気づけば半年に一回くらいの間隔で書くブログになってしまった

12月4日頃にTwitterでmixi Scrap Challengeというイベントの告知が流れてきた。
mixi engineers on Twitter: "そんなわけで、偽mixiを疑似攻撃する学生向けイベントScrap Challenge, 年内の申込締切は明日2013/12/5です。忘れずにどうぞ! http://t.co/EperKq9naH #mixi_scrap"
ちょうど時間的に厳しいものの、参加費無料、交通費半額支給ということで、エントリー。
無事抽選に通ったので夜行バス往復して東京・渋谷へ行ってきました。

ということで適当な感想とか色々と

まず、mixi Scrap Challengeとは何かというと、mixiのクローンサイトにわざと脆弱性を残しておいて、
参加者が2-3人のチームを組んでそれを発見するというもの。
攻撃方法を見つけるとクローンmixiのメッセージを利用して被害者役である「鴨ねぎ[1-4]号」さんに攻撃用URLや内容等を送る流れ。

当日の流れは、
午前中:脆弱性に関する講義
昼休憩
午後:Scrap Challenge本番
夕方:懇親会

参加者は大学(院)生が30人弱くらい。mixi社員側は基本的に新卒入社から2年以内という形だった。
午前中の講義は、主にセキュリティとmixiという感じで、mixiの今までの経験を元に
「いままでmixiは何を経験して、何が問題だったのか、どう対処したのか」という内容だった。
さすがmixi、今は第一線とは言えなくとも、ネット黎明期から10年近くSNSを運営してきているだけのことはあって、経験値はすごい。
ちなみに、「ぼくははまちちゃん騒動」も取り上げられていた。
最後の方では9月に始まった脆弱性報告による報奨金制度についての紹介も。ちなみに話してた本人はGoogleにAndroidの脆弱性報告で結構貰ったとか。
あと、やはり「体系的に学ぶ 安全なWebアプリケーションの作り方」(通称:徳丸本)はおすすめらしい。というか基本。
Amazon:http://www.amazon.co.jp/dp/4797361190?tag=j416dy-22
mixi engineers on Twitter: "徳丸本基本 #mixi_scrap"
@mixi_engineers も基本って書いてた。ちなみにこの記事書く直前に書いました。

昼休憩はmixi社から弁当の支給が。ごちそうさまでした。
お箸に書いてる感じだとテレビロケとかイベントとか向けの弁当らしい。

午後からは実際にクローンのmixiに攻撃を開始。
開始と同時に全員黙りこみつつひたすらキーボードを叩く。
問題は・・・内容は書くなと言われてるので書かないけども、徳丸本読んでるなら分かる内容。
むしろしばらくmixiを触ってなかったせいでmixiの使い方を忘れかけてる影響が少しｗ
ちなみに、攻撃時のメッセージとして「こんにちはこんにちは！」が含まれてるというネタがｗ
最終的には自分で発見したのは結局001の一つだけという個人的には非常に残念な結果に。
009と011はあともうちょっと頭をひねればできていた気がする。何事も積極的に弄り尽くそう。特に009ェ・・・。
あと、Web系弄るならやっぱりJavascript触らないとなあと。どうすればいいのかわかってるけどうまくできず後回しにした問題とかも。
ちなみに、被害者役の鴨ねぎ3号氏はつぶやき機能を使ってBrainf*ckを投下ｗ

最後に結果発表&問題点の解説。チームとしては予想以上の2位。多分問題と配点のせい。今年初の問題だったから仕方ないね
個人としてはいい経験と勉強になったなと。そしてやはり楽しかった。

終わったあとは懇親会。ピザごちそうさまでした。
mixi社員の人と話ができて、色々勉強になりました。自分のいたところは質問がだいたい就活によってましたがｗ
会社としてのmixiは、聞いた限りではいい会社だなと。エンジニアにはいいところじゃないかなと。

おわりに
本当にWebセキュリティって大事だなと。
あと、Githubとかでソースコードを公開するのはやはりオススメらしい。
そしてさすがに夜行バス(3列)で0泊2日の東京往復は疲れた。

最後に、参加者、関係者のみなさんお疲れ様でした。そしてありがとうございました。

[追記]
そういえば今年の第二回確定してました。
株式会社ミクシィ
実施日が2014年1月18日（土）、応募締切が2014/1/9(木) 23:59だそうです。
Webセキュリティに興味がある人は行くといいかと。
さらっと徳丸本読んどくといいかなと。
尼とPDF販売やってるそうで。