評価は真価を発揮しないのは明らかである。
en.wikipedia.org

そのため、インテリジェンスチームに所属するアナリストは「蓋然性が極めて高い」や「蓋然性が非常に高い」といった言葉を雰囲気で使い分けているわけではない。「信頼性が99.9%なら"極めて高い"を、80%以上程度ならば"非常に高い"を使用します」という取り決めを組織に認識させたうえで、チームのアナリストにもこの意味での使用を統一させているのである。

筆者が所属するインテリジェンスチームの場合、内部で使用される専門用語は『脅威インテリジェンスの教科書』にほぼ統一されており、意思決定者に語彙の詳細な意味を問われた場合は「教科書のP.〇にあるこの定義に沿っています」と返すことができるようにしている。インテリジェンスサービスによっては「弊サービスは以下のような確証度に基づいて推定確率単語を使用しています」といった共通認識をすり合わせるためのページを用意してくれているものも存在するだろう。
gihyo.jp

これは極端な例であるが、それでもインテリジェンスというものは用語集の準備や意思決定者とのコミュニケーションなどを組織的に取り決めて推進していかなければ、その共通認識をすり合わせること自体が困難なのである。もしかしたら組織内部でのコミュニケーションを円滑にするために、ある組織では一般とは少し異なる意味合いで解釈を統一している単語というのも存在するかもしれない。そのため、第三者同士がいきなり対面して「OSINTが~」なんて話をしても、最悪の場合「全く学習をしていないけれども専門用語を雰囲気で使っている」というケースも存在する以上、本人の意図通りに相手に内容が伝わるかはかなり怪しい。
ちなみに、筆者は「インテリジェンス業務やってます」と言った流れで「業務の一環で"OSINT"もやってますよ」と言った結果、対話相手に「ダークウェブを監視している人」として認識されたことがある。面倒なので訂正はしなかったが、おそらくその組織におけるOSINT業務というのは、ダークウェブをモニタリング・分析して得られたインテリジェンスが主となって回っているのだろう。その組織においてそれが"OSINT"だと定義されているとしても、筆者はそれが間違っているとは思わない。しかしながら、"OSINT"という言葉に対する理解と認識はその人の生活圏によって大きく異っているおそれがあり、例え自分が正しく言葉を使用していたとしても、異文化同士のコミュニケーションになりうるということは念頭に置く必要はあった。皆も筆者のような誤解を生まないためにも、共通認識が確立された同じ文化圏でのみ、インテリジェンスにかかわる用語を使っていただいたほうが賢明である。

そしてもう一つ、これを言うと元も子もないのかもしれないが、OSINTという単語をそもそも使用しないように心がけるということだ。よくよく思い返してみると、筆者はインテリジェンスチームに所属してからかれこれ1年半になるが、業務中に"OSINT"という単語が飛び交っていたことはおそらく1度か2度くらいしかない。アナリストは「〇〇について△△で分析した結果と、それに対する考察です」といった具合で非常に正確な言葉を使用するし、分析を終えたアナリストも「これ、ほんとうにインテリジェンスだったんかな～」という感想を漏らすことさえある。最終的に意思決定者にレポーティングする際は「OSINT」といった体裁を整えた文面を使用するが、フィードバックを終えていない段階で"インテリジェンス"という単語を土俵に出すのは、アナリスト側にとっても勇気のいる行動ではないかと思う。そういった背景があってか、筆者も"OSINT"という単語を持ち出すことは滅多にない。本年筆者がJSACに持ち出した講演のタイトルは「Investigation for Continuous Cyberespionage Based on Open Source (公開情報を基にした標的型攻撃の調査)」であって、情報収集とその分析手法について述べられてはいるが、果たしてインテリジェンスの定義を満たしているかというとそれは要議論であったため、そこに "OSINT" という文面は存在していないのである。*4(内部資料でも使用していない)

忘れてはいけないことだが、OSINTはれっきとした専門用語である。その道に詳しくない人に対して、そうやすやすと濫用すべき言葉ではない。「If all you have is a hammer, Everything looks like a nail (ハンマーしか持っていなければ、すべてが釘に見える)」 なんていう諺にあるとおり、人間は道具を手にすればなるべくそれを使ってみたくなるし、新しい言葉を覚えた日にはなるべくその言葉に当てはめてみたくなるものである。あなたがOSINTという言葉のハンマーを手にしているとき、「打とうとしているモノは果たして本当に釘なのだろうか」という思考は頭の片隅においておくべきだろう。特に、インテリジェンスを生成するための単発のアクティビティをOSINTと表現しているものについては、そっくりそのまま短い日本語で表現できるものが非常に多いのは事実である。「Googleで〇〇と画像検索して見つけた」, 「Shodanで〇〇というクエリで検索した」, 「URLhaus から〇〇にかかわるIoCの一覧を取得した」などである。こちらのほうが理解しやすいし、OSINT警察に突っ込まれることもなくなるだろう。特に公的な場ではさらなる乱れを生まないためにも、正確な単語をチョイスすることを推奨したい。

最後に、筆者は決して「OSINTという単語を俺の前で使うな」と主張したいわけではないことを補足しておく。筆者が伝えたいのは「OSINTというのはあくまで一般人が直感的に理解することが難しい"専門用語"であることを忘れてはいけない」ということであり、インテリジェンスアナリストやベンダーを咎める意図は全くない。
筆者も、『直近1か月分の、公開情報をもとに調査した敵対国に関する国際情勢とサイバー空間上での動向分析、および自社の対応にかかわる提言書です』と言われたら「なんのこと??」と頭にクエスチョンマークが浮かぶが、『Monthly OSINT Report』と言われれば「あーね」といった心持ちで文書に目を通すことができる。話し手と聞き手に用語への共通理解があれば、まどろっこしい言い回しをいい感じに表現できる便利な単語であることは揺るぎない事実である。

試験基本

前節に書いた通り、OSEP は企業ネットワークを模した環境のペネトレーションテストの資格なので、試験も実際の企業を模した大規模ネットワーク環境で構成されています。用意されているマシンの数は多いですが入り口は限られているので、企業ネットワークへの侵入口を見つけてそこを足場としながら横展開を繰り返し、最も価値のあるマシンへ向かって進んでいくことになります。
そのため、試験時間もとにかく長く、

• 47時間45分の実技試験
• 実技試験終了後 24時間以内のレポーティング

という約72時間ぶっ続けの試験となります。正直なところ、しばらくshellが取れないと頭がおかしくなりかけます。当たり前ですが試験中に"寝たいです!!"とチャットで提言すれば仮眠もできるので、詰まったら潔く横になりましょう。自分は合格点に達するまでは緊張から横になっても一睡もできませんでしたが、安全圏に入ると7時間ほど寝られました。

合格要件

OSEP 試験は、以下のいずれかの条件を満たした場合に合格できます。

• local.txt, proof.txt という、企業ネットワーク内部の端末を侵害すると得られるスコアを合計100ポイント以上になるまで取得する
• secret.txt という、企業ネットワーク内部で最も価値のあるマシンを侵害すると得られる情報を提出する

侵入口から secret.txt を入手するためのパスは複数存在しますが、secret.txt を取得できそうにない場合は100ポイント以上獲得するために複数のパスからの攻略を試す必要があります。
自分は当初「絶対にsecretをとってやるぞ!!」という意気込みで受けましたが、試験開始24時間経過後くらいにその手前で詰まってしまい、焦りや精神的な辛さからプライドを捨てて別のパスを探して攻略を行い結局100ポイント以上獲得の方で合格しました。

secret.txt 獲得の直前までに17時間かかったので、早々にプライドを捨てていれば約19時間で合格点には達せたかなと思います。一番時間を要したのは入り口で、入り口から足場を築くまでに10時間を要して本当に気が狂いそうになりました。自分はOSCPの実技試験を7時間で終えたので正直OSEPを舐め腐っていたのですが、そのバチが当たったかなと思っています。そのあとは順調に進み、自分が見えている範囲でマシンが残り2台というところで時間切れになりました。なので、複数あるパスの一つで詰まったときはプライドを捨てて別ルートに進んだほうが精神衛生上いいですしオススメです。

最後に、これらのスコアとして計上するテキストファイルはスクリーンショットを取得のうえレポートに添付して提出する必要があるのですが、RDP でのスクショはNGということだけは注意してください。せっかくshellを取得してもスコアとして計上されなくなってしまうので、面倒ですがここからさらにmeterpreter shellを接続させたりimpacket-psexecを使用したりしましょう。詳しくは公式を確認してください。

help.offensive-security.com

勉強方法やツール

これに関しても試験を受けた方々がすでに語られていますが、本試験を合格するだけならば「全18章構成のトレーニングマテリアルを自分の頭の中できちんと理解できるまでやりこみ、6つ用意されている企業模擬環境のLabを『完全に理解した』 状態になるまで取り組む」ことが一番地道でありながら近道なんじゃないかなと思います。

前節で紹介したおまどんさんの合格体験記によると、OSEPの試験は2021年11月の新形式から難易度が上がったらしく、いわゆる「素直」な問題ではなくなったらしいです。確かに自分も「トレーニングマテリアルに載っているやり方をそのままやるだけでは無理だな」と思う場面に試験中何回か遭遇しましたし、そもそも全く書かれていないexploit vectorを自分でググって探してくる作業もありました。しかし、既存のツールに頼り切ったenum., exploitをするのではなく、泥臭いenum.をしたり、「exploit が成功しないのではなく検知されてしまっているのでは?」と仮説を立てたときにすぐに手が動く下地を作れていれば問題ないんじゃないかなと思います。この下地はトレーニングマテリアルを丁寧にやっていればできていくはずなので、「難しくて何もわからん」となっても焦らず丁寧にやっていきましょう。1章ずつ丁寧にやっていけば、自分のようなnoobでも自作できるexploit toolの幅は広がっていきます。意地の悪い書き方をするならば、「試験ですぐ使用できるような自作の検知回避用ツールをどれだけで準備できるか」で心の安泰が異なりますし、Windows やそれに伴うAnti-Virusソフトの仕組みへの理解につながるんじゃないかなと思います。例えば、以下のような事項に対して自作のツールがすぐに出てくれば準備としてはOKですし、ダメならば試験までの準備が足りないのではないかと思われます。

• AMSI (Anti Malware Scan Interface) に検知されてしまうので、AMSIをbypassできる powershell コードを実装する
• AppLocker ( アプリケーションホワイトリスト) に実行制御されてしまうので、bypass して任意コードを実行するコードを実装する
• PsExec を使用して横展開したいが検知されてしまうので、Windows から Fileless lateral movement するコード(DCE/RPC インターフェースを触ってサービスコントロールマネージャからサービスの実行)を実装できる
• mimikatz の実行ファイルが検知されてしまいpowershellのログも残したくないので、自作でlsassのメモリを触りパスワードをダンプするコードを実装する
• PrintSpoofer を使って権限昇格をしたいが検知されてしまうので、printerbug と pipe を利用してSYSTEMアカウントを偽装したプロセスを生成する (超重要)

とまぁ人をビビらせるようなことを書きましたが、コードの雛形は有志の方がGithubに公開してくれています。以下のプロジェクトを参考に仕組みを理解し、必要な部分のコードを埋められるようになりましょう。

github.com

ここまでは主に Evasion のためのテクニックについて書きましたが、企業ネットワークに対して横展開を進めていくためにはWindows Active Directoryの知識もたいへん重要になります。詳細はトレーニングマテリアルの12章あたりから書かれているため個別に別途教材を買って学ぶ必要はないと思いますが、「Zerologonの脆弱性使ってEasy Win」なんてことはあるはずがなく設定不備や過剰な権限を利用していくことになるため、exploitation に使える材料は揃えておいたほうが良いでしょう。私は以下のプロジェクトをよく参考にしていました。

github.com

そして、Active Directory 環境のenum.で欠かせないツールとして BloodHound がありますがこちらはトレーニングマテリアルで紹介してくれていません。あるとないとではenum.に雲泥の差がでるので、Labで使い方を学んでおきましょう。きっと試験でも役立ちます。しかし、便利だからといってBloodHoundに頼りすぎると試験で痛い目を見ると思うので、手動のenum.方法もきちんと学んでおくことをオススメします。これは、OSCPにおけるautoreconの立ち位置と同じですね。

github.com

最後に自分の勉強方法について軽く紹介します。自分はトレーニングのエクササイズ全部を1周、Labを2周して自作のチートシートを2週間くらいかけて作り試験に臨みました。チートシートは以下のような感じで、自分の知識を全てダンプしたものをHackMDに残しておいて困ったときに検索できる状態となっています。

別にチートシートを作る必要はないのですが、自分の場合これをすると知識の整理ができるのでOSCPのときも同じやり方を取りました。チートシートは試験時間中半分くらいしか使わなかったのですが、HackTheBoxなどをやっていて時々起こる「方針が何も分からなくてただただ Google 検索しているだけで時間が過ぎていってしまう状態」があまり訪れなかったのでよかったのではないかと自己評価しています。

家族がいる方はまず理解を得よう

意外とこの内容が書かれている記事がないのですが、家族と一緒に過ごしている環境で Offensive Security 系のトレーニングに挑戦する場合、受講する前に絶対に家族に話をして理解を得てから始めたほうがいいです。

弊社の資格支援制度は試験合格後にその費用全てを賄ってくれる形式となっています。しかし、30万円近いトレーニングを一旦自腹して「これ世間でも有名で評価されている研修なんだけど、転職にも有利になるんだわ。先行投資！先行投資！！」なんて説明した挙句、3ヶ月近く夜遅くまで仕事部屋に篭って体調悪そうな顔して家族と接していたら「この人、情報商材に騙されているんじゃないだろうか?」と心配されます。

ここまで行かなくても3ヶ月間のプライベートな時間はほぼ全てトレーニングに捧げることになりますし、72時間の試験と向き合う場合家族へのサポートはできなくなるため、数日の身の回りのことは家族やパートナーに全てお任せすることになります。誤解やすれ違いを生まないためにも事前にしっかりと話をして、トレーニングが終わった後にはたっぷり家族サービスをすることを約束しましょう。

ぶっちゃけ独占資格系のものでもないので、家庭環境を悪くしてまで取るような資格ではないと思います。

「まぁうまくいったからいっか」をなるべく解消する

HackTheBox や OSCP を受講した人は、Labに取り組んでいる最中以下の内容でかなり試行錯誤したのではないかと思います。

• 「脆弱性がある」と思った(推測した)箇所は本当に脆弱なのか?
• Exploit code は正しく動いているか? (間違っていないか? 細かい修正が必要か? )

OSEP でもこれらにもちろん悩まされるのですが、これに加えて「Exploit は可能だがペイロードが検知されているのではないか?」というポイントにも気をつける必要があります。「Excesize のやり方でうまくいったからいっか」と思ってコピペだけしていると、Labや試験で痛い目に合うでしょう。これは「Excesize の資料が約2年前をベースにしているけれども最新のAnti-Virusソフトはすでに対応されて回避できなくなっている」ことを意味している場合があります。LabでExploitが成功しなかった場合、「何が原因で検知されてしまっているのか」を根気よく探す訓練はしておくことをオススメします。

あともう一点、Post Exploitation 目線でもお話しすると、いくらadministrator shellを取得したからといって取り返しのつかない作業をいきなりやることはやめたほうがいいです。例えば、サービスアカウントやadministrator のパスワード変更などです。OSEPの試験やLabは単体のマシンを攻略するのではなく、生きたネットワークを攻略することになります。なので、サービスアカウントが使用していたパスワードはネットワークで生活している特定のユーザのパスワードかもしれませんし、いくつかの管理端末上で使い回されているかもしれません。そのようなことを考慮せずに「WinRMから正規ユーザとしてログインしたいからパスワード変更!!」とかをいきなりやると横展開に必要な情報が消えて詰むことがあります。私はとある癖が抜けず、Labの最後が攻略できない理由が癖でやっていた自分のクソオペレーションのせいだと知ったときに絶望しました。特に試験中だと取り返しのつかない作業をしてしまった場合はネットワークのマシン全てをリセットする必要があるため、本当に手が震えると思います。自分のような失敗をしないためにも、御行儀がいいやり方での攻略をすることをオススメします。

困ったら仲間を見つけて聞こう

Offensive Security training のスタンスは『Try Harder』なので、わからないことがあっても基本的には教えてくれません。しかし、自分は『15分迷ったら聞いてね派』なのでこの考えは好きではありません。これは考え方の違いなので文句を言ってもどうしようもないのですが、同じ考え方をしている人は受講者の中に必ずいるはずです。考え方を変えて、そういう人を見つけて知見を共有しましょう。
Offensive Security の training には受講者のみが入れるフォーラムと誰でも入れるdiscordがあります。どちらかに書き込むか、"plz DM!" などと書いている人を見つけてDMを送り受講者通しで交流をしてみましょう。
discord.com

自分は「ラボのできているところまでのレポート見せ合いませんか?」とガバガバ英語で交流して、お互いにラボでやったことをコマンドレベルで共有することができました。そのおかげでもっと楽なやり方や便利なツールを知ることができたので、自分のような能力の高くない人ほど閉じこもりすぎず他人の力も借りた方がいいのではないかと思います。

......とは書きましたがこちら側からもGiveができないと1から10まで聞くことは難しいので、堅実に Excesize をこなし、Labを進めて詰まってきたら交流をしてみましょう。ここまでくれば自分でも「試してみたこと」「うまくいったこと」があるはずなので、いいGive and Takeができるはずです! Offsecのstaffは当事者ではありませんし、すでにパスした人の情報も半年すれば環境が違っているので、最も役に立つのは今トレーニングを受けている仲間の情報ではないかなと思います。