表題の通り、去る2013年12月14日のmixi社主催のWeb系クラッキングイベントのmixi Scrap Challengeに参加してきました。その感想文です。文章力はまるでないのでまるで小学生の感想文です。
Scrap Challenge 2013 | 株式会社ミクシィ 学生向けエンジニアイベント

ちなみにこのレポートの草案はScrap Challengeの後秋葉原のカプセルホテルに泊まってそのまま丸一日秋葉原観光した後の帰りの新幹線の中で書いてます。結構揺れます。ゑびすびーるうまい！
まずはmixiさん、交通費半分と懇親会も含めてありがとうございます！くすねたｱｻﾋｽｰﾊﾟｰﾄﾞｩﾗｲ風呂あがりに飲みましたがめっちゃ美味かったです！
（新幹線、WiFi飛んでるけどプロバイダとの契約必要なタイプのだしつらい）

なお、直後にmixiの方がまとめられたTogetterがありますのでそちらの方もどうぞー→Scrap Challenge 2013.12 - Togetterまとめ

まず、形式としては上記リンクの募集要項にもあるように、mixiっぽいけどあえて脆弱性を含ませた偽mixiにチームでアタックして出てきた問題を解いてポイントを稼ぐっていう結構ベーシックな感じです。

アタックの前にmixi社のエンジニアの方のセミナーがありました。
そこではmixiがセキュリティとどう関わってるのかなどを聴きました。例えば社内ではどんな体制を組んでいるのか、他には脆弱性報奨金制度の話題とか（mixiとセキュリティといえばですが）ぼくはまちちゃん事件の話なんかもありました。
実際に企業の中でどんな体制が取られているのかを直に聴くことなんてなかったので非常に興味深かったです。

その後お昼ごはんを挟んで実際に問題を解く感じです。
問題内容については「秘密でお願いします♥」と念を押されましたので詳しくは言えませんが、全体としては、Web関連の脆弱性といえば、って感じのチョイスではありました。徳丸本とか読んでるといいかも。

参加してみての感想ですが、僕がこれに参加した理由としては「セキュスペ持ってるけど知識だけで実際に攻撃手法を用いてやってみたことないし、そっち方面知りたい・やってみたい」というモチベーションでした。実際参加してみて、確かに自分の経験不足を痛感しました。例えば僕は参加する直前に所謂徳丸本をざっと読んでたのですが、読んだだけで知識としては知ったつもりかもしれないけど経験・技術にはなってないなと痛感しました。同時に、解けた時はすごくうれしくて、いわゆるハッキング（悪意を含むものも含まないものも）の楽しさってこういうことなのかなとも思いました。

あと、面白かったのが参加者の結構な割合が関西勢だったので知人が数名おり、かつ同じチームのメンバーが全員（Twitter上で）知ってる人という面白いことになってて「世間案外狭いなぁ」と思いました。

以上、簡単な文章になってしまいましたが、mixiさん、同チームのメンバーを含めた参加者の皆さん、ありがとうございました！すごく疲れましたがすごく楽しかったです！
特にmixiさん、今回のような貴重な場を設けていただきありがとうございます。こういうクラッキング系のものは同意なしに相手にやると不正アクセス禁止法などに引っかかり、かと言って自分で環境作るとなんとなく脆弱性が分かってしまうというジレンマがあり、本当に難しいものだと思います。ですので、今回のようにmixiさんに環境を用意して頂くというのは非常に嬉しいことです。

最後になりましたが他の方のエントリなんかは「#mixi_scrap」や「Scrap Challenge」などでTwitterなど検索すると見つかるかもです。
あと、今年度は年明けにもあるそうなのでScrap Challenge 2013 | 株式会社ミクシィ 学生向けエンジニアイベントなどをぜひ。

アキバもすげー楽しかったです！同人誌一杯買った！