shield security reserch center
TRANSCRIPT
SHIELD Security Reserch Center
2
●はじめに本文書は、株式会社日立システムズ セキュリティリサーチセンタが運営するセキュリティ情報サイト、S.S.R.C.(Shield Security Research Center) の公開資料です。本サイトでは、本文書のバックナンバーをはじめ、S.S.R.C. によるリサーチ結果などを随時公開しています。S.S.R.C. http://www.shield.ne.jp/ssrc/
●ご利用条件本文書内の文章等すべての情報掲載に当たりまして、株式会社日立システムズ(以下、「当社」といいます。)と致しましても細心の注意を払っておりますが、その内容に誤りや欠陥があった場合にも、いかなる保証もするものではありません。本文書をご利用いただいたことにより生じた損害につきましても、当社は一切責任を負いかねます。本文書に記載した会社名・製品名は各社の商標または登録商標です。本文書に掲載されている情報は、掲載した時点のものです。掲載した時点以降に変更される場合もありますので、あらかじめご了承ください。本文書の一部または全部を著作権法が定める範囲を超えて複製・転載することを禁じます。
© Hitachi Systems, Ltd. 2015. All rights reserved.
T A B L E O F C O N T E N T S
竹迫良範インタビュー ……………………………………………………………………… 3
セキュリティイベントアラウンドザワールド eCrime2015(スペイン・バルセロナ)+PHDays2015(ロシア・モスクワ) …………… 9
ThreatScope …………………………………………………………………………………13
3
SECCON実行
委員長に
日本のセキュ
リティ人材育
成について
直撃取材 !!
Yosinori TakesakoYosinori Takesako
竹 迫 良 範竹 迫 良 範インタビューインタビュー
日本最大規模のセキュリティコンテストである CTF、2014 年度には世界各国のハッカーたちが集結する国際大会へと大きな発展を遂げた。そして 2015 年、今年度の大会もいよいよスタートを切ることとなった。セキュリティ人材の不足が叫ばれる中、SECCON は人材育成にどのような効果をもたらすのだろうか。実行委員長の竹迫氏に話を伺った。
取材・文・撮影=斉藤健一
4
日本初の国際大会となった SECCON2014
斉藤(以下 ):本日はお忙しいところ時間を割いていただきありがとうございます。お話を伺いたいテーマとしては、SECCON、セキュリティ人材育成、ご自身について、などを考えています。よろしくお願いします。竹迫(以下 ):こちらこそよろしくお願いします。
早速ですが、SECCON 2014 について伺います。本年 2 月に行われた決勝戦では、優勝チームにDEFCON CTF へのシード権が与えられることもあり、海外から多数の参加がありました。竹迫さんご自身は彼らから SECCON の印象などを聞かれたのですか。
はい。実は大会終了後に海外チームの人たちと観光に行きました。そのとき、彼らに正直な感想を聞かせてほしいと頼んだところ、多くの人から
「楽しかった」という答えが返ってきました。 大会の問題について、何か意見は出ましたか。 海外勢から評判が良かったのが、暗号解読の問
題です。これは他の CTF 大会には見られない新しいタイプの問題だったようで、彼らも気に入ってくれました。
問題について簡単に紹介していただけますか。 出題用のサーバーには何かしらのアルゴリズム
で暗号化されたテキストがあります。各チームは
この暗号を復号するのですが、成功すると、今度は自分たちが考えた暗号アルゴリズムの Pythonプログラムをサーバーにアップロードできるようになります。この暗号が破られなければサーバーを死守できますし、破られてしまえば攻守逆転となりますから、いわば陣取り合戦のようなものです。
なるほど。 暗号解読の方法としては、地道な総当たり攻撃
や、サーバー側のプログラム自体のバグを突く方法などがありました。初日は皆まじめに暗号を解読しようとしていたのですが、2 日目になると、サーバー側のプログラム自体にバグがあることが知れ渡り、初日と 2 日目では、競技の方向性が変わったというのも楽しさの要因だったのかもしれません。
ありがとうございます。ところで、SECCON 2014 は大会史上初の国際大会となりましたが、運営ではどのような点で苦労されましたか。
初の試みで、何もかもが手探り状態で不安もありましたが、英語ネイティブの方にスタッフに加わっていただくなどして対応しました。苦労した点は、競技の公平さを保つことでした。日本チームだけが有利にならないよう、あらかじめ競技ルールをきちんと文書化し、英語に翻訳して事前に各チームに配布しました。また、競技中のルール違反についても「ルールのこの部分に抵触している」と、厳格に対処できるよう準備に努めました。
実際に何かルール違反はありましたか。 重大なルール違反などはありませんでした。
CTF はある意味スポーツですから、どのチームも正々堂々とプレイしていたと思います。
SECCON2015 の大会概要も決定 !
引き続き SECCON 2015 について伺いたいと思います。これまでの大会と比較して何か新たな試みなどはあるのでしょうか。
2014 は 初 の 国 際 大 会 で し た が、 残 念 な がら、日本チームが優勝することはできませんでし た。1 位 韓 国(TOEFL Beginner)、2 位 台 湾
(HITCON)、3 位 米 国(PPP) と い う 結 果 で、 日
●竹迫良範(たけさこ・よしのり)1995 年広島市立大学情報科学部入学。大学休学中にアルバイトで Web アプリや EC サイトの構築業務に携わる。2004 年には、Perl クックブック第 2 版(オライリー刊)の監訳を担当。2005 年、サイボウズ・ラボに入社、現職。2012 年より SECCON の実行委員長を務めている。
5
本チームは binja の 4 位が最高位です。このまま国際大会を続けていくと、日本チームが萎縮して参加しなくなるのではないか、という懸念がありました。そこで 2015 では、これまでの国際大会
(international)に加え、対象を日本の学生に限定した大会(intercollege)を開催することにしました(表参照)。
決勝戦が 2 回行われるということでしょうか。 そのとおりです。学生大会の方は、学校別の対
抗戦にしたいと考えています。 過去の SECCON では地方大会が行われており、
各大会の優勝チームが決勝戦に進めました。この仕組みも変わるのでしょうか。
はい。いくつかの地方大会が、学生限定のものになりますから、ここで優勝したチームは学生大会へ進むこととなります。学生・社会人ともに参加できる地方大会やオンライン予選においても、学校名でチーム登録して上位入賞を果たせれば、学生大会に進むことができます。また、会津大学で行われる福島大会は「サイバー甲子園」と銘打ち、18 歳以下の学生限定としました。私たちの世代は、社会人になってから業務上の理由などで、セキュリティの勉強を始めた人がほとんどですが、現在ではもっと早い時期からセキュリティについて学んでほしいと考えています。ですから、この大会が若い人たちにとって、大学や大学院な
どでセキュリティを専攻するきっかけになってくれるとうれしく思います。
ところで、大会日程を拝見すると、福島大会の翌日に大阪大会が開催されるなど、かなりタイトなスケジュールですね。実行委員の方々はそれぞれの大会に分散されると思いますが、記者泣かせだと思います(笑)。
実は同じ時期に CTF for ビギナーズ(以下ビギナーズ)大阪大会も開催されるので、3 つのイベントをほぼ同時に開催するということになります
(笑)。実行委員のメンバーも今年は 40 名を超え、層が厚くなってきましたから、3 つ同時でも運営できるようになりました。協力していただいている実行委員の方々には本当に感謝しています。
他にも、ビギナーズの大会数が増えていますが、これも 2015 の特徴の 1 つなのでしょうか。
はい。これまでのビギナーズは、SECCON に参加する学生有志による勉強会という位置付けでしたが、今年からは SECCON の公式イベントとして取り組んでいくことにしました。今年は新たに、攻防戦(Attack & Defense)を体験できる演習も用意しました。
SECCON 地方大会の競技内容やビギナーズの演習内容はどのように決められているのでしょうか。
実行委員の中での話し合いによって決まりますが、「熱血シェルコード」のように、委員の強
SECCON2015開催スケジュール日程 開催大会 会場 競技内容
2015 年 8 月 26 日 SECCON 2015 横浜大会 パシフィコ横浜 CEDEC CHALLENGE10 月 24 日 SECCON 2015 広島大会 広島市立大学 熱血シェルコード11 月 7 日 SECCON 2015 福島大会 会津大学 サイバー甲子園【18 歳以下・学生限定】11 月 8 日 SECCON 2015 大阪大会 グランフロント大阪 CSIRT 演習11 月 28 日 SECCON 2015 九州大会 九州工業大学 Attack & Defense【学生限定】12 月 5 日 ・6 日 SECCON 2015 オンライン予選 インターネット CTF 予選/英語・日本語
2016 年 1 月 30 日 SECCON 2015 決勝戦/ intercollege 東京電機大学 CTF 決勝戦/日本語1 月 31 日 SECCON 2015 決勝戦/ international 東京電機大学 CTF 決勝戦/英語
CTFforビギナーズ開催スケジュール日程 開催大会 会場 演習内容
2015 年 6 月 7 日 CTF for ビギナーズ 2015 博多 富士通株式会社 Attack & Defense【学生限定】6 月 14 日 CTF for ビギナーズ 2015 札幌 札幌市産業振興センター Binary, Web, CTF7 月 4 日 CTF for ビギナーズ 2015 東京 東京電機大学 Binary, Network, Web, CTF7 月 5 日 CTF for ビギナーズ 2015 長野 株式会社電算 Binary, Network, Web, CTF9 月 12 日 CTF for ビギナーズ 2015 熊本 東海大学 Network, Web, CTF
10 月 3 日 CTF for ビギナーズ 2015 滋賀 立命館大学 Binary, Network, Web, CTF10 月 17 日 CTF for ビギナーズ 2015 奈良 奈良先端科学技術大 Attack & Defense【学生限定】11 月 7 日 CTF for ビギナーズ 2015 大阪 大阪南港 ATC CTF in Kansai Open Forum
6
い希望で実施されるものもあります。昨年は x86リモート Exploit の演習を行いましたが、今年はx86 に限らず、ARM をはじめとした他のアーキテクチャーも扱うようにしました。
確かに。ARM アーキテクチャーは、他の CTF大会でもよく使われますからね。
横浜大会の「CEDEC CHALLENGE」も大きく変わります。この大会はゲーム開発者向けの CEDECというカンファレンスと提携しているのですが、競技では、参加者にゲームのチートに挑戦してもらおうと考えています。参加者にパッキング(難読化)された Android アプリを配布し、コードに含まれる脆弱性を探してチートしてもらいます。こちらも担当の実行委員の方が中心となっています。
私自身、2 年ほど前に横浜大会を取材したことがあります。このときはカンファレンスの一角を使ったゲーム大会といった印象を持ったのですが、今年の大会概要を聞いて、よりカンファレンスとの親和性が増したように思いました。
これはゲーム業界を取り巻く環境の変化も影響していると思います。オンラインゲームのチート問題は以前から存在していましたが、各メーカーとも非公開で独自の対応をしていました。しかし、現在においては問題が大きくなりすぎ、メーカー同士が協調して対策を行う必要性が出てきているのだと思います。
SECCON2015 に込めた実行委員会の思い
次に視点を変えて質問します。今年の SECCONでは、これまで運営されてきて得た反省や教訓などを活かした点などはありますか。
実行委員会が憂慮しているのは、はじめて出場する参加者が、大会で何もできないまま競技を終えてしまうことです。これではその後のステップにつながっていきませんから、大会前に予習できる内容にしようと考えました。これまでは、当日に現地に行かないと何をするのかわからない状況でしたが、今年から参加者に向けて競技内容を告知していきたいと考えています。横浜大会を例に挙げれば、おそらく数ヵ月前に問題を公開して、参加者に事前に攻略してもらい、大会ではその結
果をプレゼンテーションしてもらう予定です。 ということは、プレゼンテーションの優劣が勝
敗を分けるということになるのですね。 そのとおりです。実はこれには予習をしてもら
うこと以外の狙いもあります。参加者の多くは技術系の方々ですが、これからは技術に詳しくない人に向けて、サイバー脅威などをわかりやすく伝える能力も求められてくると思っているのです。
実務者と会社の経営層などをつなぐ人材の育成が重要だと言われていますから、プレゼンテーションを審査するというのは、興味深い取り組みだと思います。ちなみに、SECCON の参加者、主に学生の方になると思うのですが、大会後にセキュリティ業界へ就職した例などはあるのでしょうか。
はい。2012 年に参加した方が協賛企業に就職した事例を聞いています。他の例としては、やはり 2012 年に参加した方ですが、サイボウズの QA
(Quality Assurance:品質管理)部門に就職し、製品の脆弱性を調査したり、仕様どおり動作するかチェックを行ったりしています。SECCON では、シルバースポンサー以上の企業向けに、参加者へのインターシップの案内や、懇親会など参加者との交流の場を提供していますから、これがきっかけとなった現在進行形の就職活動の話も耳にしています。
人材育成としての CTF
次にセキュリティ人材の育成について伺いたいと思います。先ほどのサイバー甲子園で、大学・大学院でセキュリティを学ぶという話題が出ましたが、セキュリティ分野における大学教育が、ここ数年でどの程度変化してきたのか、ご存じであれば教えていただけますか。
大きく 2 つの取り組みがあると思います。1 つは学生のセキュリティリテラシーを向上させる取り組み。もう 1 つは実践的なセキュリティを学ぶ取り組みです。前者の例としては九州大がセキュリティを教養課程のカリキュラムに取り入れています。岡山理科大学でも SECCON の母体であるJNSA(日本ネットワークセキュリティ協会)の教育部会と連携して授業を行っています。
なるほど。 一方、セキュリティの実践的な教育の場は大
7
学院になるかと思います。文部科学省の取り組みの 1 つに enPiT(エンピット)※ 1 というプログラムがあります。これは、最先端の情報技術を実践的に活用できる人材育成を目指した教育ネットワーク形成事業です。クラウドコンピューティング、組込みシステムなどと共に、セキュリティの分野も対象となっています。奈良先端科学技術大学院大学、慶応大学、東北大学など 5 つの大学が中心となっているのですが、最近ではこれらの大学以外の学生でも受講できるようになりました。SECCON の参加者の中にも受講者がおり、盛り上がっているという話を聞いています。
それはよい取り組みです。引き続きになりますが、「現在セキュリティ技術者が 8 万人不足している」とか、「CTF が人材育成に役立つ」といったニュースが、新聞紙面やニュースなどで報じられています。ただ、求められる技術者の具体的なスキルやCTF の教育効果など、さらに掘り下げた記事などを目にしたことがなく、個人的には少しモヤモヤしています。竹迫さんご自身は SECCON を運営していて、CTF の効果をどのように見ていますか。
まず、CTF という取り組みは日本に限ったものではなく、世界各国で行われています。最初の CTF は 20 年 ほ ど 前 に、 米 国 の DEFCON で 行われたと聞きます。会場にはその当時最新だったWindows マシンが置かれ、参加者がそのマシンの脆弱性を探し出すものだったそうです。当時から「自称ハッカー」は相当いたそうで、CTF は、ハッカーの能力を数値化することを目的に始められたといいます。
確かに。ハッカーの能力を測る基準というのはありませんからね。
また、クイズ形式の CTF では、問題はジャンルごとに分かれています。ですから、例えばリバースエンジニアリングに強いチーム、ネットワークに詳しいチーム、といった傾向なども見えてきます。そういう意味で CTF とは、自分の現在のハッキング能力がどのあたりにあるのかわかる 1 つの基準であり、それ以上でもそれ以下でもない、と
私は考えています。 改めて考えてみれば。おっしゃるとおりですね。
個人的には、CTF も人材を教育する手段の 1 つにすぎないのではないか、と考えています。日本で見れば、他にも Hardening Project ※ 2 や白浜シンポジウムで開催される情報危機管理コンテスト※ 3 などがあります。ですが、現状では CTF ばかりがマスコミに取り上げられ、CTF の特徴である攻撃者視点のゲーム性から、議論があらぬ方向に向かっているようにも思えます。ただ、この点については、自戒も込めて、伝える側の責任もあると思っています。マスコミはもっとセキュリティ人材育成の全体像を見せるべきですね。
私も CTF だけが、セキュリティ業界でのキャリアパスを決めるものではないと感じています。SECCON では他のコンテストとの連携を強化しています。2014 では、オンライン予選で 1 位通過したチームを、情報処理学会が主催するマルウェア解析コンテストである MWS Cup ※ 4 に派遣した り、 逆 に MWS Cup の 優 勝 チ ー ム を SECCONの決勝戦に招へいしたりしました。Hardening Project についても、6 月に行われる大会に binjaが出場する予定です。さまざまな性質のコンテストに参加してみて、今後自分が身につけたい技術とは何か、考えるきっかけになるといいですね。
攻 防 戦 の 経 験 値 の 高 い binja の 人 た ち が、Hardening Project でどこまで守れるのか、注目したいと思います。さて、私自身、これまでの取材で興味深いと感じたのが、SECCON 全国大会カンファレンスで行われた、富士通の佳山氏や NTTコムセキュリティの羽田氏の講演でした。どちらの講演も、社内で CTF を行ったところ、情報セキュリティに必要なスキルセットを持った人材を発掘することができた、という内容でした。
確かに大企業になると社員の方も大勢いますから、社内でセキュリティ人材を確保しなくてはならない場合、そういったスキルセットを持った社員を探す基準や尺度はこれまでありませんでした。ですから、社内でセキュリティコンテスト
※ 1 enPiT http://www.enpit.jp/※ 2 HardeningProject http://wasforum.jp/hardening-project/※ 3 第 19 回サイバー犯罪に関する白浜シンポジウム&第 10 回情報危機管理コンテスト http://www.riis.or.jp/symposium19/※ 4 マルウェア対策研究人材育成ワークショップ2014 http://www.iwsec.org/mws/2014/
8
をやってみたところ、例えばスーパーコンピューターの開発に携わる人、ネットワーク運用に携わっている人など、社内の思わぬ部署にすごい人材がいたことなどがわかったそうです。これはCTF の面白い効果だと思います。
若い人たちがセキュリティについて 学べる環境を作りたい !
最後に竹迫さん個人について伺いたいと思います。率直に、竹迫さんは「セキュリティの人」なのでしょうか、それとも「オープンソースの人」なのでしょうか、ご自身ではどうお考えなのですか。
私自身は元々プログラマーです。所属もサイボウズ・ラボですから、セキュリティに携わることによって直接的な利益に結びつくわけではありません。その意味からすると、セキュリティの人ではないと考えています。
竹迫さんがセキュリティと関わりを持つようになったきっかけは何だったのでしょうか。
2005 年に講師として参加した、広島の「セキュリティもみじ」※ 5 という勉強会がきっかけです。このとき、園田氏(現サイバー大学教授)とお会いして、セキュリティキャンプの講師に誘っていただき、2006 年から講師を務めることになりました。
セキュリティもみじではどのような講演をされたのでしょうか。
当時、全文検索システムの Namazu プロジェクトに参加していたのですが、ユーザーなどから指摘される脆弱性のハンドリングシステムについて話をしました。今でこそ当たり前の話題ではありますが、当時のオープンソースコミュニティとしては初の取り組みだったと思います。
竹迫さんは SECCON 以外にも、オープンソースコミュニティの Shibuya Perl Mongers ※ 6 にも深く携わっておられます。セキュリティとオープンソース、この 2 つのコミュニティに何か違いを
感じますか。 大きな違いはメンバーの年齢層です。オープン
ソースのコミュティには多くの 20 代がいますが、セキュリティコミュティの中心は 40 代の方々です。この点に危惧を感じますね。
確かに。 そこで、若い人たちがセキュリティに触れる機
会を作りたいと考え、高知高専の先生方と協力して「セキュリティ・ジュニアキャンプ in 高知」※ 7
というイベントを開催することにしました。2 日間の合宿講座の方は中学生が対象です。
なるほど、動機は SECCON と同じなのですね。こちらについてもお話を伺いたいのですが、インタビューの時間が残り少なくなってきましたので、機会を改めさせていただきます。さて、最後の質問になりますが、竹迫さんの今後の目標などをお聞かせください。
一般論として、日本は世界から見てセキュリティの弱い国という印象を持たれています。先日の日本年金機構の事件なども世界で報じられていますし、サイバーセキュリティの製品も、そのほとんどが海外製というのが現状です。だからといって、日本には守れる技術者がいないかと言えばそうではありません。SECCON の運営を通じて、日本には優秀な学生や社会人の方が数多くいることがわかりました。そこで、こういった人たちの存在を世界に伝えていきたいと思っています。他にも、セキュリティ人材育成や教育とも関連しますが、教科書には載っていない新たな問題について、どのように教えていくか、もしくは、どのように自分で学習できる仕組みを作っていくかが課題だと思っています。その意味でも日本の若い人たちが学べる環境を学校以外で作っていきたいと思っています。CTF やセキュリティキャンプなどは学校では教えられませんからね。
今回のインタビューではさまざまな話題について伺いましたが、個々のお話は 1 本の直線としてつながっていたのですね。本日はどうもありがとうございました。
※ 5 セキュリティもみじ http://d.hatena.ne.jp/sec-momiji/※ 6 ShibuyaPerlMongers http://shibuya.pm.org/※ 7 セキュリティ・ジュニアキャンプin高知 http://www.security-camp.org/event/kochi2015.html
9
セキュリティイベントアラウンドザワールドeCrime2015(スペイン・バルセロナ)+PHDays2015(ロシア・モスクワ)
文 = 篠田佳奈
eCrime2015名称:Symposium on Electronic Crime Research(eCrime 2015) 日程:2015 年 5 月 26 日~ 29 日会場:スペイン・バルセロナ - カイシャフォーラム美術館(Caixa Forum) 主催:APWG / APWG.EUURL:https://apwg.org/apwg-events/ecrime2015/
サイバー犯罪対策の国際会議
サイバー犯罪対策関係者の国際連合体であるAPWG は、2015 年 5 月 26 日 ~ 29 日 の 4 日 間、多くの観光客で賑わうスペイン広場最寄りのカイ シ ャ フ ォ ー ラ ム 美 術 館 に て、Symposium on Electronic Crime Research (eCrime 2015) を開催しました。 eCrime 2015 では、サイバー犯罪対策にかかわる産官学の関係者が国家の壁を超えて一堂に会し、各国の脅威の状況や研究成果、また、フォレンジックの成功例といったケーススタディなどが紹介されました。 近年、サイバー犯罪は増加の一途をたどり、その手口も巧妙化しています。eCrime2015 では、急速な普及で注目を浴びるビットコインや、モバイルペイメントシステムなど新たな決済システムを使った犯罪への対策が急務として協議されると
ともに、犯罪抑止につながる公共教育や、多様な組織間の協力モデルなども議題に上がりました。
APWG とは
eCrime を主催する APWG は、業界・政府・警察を横断的に結び、サイバー犯罪対策に関する共通課題を解決するために組織された国際的連合体であり、サイバー犯罪に対応する現場と、アカデミックな研究者と、消費者のギャップを最小限にすべく努力しています。 2003 年、APWG はアンチフィッシングワーキンググループとして米国で生まれ、翌年 6 月に独立した非営利法人となりました。また、2013 年にはスペインのバルセロナに非営利な研究基盤として APWG.EU を設立しました。 APWG には、ICANN、欧州委員会、サイバー犯罪に関する欧州条約の協議会、薬物犯罪の国連事務所、欧州安全保証協力機構など、2000 を超える国際色豊かな機関がメンバーとして加盟しており、APWG 自体も、イギリスの連邦サイバー犯罪イニシアティブの委員として活動しています。
ピーター・キャシディ(PeterCassidy) APWG 事務総長へのインタビュー
--APWG 設立の目的は ? そして APWG.EU を設立した経緯は ?
ピーター・キャシディ氏(以下 P):攻撃に関する情報を知っていれば迅速に対応することが可能eCrime 2015 の会場の様子
10
です。そして、業界には情報を共有する仕組みが必要でした。APWG の最初の成果は、企業や ISPなどから連絡を受けたフィッシング報告をアンチウイルス企業やセキュリティソフト企業、ブラウザー開発企業と共有するために FTP サーバーを設置したことでした。 APWG.EU は、これまでの APWG の経験や業績を踏まえ、EU 圏内のサイバー犯罪インシデント対応にかかわる業界や大学の研究を促進する目的で設立されました。スペインのラ・カイシャ銀行のジョルディ・ヴィラ(Jordi Vila)氏は、EU 圏最大の研究・発明プログラムである Horizon2020が財政支援を受けているように、ヨーロッパにおいて深刻なサイバー犯罪を研究する人たちが集う団体にも財政的な援助が必要だと感じ、2009 年秋、米国シアトル州の国際会議開催の際、私に協力を求めてきました。 そのわずか 8 時間後、ダブリン大学の教授から「来春、アイルランドのダブリンでサイバー犯罪研究者と捜査官との会合を設けないか」と打診を受けたのです。これは何かの偶然なのか、それとも運命なのか。私はその偶然性に不思議なものを感じました。その 2 年後となる 2011 年春、APWG はサイバー犯罪に特化した国際会議
「eCrime Sync-Up」をダブリン大学にて開催しました。APWG.EU の設立はその 2 年後になります。
--APWG は、どのような人々に、どのような価値を提供していますか ?
P:日々インシデント対応される方々や捜査官たちは、何よりもまず、業務遂行のために情報が必要です。さらに重要なのは、できる限り迅速なフィッシングの報告です。APWG は、フィッシング報告の速度をあげるために、産官学を横断する多くの企業・団体と協力し、地球的規模のサイバー犯罪情報交換プラットフォームを提供しています。
--APWG の目標は ?
P:インターネットはインターネット自身が防御しなければならないと考えます。APWG と関係団体は、情報交換の完全自動化を進め、情報交換のスピードを上げていく必要があります。しかし、それは人間の経験と判断を自動化するプログラムを必要とします。サイバー犯罪はより自動化され、どれだけの人間を投入してもかなわないほど、手動での対応が追いつかないところまで来ています。したがって、攻撃をどのように自動的に検出・無効化するのか。また、サイバー犯罪の損害をどのように自動的に監査するのか、ステップバイステップで研究を進め、成果につなげていきたいと考えています。
PHDays2015名称:Positive Hack Days 2015(PHDays 2015) 日程:2015 年 5 月 26 日~ 27 日会場:ロシア・モスクワ - クラウンプラザホテル・モスクワ・ワールドトレードセンター 主催:Positive TechnologiesURL:http://www.phdays.com/
ロシア最大のセキュリティイベント
2015 年 5 月 26 日~ 27 日の 2 日間、ロシアのセキュリティ企業である Positive Technologies 主催 の Positive Hack Days 2015 (PHDays 2015) が、ロシアのモスクワにて開催されました。 Positive Technologies は、2002 年に設立されたロシア発の情報セキュリティ企業で、主要な事業は情報セキュリティ製品の開発と、セキュリティコンサルティングなどです。2015 年現在では、イギリス・インド・イタリア・アラブ首長国連邦、
アメリカ・チュニジア・韓国に拠点を構え急成長するグローバル企業です。 毎年 5 月に開催される PHDays は、2010 年に招待制のイベントとして始まりました。2013 年からは現在の会場へと移り、より多くの人も参加できるようチケット販売を取り入れ、現在では数千人が集う彼らの代表的事業の 1 つとなりました。カンファレンスは 6 トラックの構成で、2 日間で60 以上のセッションが行われ、ロシア語と英語の同時通訳も用意されています。日本人出席者は私以外に 1 人だけいたと聞いています。
11
PHDays で行われたさまざまなイベント
多種多様なコンテストも PHDays2015 の見どころの 1 つです。以下、その一部を簡単に紹介します。
・$natch:オンラインバンクウェブサービスのエクスプロイト競技
・2drunk2hack:5 分おきにウォッカショットを飲みながら WAF に守られた Web アプリをハックする競技
・Hash Runner:パスワードハッシュのクラッキング競技
・2600:コイン式の公衆電話のフリーキング競技・HackQuiz:早押しクイズ。正解者に次の問題の
選択権がある・WAF Bypass:事前に脆弱性を仕込んだ Positive
Technologies 製 WAF の バ イ パ ス を 競 う 競 技。アプリのソースコードとアプリケーションインスペクターのレポートが提供される
・Competitive Intelligence:ネットから正確で使える情報を迅速に見つける競技
・Leave ATM Alone:ATM をエクスプロイトする競技
・PHDays Cybersecurity Project Competition: サイバーセキュリティのスタートアッププロジェクトの審査を行う。Almaz Capital 主催で優勝賞金が 150 万ルーブル(約 330 万円)。
・Advantech against cyber geniuses:産業自動機械をハックする競技。秘密基地にあるロケット発射機の標的を変更して発射させるというシナリオ
・DIGITAL SUBSTATION TAKEOVER by iGRIDS: 競技用に開発された IEC61850 準拠の変電設備機器をハックする競技
各国のセキュリティカンファレンス 主催者がパネルで集結
また、Positive Technologies の CTO でもあったセルゲイ・ゴルディチェク(Sergey Gordeychik)氏から、パネリストの 1 人として、招へいされました。パネルのテーマは「国際的ホワイトハット
コミュニティの構築」。会場には、CCC(Chaos Communication Congress)や CanSecWest といった世界に名だたるセキュリティカンファレンスの主催者たちが集結し、自分がこの場にいてよいのかと恐縮してしまうほどです。 パネルは、セルゲイ氏の質問に対してパネリストが順に回答する形式で行われました。質問はロシア語から英語に翻訳されて伝えられるので、意図を解釈するのに苦労した部分もありましたが、
「カンファレンスの意味は ?」という質問に対するそれぞれのパネリストの回答を聞き、皆「人と人とが出会うことで価値を生み出す」という考え方が根底にあることがわかりました。 インシデント対応をするときなどは、技術的な情報以外にも人的ネットワークが必要で、カンファレンスで知り合った人たちと情報交換することで全体像が見え、迅速な解決につながったという例は枚挙にいとまがありませんし、カンファレンスで知り合った参加者同士が結婚した例なども
Leave ATM Alone の競技会場
Advantech against cyber geniuses の競技に使われたジオラマ
12
紹介されました。 また、「楽しさ」や「刺激」といった要素がカンファレンスの原動力になっていることにも気づかせてくれます。 は「集うことが楽しい。ekoparty には、サッカーをプレイするコーナーもある。何か情熱を持てるなら、ハックでもセキュリティでもサイバーじゃなくてもいい」と発言しています。また、ZeroNights のアレキサンダー・ポヤコヴ(Alexander Polyakov)氏は「初回の最後のセッションでゼロデイが連続で発表されたの
は圧巻だった」と言い、CCC のボーグ・アンドレア(Bogk Andreas)氏は「多様性を受け入れて楽しむ。多くの刺激を受けたい」と語りました。 南米からアジア・欧州まで多くの地域のセキュリティカンファレンスの主催者が一堂に集結することは珍しいことで、私たちは時間も忘れて語り明かしました。これが次のつながりを産んでくれることを期待しています。機会をくれたセルゲイ氏と PHDays に心から感謝します。
パネル参加者(写真左側より) セルゲイ・ゴルディチェク(SergeyGordeychik)— SCADA Strangelove、ロシア(主催側)/篠田佳奈(KanaShinoda) — CodeBlue、日本/ボーグ・アンドレア(BogkAndreas)– Chaos Communication Congress、ドイツ/アレキサンダー・ポヤコヴ(AlexanderPolyakov) — ZeroNights、ロシア/フェデリコ・キルシュバウム(FedericoKirschbaum)- ekoparty、アルゼンチン/ヴァンジェリス(Vangelis) — Power of Community、韓国/ロドリコ・ブランコ(RodrigoBranco) — H2HC、ブラジル/ドラゴス・ルジュ(DragosRuiua.k.a.DojoMama-San)— CanSecWest、カナダ
13
ハッカーやセキュリティにまつわるニュースを独自の視点から捉える時事コラム
ThreatScopeThreatScope#08徹底的なリスク分析と成長可能なセキュリティ対策
文 = エル・ケンタロウ
組織も個人もリスクを考慮した行動が必要
日本年金機構や東京商工会議所の事例など、国内において大規模な個人情報流出事件が多発しているが、これは日本だけにとどまらない。米国でも政府職員 400 万名分の個人情報が流出する事件が発生するなど、世界的に見ても増加傾向にある。 多くの事件において、その原因は組織内部の人間による犯行ではなく、標的型攻撃などによるものだというのも特徴だと言えるだろう。 組 織 が 管 理 し て い る 情 報 を 外 部 に 漏 ら さ ず100% 守りきる方法など、現在の技術や社会構造では到底実現できるものではないと、セキュリティ業界関係者のみならず多くの人が同意している。 前号の記事でも触れたダン・ギア氏の「失敗が黙殺されない考え方」では、現在セキュリティ業界で主流となっている規範自体のシフトが提唱されており、サイバー空間においては、常にリスクを踏まえた上での行動が必要不可欠となってくる。 この行動は、もちろん一般ユーザーにも当ては ま る。 フ ィ ッ シ ン グ 対 策 の 国 際 団 体 で あ るAPWG(Anti-phishing Working Group) で は、
「Stop,Think,Connect(一度立ち止まって状況を理解、結果を考えて行動する、をモットーにセキュリティと向き合うという考え方)」を提唱しており、一般ユーザーに対してリスクの可能性を考慮したネット利用の必要性を強調している。
ネット利用と運転免許を同列に語ることは 可能なのか !?
本年 5 月、スペイン・バルセロナで開催された
APWG 主催のサイバー犯罪対策国際会議「eCrime 2015」ではさまざまな講演が行われ、各国の脅威の状況が語られた。最終日には、一般ユーザーがセキュリティとどのように向き合うか、というテーマでパネルディスカッションも行われた。 このパネルで出た意見に「自動車の運転免許とインターネットの利用方法を比較する議論が多いが、この比較は必ずしも正しくない」というものがあった。両者を比較した議論では、一定の年齢に達した人が運転技術を習得すると同時に交通ルールも学ぶことにより免許証が交付される。インターネットも運転免許と同様に、参加時にセキュリティについて教育を行うべきだと主張する意見がある。 一方で、道路の渡り方や自動車の危険性といった、交通に関する安全教育は子供のころから行われており、免許を取得するからといって、急に交通安全教育を受けるわけではないと、比較論に反対する意見もある。つまり、現在の情勢ではセキュリティを考える以前からリスクについては考えるべきだという見解だ。 将来起こりうるリスクの分析や予測については、インターネットが登場する以前から、政治・軍事・金融・工学などさまざまな分野で研究されており、学問としても成熟しているが、サイバーセキュリティへの適用に関しては、いまだ確たるものが現れていないのが現状だと言えるだろう。
NASA に学ぶリスク分析とセキュリティ対応
話はそれるが、SF 映画などでは宇宙船に何らかの障害が発生し、アラートを発するも、宇宙飛行士が事態を把握できずに慌ててしまい、窮地に陥るというシーンをよく目にする。しかし、NASA(米航空宇宙局)の関係者によれば、こういった事態
14
は実際にはあり得ないのだそうだ。というのも、NASA では、宇宙飛行士のトレーニングの多くをエラー処理に費やしており、システムのエラー状況を熟知した者だけが宇宙飛行士として任務に就くことを許されるからだ。 宇宙空間という未知の領域で、さまざまなリスクと長きにわたり向き合ってきた NASA の対応は、サイバー空間で起こりうる脅威と向き合うセキュリティ業界でも見習うべき点は多いはずだ。 1986 年に発生したスペースシャトル・チャレンジャー号の爆発事故以来、NASA では確率論的リスク評価(PRA)を採用しており、宇宙での活動におけるさまざまな障害の可能性を数値化し、危険性の高い環境下でもリスクの低減および非常事態発生時の対応を明文化している。 NASA の PRA ガイドブックは NASA のリスク対策訓練教材の 1 つにしか過ぎないが、431 ページにわたり、機材のトラブルから人為的なエラーまで、さまざまなリスクを数学的に分析している。また、国際宇宙ステーション(ISS)では、ロシアと共同で開発した医療ガイドブックが採用されている。この中には抜歯から神経の衰弱により異常な行動をとる宇宙飛行士への対処方法まで、1051ページにもおよぶ対処プランが綿密に記載されている。 注目すべきは、こういった NASA のリスク対策が、決して宇宙開発事業を開始する以前から作られたものではなく、開発事業を進める中で得た経験に基づいて策定されているという点だ。NASAでは、定期的な人員・運用プロセスの訓練を活動の一環として組み込んでいる。というのも、この
日頃の訓練こそがリスク低減に大いに役立つからだ。
成長可能なセキュリティ対策とは ? 常に脅威の状況が変化するサイバー空間においても NASA と同様に、発生した事案を元にした安全な環境作り、リスクの低減、有事の際の対応向上などを生み出す定常的かつ総合的なセキュリティ対策が求められる。 現在のインシデント処理は、事件発生後に躍起になって火消しに回る対症療法的なものだと言わざるを得ない。生活習慣の改善が健康への道のりであるのと同じように、新たな脅威を常に予測しながら、要因やリソースの分析、許容可能なリスク率の計算、有事発生を想定した訓練の日常化など、さまざまな要素を組み合わせ、かつそれぞれの要素を状況に応じてアップデートできる、いわば「成長可能な対策」が今求められるセキュリティ戦略なのではないだろうか ? 特に、ルール作りにとどまらず、ルールに沿った運営体制の訓練、運用体制のチェックは重要だ。日本年金機構の事案では、本来基礎年金番号などの個人情報は情報系システムのネットワークとは切り離された基幹システムで管理されることとなっていたが、運用のルールに従わず、安易に情報系システムのファイルサーバーに保存してしまったことが根本的な原因だと言われている。残念なことではあるが、日本年金基金の事案は、これらの対策を怠った悪しき例として、これからも語られることになるだろう。
●参考 URL・ProbabilisticRiskAssessmentProceduresGuideforNASAManagersandPractitioners http://www.hq.nasa.gov/office/codeq/doctree/SP20113421.pdf・NASARisk-InformedDecisionMakingHandbook,NASA/SP-2010-576,April2010. http://www.hq.nasa.gov/office/codeq/doctree/NASA_SP2010576.pdf・NASA'sRiskManagementApproach http://www.cresp.org/RASDMU/Presentations/27_Dezfuli_NASA_presentation.pdf・InvestigationoftheChallengerAccident:ReportoftheCommitteeonScienceandTechnology,HouseReport99-1016, http://www.gpo.gov/fdsys/pkg/GPO-CRPT-99hrpt1016/pdf/GPO-CRPT-99hrpt1016.pdf・Post-ChallengerEvaluationofSpaceShuttleRiskAssessmentandManagement http://ntrs.nasa.gov/archive/nasa/casi.ntrs.nasa.gov/19880010818.pdf・StarCrazy:Plansdealwithbreakdownsinspace http://www.nbcnews.com/id/17300028/ns/technology_and_science-space/t/star-crazy-plans-deal-breakdowns-space/#.
VXT0WmCxFH0