ハニーポット、課金、パワポカラオケ、LINE API、パートナーあるある話まで1日どっぷり

オンライン開催の「JAWS DAYS 2021」でre:Connectしてきた（シゲモリ編）

　「re:Connect」をテーマに掲げ、フルオンライン開催となったJAWS DAYS 2021。ハンズオンを含めた全5トラックで、オンサイト開催さながらの多彩なセッションが繰り広げられた。参加者同士のコミュニケーションも考えられたoVice上のバーチャル会場も用意され、オンラインイベントの新しい形を見ることができた。ここではライター重森大さんの取材レポートをお送りする。

oVice上で設けられたJAWS DAYSのコミュニケーションスペース

視聴環境のトラブルから始まったバタバタの朝

　今日、2021年3月20日は「JAWS DAYS 2021 -re:Connect-」の開催日だ。軽い朝食をとり、PCに向かう。視聴用URLにアクセスすると、ちょうど開会の挨拶が始まったところだった。さて……と思ったが、音が聞こえない。AfterShokz OpencommというBluetoothヘッドセットを使っていたので、Bluetoothの接続を確認したり、つなぎなおしてみたりするも、変化がない。すでに開会の挨拶は終わりつつある。焦る。焦る。

　いろいろと試しているうちに、そもそもMacbookのスピーカーからも音声が出ていないことに気づく。何事かとこの段階ですでにパニック。時間をとるがしかたがない、Macbook自体を再起動してみた。しかし状況に変化はない。開会のあいさつは終わって、最初のセッションがスタートしている。いったん落ち着こう。

　音声が聞こえないまま、磯野亘平さんさんの「ハニートークン型ハニーポットによる攻撃者の行動分析と脆弱性の発見と報告まで ～AdministratorAccessポリシー付きアクセスキーを手にした攻撃者がとる行動とは～」の画面を眺める。全画面にしておくか、と何気なくマウスを動かしたときに、あるアイコンが目に留まった。スピーカーマークに斜線が入っている。

　……何のことはない、配信音声がデフォルトでミュートになっていたのだった。視聴用URLにアクセスすると、全5トラック分のプレビューが並ぶ画面が開かれる。複数の画面をプレビューしているので、デフォルトでは音声がミュートになっているようだ。なんてこった。動画配信でミュートがデフォルトとは思わなかったので、勝手に慌ててしまった。

　さて、筆者が無音の画面をながめている間に、磯野さんはハニーポットに引っかかった攻撃者の動向を楽しんでいた。何か操作をするのではなく、読み取り用のAPIばかり叩いてきた情報収集特化型の攻撃者に「不気味」とコメントするなど、ハニーポットで楽しむ人の感覚は独特だなと思ったり。その後、攻撃者の行動から狙われやすい設定、見落としがちなセキュリティポイントを紹介。

　面白かったのは、EC2の権限を与えていないアカウントからEC2を起動されたというくだり。権限がないので、直接EC2を起動することはできないのだが、RequestSpotFleetを使われたとのこと。RequestSpotFleetとは、スポットインスタンスの価格に入札する機能。入札価格が現在の価格を上回れば、EC2が立ち上がる。色々な落とし穴があるものだ。最後はAWSからセキュリティインシデントを通知するメールが届き、乗っ取られたアカウントが停止されていたそうだ。ちゃんと見てるんだな、運営の人。

EC2起動の権限を明け渡していないのに、抜け穴を突いてEC2を起動されていた

「この動きが正しいのかどうか疑問に思ったので、AWSに脆弱性レポートを提出しました。コミュニティで発表していいかもちゃんと確認して資料のドラフトも送ったのですが、発表する機会がなく、今日このような大きな場で発表できてよかったです」（磯野さん）

AWSにレポートを送付して修正されたのを確認、いつか公開したいと思っていたネタだったようだ

　どうやら、半年ほど寝かせておいたネタらしい。昨年はコロナ禍もありあまり機会がなかったのだろう。面白いネタを聞くことができてよかった。音声って大事。

　やっと気持ちが落ち着いたので、次のセッション「組織でAWSを使い始めるときに考えたいアカウントと請求の管理」を視聴。Sumi Shiomiさんだ。冒頭に「AWSは従量課金」という、当たり前だけど大事な話をした。使った分をきちんと管理していれば、それがコストに反映される。同時に、管理していなければその状況がコストに反映される。問題は言うまでもなく、後者だ。特に部門ごとでアカウントを分けている場合、全体を俯瞰して管理するのは容易ではない。AWS Organizationsを使って複数のアカウントを管理する際のタグ付けルールなどのTipsがいくつか紹介された。

やらかした経験をもとに、AWS Budgetsを設定したというSumiさん

「コスト管理でもっとも大事なのは、予算アラートを設定することです。私もやらかしてしまい、反省しました」（Sumiさん）

　私もやらかした。反省したけど、学びが身についていないという情けなさ。あとで予算アラート機能をチェックしよう。

お昼ごはんをすませて、まったりoViceを歩いてみる

　少し早いが、午後が長いのでしっかりお昼ごはんを食べておこうと思い、いったん休憩をとることにした。用意したのはレトルトのスパゲティ。現地イベントであれば弁当やケータリングの話題でも盛り上がれるのだけど、オンラインではそうはいかない。こんなものを食べてるよーという会話で盛り上がればいいのかもしれないが、PCの前を離れて食事をしたのでそうもいかず。

　コミュニケーションといえば、JAWS DAYS 2021の目玉のひとつとして採用されたoViceが面白い。マップ上を歩き回り、アイコン同士が近い人と会話ができるオンラインコミュニケーションスペースだ。アイコンを移動して、近くに行って話しかけるというのはほかのオンラインコミュニケーションツールでは味わえなかった感覚。コミュニティに参加して、「あ、あの人がいた」と話しかける動作に似ている。操作に少々慣れが必要だが、コミュニティに参加しているという実感がある。

oVice上に日本地図が再現され、我が千葉県にも千葉支部のアイコンが掲示されていた

　中でも面白かったのは、日本地図を模した全国支部マップ。各支部に、ゆかりの人が集まっていたりする。操作に慣れていないのか周知が甘いのか、お昼の段階ではあまり多くの人はいなかった。Twitterなどを見ていると「○○支部で久しぶりのメンバーに会えた」という発言がちらほら目に留まったので、お昼にoViceの説明があったあとは多くの人がアクセスしたのかもしれない。