# MINI Hardening Project \#4.3 に参加しました！ 初カキコ...ども。 ということでMINI Hardening \#4.3に参加しました。 ## MINI Hardening とは？ Hardening競技は、様々な攻撃からサービスをまもり、サーバの堅牢化や外部への報告・サービスの広報などの様々なスキルをチームで競うイベントです。 Hardeningでは複数日（時には一週間以上！）かけてサーバ運用を行っていくのですが、MINI Hardeningでは1日で手軽に行うことが出来ます。 ## 今回はどんなイベントだった？ 「仮想通貨で一発当てるんや！」 と、以前の会社で意気込んだものの、投資が失敗に終わった社長。しかし、 「ソシャゲなら俺でも当てられるはずや！」 と言い出し、今度はソーシャルゲームの会社を立ち上げてしまった。 「もう会社名は決めている。この名前なら絶対に売れる！その新社名は…!!」 かくして、サービスローンチまでのカウントダウンが始まっていたのだった。 MINI Hardeningが完全オンラインになって帰ってきた！ なんとバージョン４のテーマは「ソーシャルゲーム」。 ソシャゲはすでに開発が終了しており、今後、継続して収益を上げるためには、ゲームシステムが安定して稼働し続ける必要があります。 あなたは、いきなり運用を丸投げされたエンジニアとして、ゲームシステムに襲い来るハッキングやチート行為の対処と対策を行いながら、ゲーム環境の安定した稼働を目指してください！！ 競技時間はトータル5時間！ あなたは最後までゲームサーバを守り切り、収益を守り続けられるのか！？ 今回は、サイト改ざんやシステムへの侵入、破壊行為のみならず、ゲームアプリケーションのチート行為対策にも取り組んでいただくシナリオとなっております。 参加資格等は設定しておりませんが、サーバ運用やプログラミング経験が多少ある方が、競技後に得られるものが大きいと思います。 ※原文ママ ## どんなことをしたか？ いきなり運用を丸投げされて、調査観点が多すぎました。 複数のサーバ運用のインフラ設定、複数の言語で書かれたAPI、脆弱性があるWebサイトなど......。 構築で溜まりにたまった数多くの脆弱性を全て見つけるのは不可能でした。 弊チームではログ担当・API担当・指示担当などに分けて挑みました。 チーム分けは上手くいった点と悪かった点両方がありました。それぞれ書き出してみます。 ・良かった点 　担当範囲が明確な人は、その作業に集中できた。 　事前に計画していた部分まではスムーズに進められた。 ・悪かった点 　担当範囲のモレに対しては作業者が曖昧になった。 　作業者が足りなくなってしまった。 ## 感想 結果的にはバックドアを仕込まれ、ゲームに必要なDBは削除され、顧客データは暗号化され身代金を請求されてしまいました。 反省点はまだまだあります。バックアップを取っていれば......権限設定が適切であれば......ポートをきちんと閉じていれば......ソフトウェアの更新をしていれば......私に技術力がもっとあれば！ しかし防衛に成功した攻撃もありますし、攻撃を検知してからの対応もかなり素早くできたと思います。（最終的に落ちたままのサービスもありますが） 攻撃手法と対応方法が分かれば、次からはもっと対応が早くなりますのでセキュリティエンジニアとして成長したと感じます。 次はもっと力をつけて参加したいですね！ <br><br>  <div style="text-align: center;"> 最終順位。Team-Aは第3位だった。 </div> <br><br>  <div style="text-align: center;"> ゲームサーバが落とされ絶望したメンバーは初カキコしてしまう </div>