1.5 MB

SHIELD Security Reserch Center
T
A
B
L
E
O
F
C
O
N
T
E
N
T
S
竹迫良範インタビュー ……………………………………………………………………… 3
セキュリティイベントアラウンドザワールド
eCrime2015（スペイン・バルセロナ）＋PHDays2015（ロシア・モスクワ）
…………… 9
ThreatScope ………………………………………………………………………………… 13
●はじめに
本文書は、株式会社日立システムズセキュリティリサーチセンタが運営するセキュリティ情報サイト、S.S.R.C.(Shield Security Research
Center) の公開資料です。本サイトでは、本文書のバックナンバーをはじめ、S.S.R.C. によるリサーチ結果などを随時公開しています。
S.S.R.C. http://www.shield.ne.jp/ssrc/
●ご利用条件
本文書内の文章等すべての情報掲載に当たりまして、株式会社日立システムズ（以下、「当社」といいます。）と致しましても細心の注
意を払っておりますが、その内容に誤りや欠陥があった場合にも、いかなる保証もするものではありません。本文書をご利用いただい
たことにより生じた損害につきましても、当社は一切責任を負いかねます。
本文書に記載した会社名・製品名は各社の商標または登録商標です。
本文書に掲載されている情報は、掲載した時点のものです。掲載した時点以降に変更される場合もありますので、あらかじめご了承く
ださい。
本文書の一部または全部を著作権法が定める範囲を超えて複製・転載することを禁じます。
© Hitachi Systems, Ltd. 2015. All rights reserved.
2
て
つい
長に
に
員
育成
行委
材
実
人
N
O
ティ
リ
SECC
ュ
セキ
の
日本
材 !!
取
直撃
Yosinori Takesako
竹迫良範
インタビュー
日本最大規模のセキュリティコンテスト
である CTF、2014 年度には世界各国の
ハッカーたちが集結する国際大会へと大
きな発展を遂げた。そして 2015 年、今
年度の大会もいよいよスタートを切るこ
ととなった。セキュリティ人材の不足が
叫ばれる中、SECCON は人材育成にどの
ような効果をもたらすのだろうか。実行
委員長の竹迫氏に話を伺った。
取材・文・撮影＝斉藤健一
3
この暗号を復号するのですが、成功すると、今度
は自分たちが考えた暗号アルゴリズムの Python
日本初の国際大会となった SECCON 2014
プログラムをサーバーにアップロードできるよう
）：本日はお忙しいところ時間を割
になります。この暗号が破られなければサーバー
いていただきありがとうございます。お話を伺い
を死守できますし、破られてしまえば攻守逆転と
たいテーマとしては、SECCON、セキュリティ人
なりますから、いわば陣取り合戦のようなもので
材育成、ご自身について、などを考えています。
す。
斉藤（以下
なるほど。
よろしくお願いします。
竹迫（以下
暗号解読の方法としては、地道な総当たり攻撃
）：こちらこそよろしくお願いします。
や、サーバー側のプログラム自体のバグを突く方
早速ですが、SECCON 2014 について伺います。
本年 2 月に行われた決勝戦では、優勝チームに
法などがありました。初日は皆まじめに暗号を解
DEFCON CTF へのシード権が与えられることもあ
読しようとしていたのですが、2 日目になると、
り、海外から多数の参加がありました。竹迫さん
サーバー側のプログラム自体にバグがあることが
ご自身は彼らから SECCON の印象などを聞かれた
知れ渡り、初日と 2 日目では、競技の方向性が変
のですか。
わったというのも楽しさの要因だったのかもしれ
ません。
はい。実は大会終了後に海外チームの人たちと
ありがとうございます。ところで、SECCON
観光に行きました。そのとき、彼らに正直な感想
2014 は大会史上初の国際大会となりましたが、
を聞かせてほしいと頼んだところ、多くの人から
運営ではどのような点で苦労されましたか。
「楽しかった」という答えが返ってきました。
大会の問題について、何か意見は出ましたか。
初の試みで、何もかもが手探り状態で不安もあ
海外勢から評判が良かったのが、暗号解読の問
りましたが、英語ネイティブの方にスタッフに加
題です。これは他の CTF 大会には見られない新し
わっていただくなどして対応しました。苦労した
いタイプの問題だったようで、彼らも気に入って
点は、競技の公平さを保つことでした。日本チー
くれました。
ムだけが有利にならないよう、あらかじめ競技
問題について簡単に紹介していただけますか。
ルールをきちんと文書化し、英語に翻訳して事前
出題用のサーバーには何かしらのアルゴリズム
に各チームに配布しました。また、競技中のルー
で暗号化されたテキストがあります。各チームは
ル違反についても「ルールのこの部分に抵触して
いる」と、厳格に対処できるよう準備に努めまし
た。
実際に何かルール違反はありましたか。
重大なルール違反などはありませんでした。
CTF はある意味スポーツですから、どのチームも
正々堂々とプレイしていたと思います。
SECCON 2015 の大会概要も決定 !
引き続き SECCON 2015 について伺いたいと思
います。これまでの大会と比較して何か新たな試
●竹迫良範（たけさこ・よしのり）
みなどはあるのでしょうか。
1995 年広島市立大学情報科学部入学。大学休学中にアルバイト
2014 は初の国際大会でしたが、残念なが
で Web アプリや EC サイトの構築業務に携わる。2004 年には、
ら、日本チームが優勝することはできませんで
Perl クックブック第 2 版（オライリー刊）の監訳を担当。2005 年、
した。1 位韓国（TOEFL Beginner）、2 位台湾
サイボウズ・ラボに入社、現職。2012 年より SECCON の実行委
員長を務めている。
（HITCON）、3 位米国（PPP）という結果で、日
4
SECCON 2015 開催スケジュール
日程
2015 年 8 月 26 日
10 月 24 日
11 月 7 日
11 月 8 日
11 月 28 日
12 月 5 日・6 日
2016 年 1 月 30 日
1 月 31 日
開催大会
SECCON 2015 横浜大会
SECCON 2015 広島大会
SECCON 2015 福島大会
SECCON 2015 大阪大会
SECCON 2015 九州大会
SECCON 2015 オンライン予選
SECCON 2015 決勝戦／ intercollege
SECCON 2015 決勝戦／ international
会場
パシフィコ横浜
広島市立大学
会津大学
グランフロント大阪
九州工業大学
インターネット
東京電機大学
東京電機大学
競技内容
CEDEC CHALLENGE
熱血シェルコード
サイバー甲子園【18 歳以下・学生限定】
CSIRT 演習
Attack & Defense【学生限定】
CTF 予選／英語・日本語
CTF 決勝戦／日本語
CTF 決勝戦／英語
CTF for ビギナーズ開催スケジュール
日程
2015 年 6 月 7 日
6 月 14 日
7月 4 日
7月 5 日
9 月 12 日
10 月 3 日
10 月 17 日
11 月 7 日
開催大会
CTF for ビギナーズ 2015 博多
CTF for ビギナーズ 2015 札幌
CTF for ビギナーズ 2015 東京
CTF for ビギナーズ 2015 長野
CTF for ビギナーズ 2015 熊本
CTF for ビギナーズ 2015 滋賀
CTF for ビギナーズ 2015 奈良
CTF for ビギナーズ 2015 大阪
会場
富士通株式会社
札幌市産業振興センター
東京電機大学
株式会社電算
東海大学
立命館大学
奈良先端科学技術大
大阪南港 ATC
演習内容
Attack & Defense【学生限定】
Binary, Web, CTF
Binary, Network, Web, CTF
Binary, Network, Web, CTF
Network, Web, CTF
Binary, Network, Web, CTF
Attack & Defense【学生限定】
CTF in Kansai Open Forum
本チームは binja の 4 位が最高位です。このまま
どでセキュリティを専攻するきっかけになってく
国際大会を続けていくと、日本チームが萎縮して
れるとうれしく思います。
参加しなくなるのではないか、という懸念があり
ところで、大会日程を拝見すると、福島大会の
ました。そこで 2015 では、これまでの国際大会
翌日に大阪大会が開催されるなど、かなりタイト
（international）に加え、対象を日本の学生に限定
なスケジュールですね。実行委員の方々はそれぞ
した大会（intercollege）を開催することにしま
れの大会に分散されると思いますが、記者泣かせ
した（表参照）。
だと思います（笑）。
決勝戦が 2 回行われるということでしょうか。
実は同じ時期に CTF for ビギナーズ（以下ビギ
そのとおりです。学生大会の方は、学校別の対
ナーズ）大阪大会も開催されるので、3 つのイベ
ントをほぼ同時に開催するということになります
抗戦にしたいと考えています。
過去の SECCON では地方大会が行われており、（笑）。実行委員のメンバーも今年は 40 名を超え、
各大会の優勝チームが決勝戦に進めました。この
層が厚くなってきましたから、3 つ同時でも運営
仕組みも変わるのでしょうか。
できるようになりました。協力していただいてい
る実行委員の方々には本当に感謝しています。
はい。いくつかの地方大会が、学生限定のもの
他にも、ビギナーズの大会数が増えていますが、
になりますから、ここで優勝したチームは学生大
これも 2015 の特徴の 1 つなのでしょうか。
会へ進むこととなります。学生・社会人ともに参
加できる地方大会やオンライン予選においても、
はい。これまでのビギナーズは、SECCON に参
学校名でチーム登録して上位入賞を果たせれば、
加する学生有志による勉強会という位置付けでし
学生大会に進むことができます。また、会津大学
たが、今年からは SECCON の公式イベントとして
で行われる福島大会は「サイバー甲子園」と銘打
取り組んでいくことにしました。今年は新たに、
ち、18 歳以下の学生限定としました。私たちの
攻防戦（Attack & Defense）を体験できる演習も
世代は、社会人になってから業務上の理由など
用意しました。
で、セキュリティの勉強を始めた人がほとんどで
SECCON 地方大会の競技内容やビギナーズの演
すが、現在ではもっと早い時期からセキュリティ
習内容はどのように決められているのでしょうか。
実行委員の中での話し合いによって決まりま
について学んでほしいと考えています。ですから、
すが、「熱血シェルコード」のように、委員の強
この大会が若い人たちにとって、大学や大学院な
5
果をプレゼンテーションしてもらう予定です。
い希望で実施されるものもあります。昨年は x86
リモート Exploit の演習を行いましたが、今年は
ということは、プレゼンテーションの優劣が勝
x86 に限らず、ARM をはじめとした他のアーキテ
敗を分けるということになるのですね。
クチャーも扱うようにしました。
そのとおりです。実はこれには予習をしてもら
うこと以外の狙いもあります。参加者の多くは技
確かに。ARM アーキテクチャーは、他の CTF
術系の方々ですが、これからは技術に詳しくない
大会でもよく使われますからね。
横浜大会の「CEDEC CHALLENGE」も大きく変
人に向けて、サイバー脅威などをわかりやすく伝
わります。この大会はゲーム開発者向けの CEDEC
える能力も求められてくると思っているのです。
というカンファレンスと提携しているのですが、
実務者と会社の経営層などをつなぐ人材の育成
競技では、参加者にゲームのチートに挑戦しても
が重要だと言われていますから、プレゼンテーショ
らおうと考えています。参加者にパッキング（難
ンを審査するというのは、興味深い取り組みだと
読化）された Android アプリを配布し、コードに
思います。ちなみに、SECCON の参加者、主に学
含まれる脆弱性を探してチートしてもらいます。
生の方になると思うのですが、大会後にセキュリ
こちらも担当の実行委員の方が中心となっていま
ティ業界へ就職した例などはあるのでしょうか。
す。
はい。2012 年に参加した方が協賛企業に就職
した事例を聞いています。他の例としては、やは
私自身、2 年ほど前に横浜大会を取材したこ
とがあります。このときはカンファレンスの一角
り 2012 年に参加した方ですが、サイボウズの QA
を使ったゲーム大会といった印象を持ったのです
（Quality Assurance：品質管理）部門に就職し、製
が、今年の大会概要を聞いて、よりカンファレン
品の脆弱性を調査したり、仕様どおり動作するか
スとの親和性が増したように思いました。
チェックを行ったりしています。SECCON では、シ
これはゲーム業界を取り巻く環境の変化も影響
ルバースポンサー以上の企業向けに、参加者へのイ
していると思います。オンラインゲームのチート
ンターシップの案内や、懇親会など参加者との交流
問題は以前から存在していましたが、各メーカー
の場を提供していますから、これがきっかけとなっ
とも非公開で独自の対応をしていました。しかし、
た現在進行形の就職活動の話も耳にしています。
現在においては問題が大きくなりすぎ、メーカー
同士が協調して対策を行う必要性が出てきている
人材育成としての CTF
のだと思います。
次にセキュリティ人材の育成について伺いたい
と思います。先ほどのサイバー甲子園で、大学・
SECCON 2015 に込めた実行委員会の思い
大学院でセキュリティを学ぶという話題が出まし
次に視点を変えて質問します。今年の SECCON
たが、セキュリティ分野における大学教育が、こ
では、これまで運営されてきて得た反省や教訓な
こ数年でどの程度変化してきたのか、ご存じであ
どを活かした点などはありますか。
れば教えていただけますか。
実行委員会が憂慮しているのは、はじめて出場
大きく 2 つの取り組みがあると思います。1 つ
する参加者が、大会で何もできないまま競技を終
は学生のセキュリティリテラシーを向上させる取
えてしまうことです。これではその後のステップ
り組み。もう 1 つは実践的なセキュリティを学ぶ
につながっていきませんから、大会前に予習でき
取り組みです。前者の例としては九州大がセキュ
る内容にしようと考えました。これまでは、当日
リティを教養課程のカリキュラムに取り入れてい
に現地に行かないと何をするのかわからない状況
ます。岡山理科大学でも SECCON の母体である
でしたが、今年から参加者に向けて競技内容を告
JNSA（日本ネットワークセキュリティ協会）の
知していきたいと考えています。横浜大会を例に
教育部会と連携して授業を行っています。
挙げれば、おそらく数ヵ月前に問題を公開して、
なるほど。
参加者に事前に攻略してもらい、大会ではその結
一方、セキュリティの実践的な教育の場は大
6
私は考えています。
学院になるかと思います。文部科学省の取り組み
の 1 つに enPiT（エンピット） ※ 1 というプログ
改めて考えてみれば。おっしゃるとおりですね。
ラムがあります。これは、最先端の情報技術を実
個人的には、CTF も人材を教育する手段の 1 つにす
践的に活用できる人材育成を目指した教育ネット
ぎないのではないか、と考えています。日本で見れ
ワーク形成事業です。クラウドコンピューティン
ば、他にも Hardening Project ※ 2 や白浜シンポジウ
グ、組込みシステムなどと共に、セキュリティの
ムで開催される情報危機管理コンテスト※ 3 などが
分野も対象となっています。奈良先端科学技術大
あります。ですが、現状では CTF ばかりがマスコ
学院大学、慶応大学、東北大学など 5 つの大学が
ミに取り上げられ、CTF の特徴である攻撃者視点
中心となっているのですが、最近ではこれらの大
のゲーム性から、議論があらぬ方向に向かってい
学以外の学生でも受講できるようになりました。
るようにも思えます。ただ、この点については、
SECCON の参加者の中にも受講者がおり、盛り上
自戒も込めて、伝える側の責任もあると思ってい
がっているという話を聞いています。
ます。マスコミはもっとセキュリティ人材育成の
全体像を見せるべきですね。
それはよい取り組みです。引き続きになります
が、
「現在セキュリティ技術者が 8 万人不足してい
私も CTF だけが、セキュリティ業界でのキャ
る」
とか、
「CTF が人材育成に役立つ」
といったニュー
リアパスを決めるものではないと感じています。
スが、新聞紙面やニュースなどで報じられていま
SECCON では他のコンテストとの連携を強化して
す。ただ、求められる技術者の具体的なスキルや
います。2014 では、オンライン予選で 1 位通過
CTF の教育効果など、さらに掘り下げた記事など
したチームを、情報処理学会が主催するマルウェ
を目にしたことがなく、個人的には少しモヤモヤ
ア解析コンテストである MWS Cup ※ 4 に派遣し
しています。竹迫さんご自身は SECCON を運営し
たり、逆に MWS Cup の優勝チームを SECCON
ていて、CTF の効果をどのように見ていますか。
の決勝戦に招へいしたりしました。Hardening
まず、CTF という取り組みは日本に限ったも
Project についても、6 月に行われる大会に binja
のではなく、世界各国で行われています。最初
が出場する予定です。さまざまな性質のコンテス
の CTF は 20 年ほど前に、米国の DEFCON で行
トに参加してみて、今後自分が身につけたい技術
われたと聞きます。会場にはその当時最新だった
とは何か、考えるきっかけになるといいですね。
Windows マシンが置かれ、参加者がそのマシン
攻防戦の経験値の高い binja の人たちが、
の脆弱性を探し出すものだったそうです。当時か
Hardening Project でどこまで守れるのか、注目
ら「自称ハッカー」は相当いたそうで、CTF は、ハッ
したいと思います。さて、私自身、これまでの取
カーの能力を数値化することを目的に始められた
材で興味深いと感じたのが、SECCON 全国大会カ
といいます。
ンファレンスで行われた、富士通の佳山氏や NTT
コムセキュリティの羽田氏の講演でした。どちら
確かに。ハッカーの能力を測る基準というのは
の講演も、社内で CTF を行ったところ、情報セキュ
ありませんからね。
リティに必要なスキルセットを持った人材を発掘
また、クイズ形式の CTF では、問題はジャン
することができた、という内容でした。
ルごとに分かれています。ですから、例えばリバー
スエンジニアリングに強いチーム、ネットワーク
確かに大企業になると社員の方も大勢います
に詳しいチーム、といった傾向なども見えてきま
から、社内でセキュリティ人材を確保しなくて
す。そういう意味で CTF とは、自分の現在のハッ
はならない場合、そういったスキルセットを持っ
キング能力がどのあたりにあるのかわかる 1 つの
た社員を探す基準や尺度はこれまでありませんで
基準であり、それ以上でもそれ以下でもない、と
した。ですから、社内でセキュリティコンテスト
※ 1 enPiT　http://www.enpit.jp/
※ 2 Hardening Project　http://wasforum.jp/hardening-project/
※ 3 第 19 回サイバー犯罪に関する白浜シンポジウム＆第 10 回情報危機管理コンテスト　http://www.riis.or.jp/symposium19/
※ 4 マルウェア対策研究人材育成ワークショップ 2014　http://www.iwsec.org/mws/2014/
7
感じますか。
をやってみたところ、例えばスーパーコンピュー
ターの開発に携わる人、ネットワーク運用に携
大きな違いはメンバーの年齢層です。オープン
わっている人など、社内の思わぬ部署にすごい人
ソースのコミュティには多くの 20 代がいますが、
材がいたことなどがわかったそうです。これは
セキュリティコミュティの中心は 40 代の方々で
CTF の面白い効果だと思います。
す。この点に危惧を感じますね。
確かに。
若い人たちがセキュリティについて
学べる環境を作りたい !
そこで、若い人たちがセキュリティに触れる機
会を作りたいと考え、高知高専の先生方と協力し
て「セキュリティ・ジュニアキャンプ in 高知」※ 7
最後に竹迫さん個人について伺いたいと思いま
というイベントを開催することにしました。2 日間
す。率直に、竹迫さんは「セキュリティの人」な
の合宿講座の方は中学生が対象です。
のでしょうか、それとも「オープンソースの人」
なるほど、動機は SECCON と同じなのですね。
なのでしょうか、ご自身ではどうお考えなのです
こちらについてもお話を伺いたいのですが、イン
か。
タビューの時間が残り少なくなってきましたの
私自身は元々プログラマーです。所属もサイボ
で、機会を改めさせていただきます。さて、最後
ウズ・ラボですから、セキュリティに携わること
の質問になりますが、竹迫さんの今後の目標など
によって直接的な利益に結びつくわけではありま
をお聞かせください。
せん。その意味からすると、セキュリティの人で
一般論として、日本は世界から見てセキュリ
はないと考えています。
ティの弱い国という印象を持たれています。先
日の日本年金機構の事件なども世界で報じられて
竹迫さんがセキュリティと関わりを持つように
いますし、サイバーセキュリティの製品も、その
なったきっかけは何だったのでしょうか。
ほとんどが海外製というのが現状です。だからと
2005 年に講師として参加した、広島の「セキュ
リティもみじ」※ 5 という勉強会がきっかけです。
いって、日本には守れる技術者がいないかと言え
このとき、園田氏（現サイバー大学教授）とお会
ばそうではありません。SECCON の運営を通じて、
いして、セキュリティキャンプの講師に誘ってい
日本には優秀な学生や社会人の方が数多くいるこ
ただき、2006 年から講師を務めることになりま
とがわかりました。そこで、こういった人たちの
した。
存在を世界に伝えていきたいと思っています。他
にも、セキュリティ人材育成や教育とも関連しま
セキュリティもみじではどのような講演をされ
すが、教科書には載っていない新たな問題につい
たのでしょうか。
当時、全文検索システムの Namazu プロジェ
て、どのように教えていくか、もしくは、どのよ
クトに参加していたのですが、ユーザーなどから
うに自分で学習できる仕組みを作っていくかが課
指摘される脆弱性のハンドリングシステムについ
題だと思っています。その意味でも日本の若い人
て話をしました。今でこそ当たり前の話題ではあ
たちが学べる環境を学校以外で作っていきたいと
りますが、当時のオープンソースコミュニティと
思っています。CTF やセキュリティキャンプなど
しては初の取り組みだったと思います。
は学校では教えられませんからね。
竹迫さんは SECCON 以外にも、オープンソー
今回のインタビューではさまざまな話題につい
スコミュニティの Shibuya Perl Mongers ※ 6 にも
て伺いましたが、個々のお話は 1 本の直線として
深く携わっておられます。セキュリティとオープ
つながっていたのですね。本日はどうもありがと
ンソース、この 2 つのコミュニティに何か違いを
うございました。
※ 5 セキュリティもみじ　http://d.hatena.ne.jp/sec-momiji/
※ 6 Shibuya Perl Mongers　http://shibuya.pm.org/
※ 7 セキュリティ・ジュニアキャンプ in 高知　http://www.security-camp.org/event/kochi2015.html
8
セキュリティイベント
アラウンドザワールド
eCrime2015
（スペイン・バルセロナ）＋PHDays2015
（ロシア・モスクワ）
文 = 篠田佳奈
eCrime2015
名称：Symposium on Electronic Crime Research（eCrime 2015）
会場：スペイン・バルセロナ - カイシャフォーラム美術館（Caixa Forum）
URL：https://apwg.org/apwg-events/ecrime2015/
日程：2015 年 5 月 26 日～ 29 日
主催：APWG ／ APWG.EU
ともに、犯罪抑止につながる公共教育や、多様な
組織間の協力モデルなども議題に上がりました。
サイバー犯罪対策の国際会議
APWG とは
サイバー犯罪対策関係者の国際連合体である
APWG は、2015 年 5 月 26 日～ 29 日の 4 日間、
多くの観光客で賑わうスペイン広場最寄りのカ
eCrime を主催する APWG は、業界・政府・警
イシャフォーラム美術館にて、Symposium on
察を横断的に結び、サイバー犯罪対策に関する共
Electronic Crime Research (eCrime 2015) を開催し
通課題を解決するために組織された国際的連合体
ました。
であり、サイバー犯罪に対応する現場と、アカデ
eCrime 2015 では、サイバー犯罪対策にかかわ
ミックな研究者と、消費者のギャップを最小限に
る産官学の関係者が国家の壁を超えて一堂に会
すべく努力しています。
し、各国の脅威の状況や研究成果、また、フォレ
2003 年、APWG はアンチフィッシングワーキ
ンジックの成功例といったケーススタディなどが
ンググループとして米国で生まれ、翌年 6 月に独
紹介されました。
立した非営利法人となりました。また、2013 年
近年、サイバー犯罪は増加の一途をたどり、そ
にはスペインのバルセロナに非営利な研究基盤と
の手口も巧妙化しています。eCrime2015 では、
して APWG.EU を設立しました。
急速な普及で注目を浴びるビットコインや、モバ
APWG には、ICANN、欧州委員会、サイバー犯
イルペイメントシステムなど新たな決済システム
罪に関する欧州条約の協議会、薬物犯罪の国連事
を使った犯罪への対策が急務として協議されると
務所、欧州安全保証協力機構など、2000 を超え
る国際色豊かな機関がメンバーとして加盟してお
り、APWG 自体も、イギリスの連邦サイバー犯罪
イニシアティブの委員として活動しています。
ピーター・キャシディ（PeterCassidy）
APWG 事務総長へのインタビュー
--APWG 設立の目的は ?　そして APWG.EU を設
立した経緯は ?
ピーター・キャシディ氏（以下 P）：攻撃に関す
る情報を知っていれば迅速に対応することが可能
eCrime 2015 の会場の様子
9
です。そして、業界には情報を共有する仕組みが
--APWG は、どのような人々に、どのような価
必要でした。APWG の最初の成果は、企業や ISP
値を提供していますか ?
などから連絡を受けたフィッシング報告をアンチ
ウイルス企業やセキュリティソフト企業、ブラウ
P：日々インシデント対応される方々や捜査官
ザー開発企業と共有するために FTP サーバーを設
たちは、何よりもまず、業務遂行のために情報が
置したことでした。
必要です。さらに重要なのは、できる限り迅速な
APWG.EU は、これまでの APWG の経験や業績
フィッシングの報告です。APWG は、フィッシ
を踏まえ、EU 圏内のサイバー犯罪インシデント
ング報告の速度をあげるために、産官学を横断す
対応にかかわる業界や大学の研究を促進する目的
る多くの企業・団体と協力し、地球的規模のサイ
で設立されました。スペインのラ・カイシャ銀行
バー犯罪情報交換プラットフォームを提供してい
のジョルディ・ヴィラ（Jordi Vila）氏は、EU 圏
ます。
最大の研究・発明プログラムである Horizon2020
--APWG の目標は ?
が財政支援を受けているように、ヨーロッパにお
いて深刻なサイバー犯罪を研究する人たちが集う
団体にも財政的な援助が必要だと感じ、2009 年秋、
P：インターネットはインターネット自身が防
米国シアトル州の国際会議開催の際、私に協力を
御しなければならないと考えます。APWG と関係
求めてきました。
団体は、情報交換の完全自動化を進め、情報交換
そのわずか 8 時間後、ダブリン大学の教授か
のスピードを上げていく必要があります。しかし、
ら「来春、アイルランドのダブリンでサイバー犯
それは人間の経験と判断を自動化するプログラム
罪研究者と捜査官との会合を設けないか」と打診
を必要とします。サイバー犯罪はより自動化され、
を受けたのです。これは何かの偶然なのか、そ
どれだけの人間を投入してもかなわないほど、手
れとも運命なのか。私はその偶然性に不思議な
動での対応が追いつかないところまで来ていま
ものを感じました。その 2 年後となる 2011 年
す。したがって、攻撃をどのように自動的に検出・
春、APWG はサイバー犯罪に特化した国際会議
無効化するのか。また、サイバー犯罪の損害をど
「eCrime Sync-Up」をダブリン大学にて開催しま
のように自動的に監査するのか、ステップバイス
した。APWG.EU の設立はその 2 年後になります。
テップで研究を進め、成果につなげていきたいと
考えています。
PHDays 2015
名称：Positive Hack Days 2015（PHDays 2015）
日程：2015 年 5 月 26 日～ 27 日
会場：ロシア・モスクワ - クラウンプラザホテル・モスクワ・ワールドトレードセンター
URL：http://www.phdays.com/
主催：Positive Technologies
アメリカ・チュニジア・韓国に拠点を構え急成長
ロシア最大のセキュリティイベント
するグローバル企業です。
毎年 5 月に開催される PHDays は、2010 年に
2015 年 5 月 26 日～ 27 日の 2 日間、ロシアの
招待制のイベントとして始まりました。2013 年
セキュリティ企業である Positive Technologies 主
からは現在の会場へと移り、より多くの人も参加
催の Positive Hack Days 2015 (PHDays 2015) が、
できるようチケット販売を取り入れ、現在では数
ロシアのモスクワにて開催されました。
千人が集う彼らの代表的事業の 1 つとなりました。
Positive Technologies は、2002 年に設立された
カンファレンスは 6 トラックの構成で、2 日間で
ロシア発の情報セキュリティ企業で、主要な事業
60 以上のセッションが行われ、ロシア語と英語の
は情報セキュリティ製品の開発と、セキュリティ
同時通訳も用意されています。日本人出席者は私
コンサルティングなどです。2015 年現在では、
以外に 1 人だけいたと聞いています。
イギリス・インド・イタリア・アラブ首長国連邦、
10
PHDays で行われたさまざまなイベント
多種多様なコンテストも PHDays2015 の見どこ
ろの 1 つです。以下、その一部を簡単に紹介します。
・$natch：オンラインバンクウェブサービスのエ
クスプロイト競技
・2drunk2hack：5 分おきにウォッカショットを飲
みながら WAF に守られた Web アプリをハック
する競技
・Hash Runner：パスワードハッシュのクラッキ
Leave ATM Alone の競技会場
ング競技
・2600：コイン式の公衆電話のフリーキング競技
・HackQuiz：早押しクイズ。正解者に次の問題の
選択権がある
・WAF Bypass：事前に脆弱性を仕込んだ Positive
Technologies 製 WAF のバイパスを競う競技。
アプリのソースコードとアプリケーションイン
スペクターのレポートが提供される
・Competitive Intelligence：ネットから正確で使
える情報を迅速に見つける競技
・Leave ATM Alone：ATM をエクスプロイトする
競技
Advantech against cyber geniuses の競技に使われたジオラマ
・PHDays Cybersecurity Project Competition：サ
コミュニティの構築」。会場には、CCC（Chaos
イバーセキュリティのスタートアッププロジェ
Communication Congress）や CanSecWest といっ
クトの審査を行う。Almaz Capital 主催で優勝賞
た世界に名だたるセキュリティカンファレンスの
金が 150 万ルーブル（約 330 万円）。
主催者たちが集結し、自分がこの場にいてよいの
・Advantech against cyber geniuses：産業自動機
かと恐縮してしまうほどです。
械をハックする競技。秘密基地にあるロケット
パネルは、セルゲイ氏の質問に対してパネリス
発射機の標的を変更して発射させるというシナ
トが順に回答する形式で行われました。質問はロ
リオ
シア語から英語に翻訳されて伝えられるので、意
・DIGITAL SUBSTATION TAKEOVER by iGRIDS：競
技用に開発された IEC61850 準拠の変電設備機
図を解釈するのに苦労した部分もありましたが、
「カンファレンスの意味は ?」という質問に対する
器をハックする競技
それぞれのパネリストの回答を聞き、皆「人と人
とが出会うことで価値を生み出す」という考え方
各国のセキュリティカンファレンス
が根底にあることがわかりました。
主催者がパネルで集結
インシデント対応をするときなどは、技術的な
情報以外にも人的ネットワークが必要で、カン
また、Positive Technologies の CTO でもあった
ファレンスで知り合った人たちと情報交換するこ
セルゲイ・ゴルディチェク（Sergey Gordeychik）
とで全体像が見え、迅速な解決につながったとい
氏から、パネリストの 1 人として、招へいされま
う例は枚挙にいとまがありませんし、カンファレ
した。パネルのテーマは「国際的ホワイトハット
ンスで知り合った参加者同士が結婚した例なども
11
パネル参加者（写真左側より）セルゲイ・ゴルディチェク（Sergey Gordeychik）— SCADA Strangelove、ロシア（主催側）／篠田佳
奈（Kana Shinoda）— CodeBlue、日本／ボーグ・アンドレア（Bogk Andreas）– Chaos Communication Congress、ドイツ／アレキサ
ンダー・ポヤコヴ（Alexander Polyakov）— ZeroNights、ロシア／フェデリコ・キルシュバウム（Federico Kirschbaum）- ekoparty、
アルゼンチン／ヴァンジェリス（Vangelis）— Power of Community、韓国／ロドリコ・ブランコ（Rodrigo Branco）— H2HC、ブラ
ジル／ドラゴス・ルジュ（Dragos Ruiu a.k.a. Dojo Mama-San）— CanSecWest、カナダ
紹介されました。
は圧巻だった」と言い、CCC のボーグ・アンドレ
また、「楽しさ」や「刺激」といった要素がカ
ア（Bogk Andreas）氏は「多様性を受け入れて楽
ンファレンスの原動力になっていることにも気
しむ。多くの刺激を受けたい」と語りました。
づかせてくれます。　は「集うことが楽しい。
南米からアジア・欧州まで多くの地域のセキュ
ekoparty には、サッカーをプレイするコーナーも
リティカンファレンスの主催者が一堂に集結する
ある。何か情熱を持てるなら、ハックでもセキュ
ことは珍しいことで、私たちは時間も忘れて語り
リティでもサイバーじゃなくてもいい」と発言し
明かしました。これが次のつながりを産んでくれ
ています。また、ZeroNights のアレキサンダー・
ることを期待しています。機会をくれたセルゲイ
ポヤコヴ（Alexander Polyakov）氏は「初回の最
氏と PHDays に心から感謝します。
後のセッションでゼロデイが連続で発表されたの
12
ハッカーやセキュリティにまつわるニュースを独自の視点から捉える時事コラム
ThreatScope
#08徹底的なリスク分析と成長可能なセキュリティ対策
文 = エル・ケンタロウ
APWG 主催のサイバー犯罪対策国際会議「eCrime
組織も個人もリスクを考慮した行動が必要
2015」ではさまざまな講演が行われ、各国の脅
威の状況が語られた。最終日には、一般ユーザー
日本年金機構や東京商工会議所の事例など、国
がセキュリティとどのように向き合うか、という
内において大規模な個人情報流出事件が多発して
テーマでパネルディスカッションも行われた。
いるが、これは日本だけにとどまらない。米国で
このパネルで出た意見に「自動車の運転免許と
も政府職員 400 万名分の個人情報が流出する事件
インターネットの利用方法を比較する議論が多い
が発生するなど、世界的に見ても増加傾向にある。
が、この比較は必ずしも正しくない」というもの
多くの事件において、その原因は組織内部の人
があった。両者を比較した議論では、一定の年齢
間による犯行ではなく、標的型攻撃などによるも
に達した人が運転技術を習得すると同時に交通
のだというのも特徴だと言えるだろう。
ルールも学ぶことにより免許証が交付される。イ
組織が管理している情報を外部に漏らさず
ンターネットも運転免許と同様に、参加時にセ
100% 守りきる方法など、現在の技術や社会構造
キュリティについて教育を行うべきだと主張する
では到底実現できるものではないと、セキュリ
意見がある。
ティ業界関係者のみならず多くの人が同意してい
一方で、道路の渡り方や自動車の危険性といっ
る。
た、交通に関する安全教育は子供のころから行わ
前号の記事でも触れたダン・ギア氏の「失敗が
れており、免許を取得するからといって、急に交
黙殺されない考え方」では、現在セキュリティ業
通安全教育を受けるわけではないと、比較論に反
界で主流となっている規範自体のシフトが提唱さ
対する意見もある。つまり、現在の情勢ではセキュ
れており、サイバー空間においては、常にリスク
リティを考える以前からリスクについては考える
を踏まえた上での行動が必要不可欠となってく
べきだという見解だ。
る。
将来起こりうるリスクの分析や予測について
この行動は、もちろん一般ユーザーにも当て
は、インターネットが登場する以前から、政治・
はまる。フィッシング対策の国際団体である
軍事・金融・工学などさまざまな分野で研究され
APWG（Anti-phishing Working Group）では、
ており、学問としても成熟しているが、サイバー
「Stop,Think,Connect（一度立ち止まって状況を理
セキュリティへの適用に関しては、いまだ確たる
解、結果を考えて行動する、をモットーにセキュ
ものが現れていないのが現状だと言えるだろう。
リティと向き合うという考え方）」を提唱してお
り、一般ユーザーに対してリスクの可能性を考慮
NASA に学ぶリスク分析とセキュリティ対応
したネット利用の必要性を強調している。
話はそれるが、SF 映画などでは宇宙船に何らか
ネット利用と運転免許を同列に語ることは
の障害が発生し、アラートを発するも、宇宙飛行
可能なのか !?
士が事態を把握できずに慌ててしまい、窮地に陥
るというシーンをよく目にする。しかし、NASA
（米
本年 5 月、スペイン・バルセロナで開催された
航空宇宙局）の関係者によれば、こういった事態
13
は実際にはあり得ないのだそうだ。というのも、
日頃の訓練こそがリスク低減に大いに役立つから
NASA では、宇宙飛行士のトレーニングの多くを
だ。
エラー処理に費やしており、システムのエラー状
況を熟知した者だけが宇宙飛行士として任務に就
成長可能なセキュリティ対策とは ?
くことを許されるからだ。
宇宙空間という未知の領域で、さまざまなリス
常に脅威の状況が変化するサイバー空間におい
クと長きにわたり向き合ってきた NASA の対応は、
ても NASA と同様に、発生した事案を元にした
サイバー空間で起こりうる脅威と向き合うセキュ
安全な環境作り、リスクの低減、有事の際の対応
リティ業界でも見習うべき点は多いはずだ。
向上などを生み出す定常的かつ総合的なセキュリ
1986 年に発生したスペースシャトル・チャレ
ティ対策が求められる。
ンジャー号の爆発事故以来、NASA では確率論的
現在のインシデント処理は、事件発生後に躍起
リスク評価（PRA）を採用しており、宇宙での活
になって火消しに回る対症療法的なものだと言わ
動におけるさまざまな障害の可能性を数値化し、
ざるを得ない。生活習慣の改善が健康への道のり
危険性の高い環境下でもリスクの低減および非常
であるのと同じように、新たな脅威を常に予測し
事態発生時の対応を明文化している。
ながら、要因やリソースの分析、許容可能なリス
NASA の PRA ガイドブックは NASA のリスク対
ク率の計算、有事発生を想定した訓練の日常化な
策訓練教材の 1 つにしか過ぎないが、431 ページ
ど、さまざまな要素を組み合わせ、かつそれぞれ
にわたり、機材のトラブルから人為的なエラーま
の要素を状況に応じてアップデートできる、いわ
で、さまざまなリスクを数学的に分析している。
ば「成長可能な対策」が今求められるセキュリティ
また、国際宇宙ステーション（ISS）では、ロシア
戦略なのではないだろうか ?
と共同で開発した医療ガイドブックが採用されて
特に、ルール作りにとどまらず、ルールに沿っ
いる。この中には抜歯から神経の衰弱により異常
た運営体制の訓練、運用体制のチェックは重要
な行動をとる宇宙飛行士への対処方法まで、1051
だ。日本年金機構の事案では、本来基礎年金番号
ページにもおよぶ対処プランが綿密に記載されて
などの個人情報は情報系システムのネットワーク
いる。
とは切り離された基幹システムで管理されること
注目すべきは、こういった NASA のリスク対策
となっていたが、運用のルールに従わず、安易に
が、決して宇宙開発事業を開始する以前から作ら
情報系システムのファイルサーバーに保存してし
れたものではなく、開発事業を進める中で得た経
まったことが根本的な原因だと言われている。残
験に基づいて策定されているという点だ。NASA
念なことではあるが、日本年金基金の事案は、こ
では、定期的な人員・運用プロセスの訓練を活動
れらの対策を怠った悪しき例として、これからも
の一環として組み込んでいる。というのも、この
語られることになるだろう。
●参考 URL
・Probabilistic Risk Assessment Procedures Guide for NASA Managers and Practitioners
http://www.hq.nasa.gov/office/codeq/doctree/SP20113421.pdf
・NASA Risk-Informed Decision Making Handbook, NASA/SP-2010-576, April 2010.
http://www.hq.nasa.gov/office/codeq/doctree/NASA_SP2010576.pdf
・NASA's Risk Management Approach
http://www.cresp.org/RASDMU/Presentations/27_Dezfuli_NASA_presentation.pdf
・Investigation of the Challenger Accident: Report of the Committee on Science and Technology, House Report 99-1016,
http://www.gpo.gov/fdsys/pkg/GPO-CRPT-99hrpt1016/pdf/GPO-CRPT-99hrpt1016.pdf
・Post-Challenger Evaluation of Space Shuttle Risk Assessment and Management
http://ntrs.nasa.gov/archive/nasa/casi.ntrs.nasa.gov/19880010818.pdf
・Star Crazy: Plans deal with breakdowns in space
http://www.nbcnews.com/id/17300028/ns/technology_and_science-space/t/star-crazy-plans-deal-breakdowns-space/#.
VXT0WmCxFH0
14

Download Report