本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
はじめに
こんにちは、先端技術事業部 レッドチームに所属する岩崎利己と申します。
今回はOffSecのOSCE³認証を取得したため、OSWE、OSEP、OSEDを含むここまでの足取りを書きたいと思います。
また、弊社ではたくさんの方が自己研鑽のために資格取得に取り組んでいます。受験記も以下からご覧いただけますので興味がある方はこちらも是非。
SANSトレーニング「SEC575」 および GIAC「GMOB」受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社
Offensive Security Exploit Developer (OSED) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社
Offensive Security Web Expert (OSWE) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社
Certified Red Team Professional受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社
OffSec Defense Analyst (OSDA) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社
OffSec Experienced Penetration Tester (OSEP) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社
また、MBSDではこれらの資格取得費用を全額会社が負担しています。
これまで私が受験した資格試験やトレーニングの料金を合計すると120万円を超え、
とても個人で負担できる額ではありませんのでこのような制度があるのは本当にありがたいです。
リファラル採用制度もあり、書類選考が免除されますのでこのような制度に興味がある方はお近くのMBSD社員までお気軽にお声がけください!
採用 | 三井物産セキュアディレクション株式会社
MBSD_リファラル(社員紹介専用) | 三井物産セキュアディレクション株式会社
OSCE³とは何か
採用活動もほどほどに、OSCE³の説明です。
OSCE³は同じくOffSec社の以下三つの認証を取得することで自動的に認証される資格です。
- OffSec Experienced Penetration Tester (OSEP)
- OffSec Web Expert (OSWE)
- OffSec Exploit Developer (OSED)
OffSec社の公式ページには以下のような記載がありますが、近年では認証を取得している方を多数観測しており、受験者側のレベルアップを感じます。
(数年後にはOSCPのような、割と誰でも持ってるような認証になるのでは??)
Master advanced exploit development, evasion, and Windows internals—skills few in the world can claim.
引用:Mastering Offensive Security | OSCE³ Certification | OffSec
OSCE³を目指した理由
セキュリティに携わった年齢が遅かったため、成長の早いセキュリティ業界に追いつくべく立てた目標が「30歳までにOSCE³取得」でした。年齢を区切りにしたのは、単なる自分への発破です。
OSCE³はOSWE・OSEP・OSEDという毛色の異なる3つの実技試験を突破する必要があり、Webアプリケーションのソースコードレビューから、検知回避を必要とする侵入テスト、さらにはエクスプロイト開発までを一通りカバーする、当時の私にとってはハードな認定資格です。これに挑戦することがスタートの遅れを技術力で埋めるための最短ルートだと考えました。
また、OffSec系の資格全般に言えますが、業界内の知名度がダントツで転職する際に有利という話も聞きます。そのため現在従事している職務内容から、Web診断やペネトレーションテストにジョブチェンジしたい!というモチベーションで取得する方も割といらっしゃるのではないでしょうか。(資格を持っていれば転職できるという業界ではないとは思いますが。)
各試験について
各試験の詳細に入る前にそれぞれの概観を以下に示します。
当ブログでは各資格の詳細な内容は記載しないので興味があれば受験記をご参照ください。
| 資格 | 主な領域 | 必要な力 | 受験記 |
|---|---|---|---|
| OSWE | Webアプリケーション診断 | ソースコードから複雑な脆弱性を見つけ出す力 | Offensive Security Web Expert (OSWE) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社 |
| OSEP | ペネトレーションテスト | 検知を回避しながら目標を達成する力 | OffSec Experienced Penetration Tester (OSEP) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社 |
| OSED | エクスプロイト開発 | 脆弱性を実際に悪用する力 | Offensive Security Exploit Developer (OSED) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社 |
OSWE
資格取得日
2024/12/2
受験時点のバックグラウンド
入社から1年弱経過。
Web診断のトレーニングが終了し、Web診断案件を一人で任され始める。
このころからWeb診断の案件に本格的にアサインされ始め、日々忙しくしていましたがなんとか3ヶ月のラボで学習を終えました。
試験に関してはブラックボックス特有のエスパー要素などが無く、担当していた業務との関連性からそこまで難しくない印象でした。ただ、Web診断員が落としては面目が立たないという謎の強迫観念に苛まれました。
資格取得後、このコースで得た知見は実務へダイレクトに還元されました。脆弱性報告も積極的にできるようになり、視野が広がった実感があります。
さらに有資格者だからなのか、グレーボックス診断など、通常のWeb診断とは異なる案件にアサインしてもらえる機会も増えました。定量的に評価することが難しい「技術力」という物差しにおいて、PMやマネージャー層における「誰にこの案件を任せるか」を判断する際の材料の一つにもなるかと思います。
OSEP
資格取得日
2026/02/07
受験時点のバックグラウンド
入社から2年経過。
Web診断をバリバリ行う。
OSEPでは、フィッシングやカスタムWebアプリケーションの脆弱性を起点とした初期侵入から、内部ネットワークへの展開、複数のActive Directoryドメインの侵害までを一連の流れとして求められます。個人的には、OSCE³を構成する3試験の中では一番取り組みやすい印象でした。OSCPをすでに持っている方であれば、土台となる知識も近いため、OSCE³取得を目指すならまずOSEPから着手するのが良いと思います。
試験では対象ホストが15~20台ほど用意されているため、頭の中でネットワーク構成や侵害済みホストの関係性をマッピングしながら進めると、迷子にならずに済みます。
また、攻撃基盤としてC2フレームワークを使う場面が多く、受験者の多くはオープンソースのC2を利用している印象です。事前に手に馴染むツールを一つ用意して練習しておくとスムーズですし、逆に「あえてC2縛りで挑む」というのも一つの選択肢だと思います。
OSED
OSED(Windows User Mode Exploit Development)については、正直なところ、自分自身の受験記は書いておらず、また普段の業務との関連も薄い領域です。以前にその領域に強い井餘田先生が記事を書いてくださっていますが(井餘田先生、お元気ですか?)、私自身はどちらかというとその辺りは門外漢で、そのような人間がOSEDについて主観的に話すのも需要があるかなと思い、他の資格と比較して少し詳細に書いています。
資格取得日
2026/07/08
受験時点のバックグラウンド
ちょうど業務内容がペネトレーションテスト中心に変わったタイミングでの受験。
x86 Windows環境に対するエクスプロイト開発は、それまでの自分のキャリアではほとんど触れてこなかった領域で、OSCE³を構成する3試験の中でも、個人的には一番の難関だったという印象です。
試験について
試験では3つの課題が出題されます。OffSec社の公式ページの表現を借りると、大きく以下のような内容です。
- セキュリティ緩和策をバイパスしたエクスプロイトの開発
- カスタムシェルコードの開発
- リバースエンジニアリングによる脆弱性の発見と、それを利用したエクスプロイト開発
(参考:EXP-301: Windows User Mode Exploit Development OSED Exam Guide – OffSec Support Portal)
ハマったところ
学習・試験を通して、いくつかの挙動には地味にハマりました。
WinDbgでプロセスにアタッチした際のfnstenvの挙動
WinDbgでアタッチしたプロセスにおいて、msfvenomで生成したエンコード有ペイロードをシェルコードとして実行した際、シェルコード自身が配置されたアドレスを得るために使用されるfnstenv命令が正常に動作せず、シェルコードの実行に失敗するという問題です。
WinDbgの旧バージョンではfnstenv結果のFIPが0固定になるらしい - プログラム系統備忘録ブログ
実行がシェルコードまで到達している場合はWinDbgのアタッチ無しで実行してみると良いと思います。
(そもそもWinDbg最新バージョンでは発生しなかったのでOffSec社にアップデートしてもらいたいところ…)
x64環境におけるx86DLLファイルのパスの扱い
x64環境においてx86バイナリを起動するとWOW64という仕組みにより、x86アプリケーションを動かすためのエミュレーション/変換が行われます。
この際、ファイルシステムへのアクセスがリダイレクトされ、C:\Windows\System32フォルダへのアクセスがC:\Windows\SysWOW64というフォルダへのアクセスになります。
WinDbgのlmコマンドや拡張機能のnarlyでは同環境でロードされたDLLを表示する際、C:\Windows\System32配下のパスが表示されるため注意が必要です。
Offensive Security Exploit Developer (OSED) 受験記 | 技術者ブログ | 三井物産セキュアディレクション株式会社
msfvenomで生成したエンコード有シェルコードにおけるアクセス違反
WriteProcessMemoryでPAGE_EXECUTEREAD属性のメモリ領域へ書き込んだシェルコードを実行する際、シェルコード近辺への書き込みが発生し、Write権限がないためアクセス違反が起きる事象がありました。
WriteProcessMemory自体は一時的に書き込み先アドレスのメモリ保護を変更するため、影響を受けませんがシェルコード自身が実行時にメモリ上に自身を展開するような場合は正常に動作しませんでした。
この場合はシラバス内のカスタムシェルコードの作成を参考に自作のシェルコードを作成することで回避可能でした。
また、シラバスではROPチェイン内でシェルコードをデコードする方法も紹介されています。
いずれも「知っていれば数分で気づけるが、知らないと何時間も溶かす」類のもので、地道な検証の積み重ねが物を言う試験だと感じました。
やっておいた方がいいこと
- 課題によっては実行ファイルをダウンロードできず、IDAが使えないケースがあります。そのため、WinDbg単体でIATから
VirtualProtectなどの関数アドレスを求められるようにしておくなどある程度WinDbgに慣れておくと安心です。WinDbgの学習についてはこちらのページが明るいです。All Posts tagged as "WinDbg" - かえるのひみつきち - bad charの確認を目視(目グレップ)に頼るのは危険です。バイト列がそこで終端するのではなく、別のバイトに置換されてしまうケースを見逃しやすいのでWinDbgのスクリプトでチェックするなど、自動化すべきです。
- OSEPやOSWEと比べると、シラバスで紹介されている以上のツールはほとんど必要ないという印象でした。むしろ独自ツールを持ち込むと学習コストが増えるうえ、本番でのトラブルシューティングのリスクも上がるので、素直にシラバスで紹介されているツールでエクスプロイト開発プロセスを組み立てるのが得策だと思います。このあたりのスタンスは自身のツールへの理解や攻撃手法への理解度に応じて変えると良いと思います。
まとめ
目標を掲げてから、OSWE、OSEP、OSEDと一つずつ積み上げ、ようやくOSCE³認証を取得することができました。
ただ、OffSec社曰く「世界でも数少ない人しか持っていないスキル」だそうですが、冒頭でも触れた通り、近年は取得者を観測する機会も増えており、業界全体のレベルアップを日々感じています。引き続き手を動かしながら、診断・ペネトレーションテストの現場で還元できる技術力を磨いていきたいと思います。
弊社では今回紹介した資格以外にも、様々な認定資格・トレーニングの受験記を公開しています。興味を持っていただけた方はぜひ他の記事も覗いてみてください。また、こうした資格取得を全額会社負担で後押ししてくれる環境や、リファラル採用制度に興味のある方は、お近くのMBSD社員までお気軽にお声がけください。
採用 | 三井物産セキュアディレクション株式会社
MBSD_リファラル(社員紹介専用) | 三井物産セキュアディレクション株式会社
最後まで読んでいただき、ありがとうございました。
岩崎 利己
おすすめ記事