1. 始めに
こんにちは、morioka12 です。
今回は、morioka12 の「2024年の振り返り」ということで、今年あったことを簡単に振り返ってまとめて紹介します。
2. タイムライン
覚えている範囲で、メインに取り組んでいたことを時系列ごとにまとめてみます。
- 1 ~ 3月:学生 (4年次)
- 4 ~ 12月:社会人 (新卒1年目)
1月
- Web3 のセキュリティについて少し勉強し始めた (特にバグバウンティ周り)
- ブログ「新卒の学生によるセキュリティエンジニア志望の就活話」を書いた
- ブログ「CTF Cloud 問題の攻撃手法まとめ(2023年版)」を書いた
- ブログ「バグバウンティにおける XSS の具体的な脅威の事例まとめ」を書いた
- ブログ「オフェンシブ視点による Cloud Security 入門 〜AWS 編〜」を書いた
- CVE ID を2件取得した
- バグバウンティを対象に脆弱性調査していた
- 学校の卒業研究のまとめをした
2月
- バグバウンティを対象に脆弱性調査していた
- 特に CVSS Score 9.8 の Critical な脆弱性が2件 Accept できた
- ポッドキャスト「Bug Bounty JP Podcast」を始めた (月1収録)
- 学校で卒業研究発表会があった
- イベント「P3NFEST Conf 2024」のパネルディスカッションに登壇した
- ブログ「ポッドキャスト「Bug Bounty JP Podcast」始めました」を書いた
- バグバウンティプラットフォーム「Intigriti」の月間ランキングで6位にランクインした (2024年2月分)
3月
- イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
- ブログ「JAWS DAYS 2024の参加記(学生登壇)」を書いた
- AWS にある「AWS Community Builders」のセキュリティ部門に選出された
- ブログ「AWS Community Builderに選出された話」を書いた
- 学校の卒業式があった
- 書籍の執筆をしていた
- バグバウンティプラットフォーム「Intigriti」の四半期ランキングで17位にランクインと受賞した (2024年1~3月分)
4月
- 新卒の入社式があった
- 1ヶ月間の新卒研修があった
- (取材・講演・登壇の依頼をいっぱい貰った)
5月
- 講義のスライドを作成していた
- Webメディア「レバテックLAB」のインタビュー取材を受けた
- ブログ「学生中に取得した CVE ID まとめ」を書いた
- ブログ「Intigriti Q1 2024 の成績」を書いた
- ブログ「NahamCon 2024 簡単まとめ」を書いた
6月
- 講義のスライドを作成していた
- 大会「HackerOne Ambassador World Cup 2024」に日本チームで少し参加した
- イベント「SecHack365 第1回イベント(オンライン)」に全体アシスタントとして参加した
- イベント「AWS Summit Japan」に参加した
- イベント「セキュリティ・ミニキャンプ in 宮城 2024」で講師をした
- イベント「CMC_Central 2024」のパネルディスカッションに登壇した
7月
- 登壇のスライドを作成していた
- ブログ「インタビュー記事「バグバウンティに取り組む理由とその醍醐味」」を書いた
- イベント「ISC2 Japan Chapter 勉強会」に登壇した
- イベント「Hack Fes. 2024」に登壇した
- イベント「SecHack365 第2回イベント(東京)」に全体アシスタントとして参加した
- ブログ「Bug Bounty Village 概要まとめ (2024)」を書いた
- ブログ「バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube編)」を書いた
8月
- 登壇と講義のスライドを作成していた
- イベント「JAWS PANKRATION 2024」に登壇した
- イベント「P3NFEST 2024 Summer」のハンズオン講座で講師をした
登壇系が少し一段落しましたが、新卒1年目にしては色々と良い経験になった気がします。
— morioka12 (@scgajge12) September 4, 2024
ありがとうございました!
引き続き9月以降もまだある諸々に取り組み、今後は自己研究テーマとバグバウンティをメインにちゃんと再開して励むようにします。 pic.twitter.com/pephAa4wzn
9月
- ブログ「P3NFEST 2024 Summer のハンズオン講座に関する開催記(実践的なバグバウンティ入門)」を書いた
- イベント「SecHack365 第3回イベント(広島)」に全体アシスタントとして参加した
- 会社で社外向けイベントの企画運営や司会進行を担当した
- 自分のキャリアについて色々と再度考え始めた
- バグハンティングの Tips を整理した
10月
- 「セキュリティ若手の会」というコミュニティを立ち上げた
- イベント「IssueHunt Lounge#7 P3NFESTお礼の会&サイバーセキュリティ交流会」に参加した
- (パネルディスカッションのモデレーターを担当した)
- バグバウンティを対象に脆弱性調査していた
- バグハンティングの Tips を整理した
11月
- 「セキュリティ若手の会」の第1回イベントの準備などを進めた
- イベント「SecHack365 第4回イベント(大阪)」に全体アシスタントとして参加した
- 会社で秋のインターンを開催してメンターを担当した
12月
- イベント「Flatt Security Beer Bash #1」に参加した
- イベント「第1回 セキュリティ若手の会(LT&交流会)」を主催した
- イベント「SecHack365 Returns」に参加した
- イベント「IssueHunt Lounge#8 CISO・CTO大忘年会」に若手枠で参加した
- ブログ「「Bug Bounty JP Podcast」の2024年振り返りまとめ」を書いた
- バグハンティングの Tips を整理した
3. ブログ執筆
ブログは、合計「15件」の記事を書いていました。
今年は、あまり凝ったブログは書けなかった印象で、来年以降は何か凝ったブログを書ければ良いなと思っています。
特に反響があった記事は、以下になります。
4. 外部活動
- 登壇:6件
- 講義:2件
- インタビュー:1件
- その他:数回
登壇
登壇は、主に「6件」のイベントで登壇しました。
- イベント「P3NFEST Conf 2024」のパネルディスカッションに登壇した
- 「学生と語る、サイバーセキュリティの未来」
- イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
- 「次世代への種を蒔こう〜学生と社会人との交差点として、JAWS-UGができること〜」
- イベント「CMC_Central 2024」のパネルディスカッションに登壇した
- 「新卒メンバーに聞く!ぶっちゃけ、学生から見てコミュニティってどうだった?」
- イベント「ISC2 Japan Chapter 勉強会」に登壇した
- 「クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜」
- イベント「Hack Fes. 2024」に登壇した
- 「バグバウンティ入門 〜Bug Huntingのスキルで社会貢献と報酬金獲得を目指して〜」
- イベント「JAWS PANKRATION 2024」に登壇した
- 「Threats and countermeasures in AWS environments from an Attacker’s perspective」
最後のセッション!はせがわようすけさん(モデレーター)、森岡さん、松本さん、シークレットゲストさんにご登壇いただき、「学生×サイバーセキュリティ」でお話いただきます#P3NFEST2024 pic.twitter.com/sHiIxT5KDa
— Kazz Yokomizo | IssueHunt (@kazzyokomizo) February 17, 2024
ISC2 Japan Chapter勉強会 2024/07
— morioka12 (@scgajge12) July 10, 2024
「クラウドセキュリティ入門 〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜」https://t.co/dDuPttYpJQ
クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜 - Speaker Deck
講義
講義は、主に「2件」のイベントで講師をしました。
- イベント「セキュリティ・ミニキャンプ in 宮城 2024」で講師をした
- 「CVEから学ぶWebアプリケーションのバグハント入門」
- イベント「P3NFEST 2024 Summer」のハンズオン講座で講師をした
- 「実践的なバグバウンティ入門」
GMOサイバーセキュリティ byイエラエ株式会社 森岡 優太氏による、「CVEから学ぶWebアプリケーションのバグハント入門」です。OSSの既知の脆弱性を題材に、Webアプリケーションのバグハントについてハンズオン形式で学んでいます。後半では、CVE取得までの一連の流れについても体験します。 #seccamp pic.twitter.com/IOYxRFRITZ
— セキュリティ・キャンプ (@security_camp) June 22, 2024
P3NFEST 2024 Summer のハンズオン講座『実践的なバグバウンティ入門』の一般公開用スライドを公開しました! (非公開部分あり)#P3NFESThttps://t.co/8QGiyo8yI4
— morioka12 (@scgajge12) August 31, 2024
詳細は、以下をご覧ください。
インタビュー
インタビューは、Webメディアの「レバテックLAB」で日本人バグハンターとしてのインタビューを受けました。
- その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味
コミュニティ
JAWS-UG
JAWS (AWS User Group – Japan)は、「2件」のイベントに登壇者として参加しました。
また、学生中に「AWS Community Builders (Security & Identity Builder since 2024)」としても選出されました。
- AWS にある「AWS Community Builders」のセキュリティ部門に選出された
- イベント「JAWS DAYS 2024」のパネルディスカッションに登壇した
- イベント「JAWS PANKRATION 2024」に登壇した
この度 AWS Community Builder に選出されました!!
— morioka12 (@scgajge12) March 4, 2024
カテゴリーは Security and Identity です!#AWSCommunity #AWSCommunityBuilders pic.twitter.com/y5psEw9fNe
This is my slide from presentation at JAWS PANKRATION 2024. (No. TT-60)
— morioka12 (@scgajge12) August 24, 2024
Thank you.#jawsug #jawspankration #jawspankration2024 https://t.co/fc4rBCHYdH
Threats and Countermeasures in AWS Environmentsfrom an Attacker’s Perspective - Speaker Deck
Bug Bounty JP Podcast (Host)
今年の2月から日本人バグハンターの3人で、ポッドキャスト「Bug Bounty JP Podcast (BBJP_Podcast)」を始動しました。
「Bug Bounty JP Podcast (@BBJP_Podcast)」とは、バグバウンティなどを対象にバグハントすることを趣味とするメンバーによる、セキュリティ雑談のポッドキャストです。
月1で収録とエピソードの公開をしていて、Spotify のフォロワー数が「503人」までなりました。
身近でバグバウンティやっている人と一緒に雑談する「Bug Bounty JP Podcast」というポッドキャストを始めます!
— morioka12 (@scgajge12) February 13, 2024
Bug Bounty JP Podcast #BBJP_Podcasthttps://t.co/FBAQhYLwNi
「Bug Bounty JP Podcast」の #Spotifyまとめ が公開されました!
— Bug Bounty JP Podcast (@bbjppodcast) December 5, 2024
今年の2月から月1で始めて、いつもありがとうございます! #BBJP_Podcast #Spotifyまとめ2024 pic.twitter.com/7ZQXJmrZpi
詳細は、以下をご覧ください。
セキュリティ若手の会 (Host)
今年の10月に「セキュリティ若手の会」というコミュニティを2人で立ち上げました。
「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手エンジニアたちがセキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。
そして、12月には第1回イベント「第1回 セキュリティ若手の会(LT&交流会)」も主催しました。
x.comこの度、「セキュリティ若手の会」というコミュニティを @4su_para と @scgajge12 で立ち上げました!
— セキュリティ若手の会 (@sec_wakate) October 5, 2024
セキュリティに興味がある学生や若手セキュリティエンジニアの方は、ぜひ X (@sec_wakate)と connpass をフォローしてください〜!
ハッシュタグ:#sec_wakate
5. バグハンティング
バグバウンティ
バグバウンティは、特に2月に取り組むことができ、初めて四半期ランキングで17位になり、受賞することができました。
また、Critical な脆弱性も複数件報告することができ、良い感じに楽しく取り組めていました。
ですが、4月以降が思ったより外部イベントの依頼などでタスクが膨れ上がり、あまり取り組めなかったのが残念でした...。
- バグバウンティプラットフォーム「Intigriti」の月間ランキングで6位にランクインした (2024年2月分)
- バグバウンティプラットフォーム「Intigriti」の四半期ランキングで17位にランクインと受賞した (2024年1~3月分)
- 大会「HackerOne Ambassador World Cup 2024」に日本チームで少し参加した
I ranked 6th on @intigriti leaderboard for February 2024. #HackWithIntigriti
— morioka12 (@scgajge12) March 1, 2024
- Accepted: 25 reports
I will continue to enjoy Bug Bounty! pic.twitter.com/TbFxYG2srP
In 2024 Q1 Leaderboard I am 17th place on @intigriti .
— morioka12 (@scgajge12) April 4, 2024
Thanks for the voucher.#HackWithIntigriti pic.twitter.com/5vjyTmnMMe
Just scored a reward @intigriti . #HackWithIntigriti
— morioka12 (@scgajge12) February 6, 2024
I'm very happy that the two "Exceptional" vulnerabilities (9.8) I reported were approved. pic.twitter.com/RQQRXyVakY
The results are in!🥇
— HackerOne (@Hacker0x01) July 30, 2024
Congratulations to these 32 teams who will move on to the Group Round of the 2024 #AmbassadorWorldCup! 🙌
The next round kicks off at the end of August! Stay tuned for the latest info, and read more about the AWC here. https://t.co/ZKBzjgwKWv pic.twitter.com/aKFpKxn0FN
CVE
CVE は「2件」取得しました。(だいぶ前に報告したものに発行された模様)
- CVE-2024-23348
- CWE-20: Improper Input Validation
- CVE-2024-23782
- CWE-79: Cross-site Scripting
6. その他
プライベート
プライベート周りは、今年も充実した1年だったと思います。
また、ディズニー好きということもあり、今年はディズニーリゾートに「8回」遊びに行きました。
(詳細は、Facebook の方でつぶやきます。)
過去の振り返りブログ
過去の振り返りブログは、以下にまとめてあります。
7. 終わりに
今回は、morioka12 の「2024年の振り返り」ということで、今年あったことを簡単に振り返ってまとめて紹介しました。
今年は社会人1年目ということもあり、本業にもしっかりと取り組みつつ、外部活動では有難いことに色々な機会を得ることができました。
想定より少し多忙でしたが、ありがとうございました。
来年の抱負
- 本業で新しいことにチャレンジする。
- バグバウンティに継続的に取り組み、実績も作る。
- 立ち上げたコミュニティ周りも継続する。
- 新しい分野のインプットをする。
- プライベートの時間もしっかりと充実させる。
来年も新しいことにチャレンジしつつ、外部活動は少し引き受ける数を減らして落ち着ければと思っています。
2025年も、どうぞよろしくお願い致します!
ここまでお読みいただきありがとうございました。
