Comments
Description
Transcript
1.6 MB
SHIELD Security Reserch Center T A B L E O F C O N T E N T S カルステン・ノールインタビュー ………………………………………………………… 3 SECCONCTF2014 全国大会レポート ……………………………………………………… 8 ThreatScope ………………………………………………………………………………… 14 ●はじめに 本文書は、株式会社日立システムズ セキュリティリサーチセンタが運営するセキュリティ情報サイト、S.S.R.C.(Shield Security Research Center) の公開資料です。本サイトでは、本文書のバックナンバーをはじめ、S.S.R.C. によるリサーチ結果などを随時公開しています。 S.S.R.C. http://www.shield.ne.jp/ssrc/ ●ご利用条件 本文書内の文章等すべての情報掲載に当たりまして、株式会社日立システムズ(以下、「当社」といいます。)と致しましても細心の注 意を払っておりますが、その内容に誤りや欠陥があった場合にも、いかなる保証もするものではありません。本文書をご利用いただい たことにより生じた損害につきましても、当社は一切責任を負いかねます。 本文書に記載した会社名・製品名は各社の商標または登録商標です。 本文書に掲載されている情報は、掲載した時点のものです。掲載した時点以降に変更される場合もありますので、あらかじめご了承く ださい。 本文書の一部または全部を著作権法が定める範囲を超えて複製・転載することを禁じます。 © Hitachi Systems, Ltd. 2015. All rights reserved. 2 インタビュー 本年 2 月、エドワード・スノーデンが暴露した資料から新たな疑惑 が浮上した。その内容は NSA と GCHQ が SIM カードメーカーである Gemalto 社のネットワークに侵入し、SIM カードの暗号キーを大量に盗 み出したというものだ。真相は藪の中だが、世間の注目が SIM カードに 集まったことだけは間違いない。そこで今回は 2013 年の BlackHat USA において「Rooting SIM card(SIM カードの乗っ取り)」と題する講演を 行ったカルステン・ノール氏のインタビューをお届けする。いささかの 古さは否めないが、SIM カードのセキュリティについて知ることができ る。SIM カードの問題を考える上での一助となることを願っている。 ●インタビュー = 笠原利香 ●写真 + 構成 = 斉藤健一 3 ?? 影響を受ける端末は約7億5000万台 カルステン・ノール SIMカードに感染するマルウェアの実態とは Karsten Nohl !? いるようですが、活動の拠点はドイツなのですか ? そのとおりです。僕はドイツ生まれで、バージ SIM カードにマルウェアが感染する !? ニア大学へ留学したのです。専攻は電気工学とコ 笠 原 利 香( 以 下 ンピューター科学。博士号(Ph.D.)も米国で取得 ): は じ め ま し て。 今 回 の しました。 BlackHat において、SIM カードへの攻撃について 講演されていますが、本日はこの話題について伺 承知しました。では、講演された SIM カードへ いたいと思っています。Google であなたについ の攻撃について、説明していただけますか? て調べたところ、以前に GPRS(GSM でのデータ 結論を先に言ってしまうと、この研究は、SIM 通信)の研究もされていたようですね。 カードにマルウェアを感染させるものです。たと カルステン・ノール(以下 ):はい。GPRS に えるなら、Windows95 のような古い世代の PC を 限らず、他の研究者と協力して、モバイル全般の ターゲットにして、その IP アドレスへ直接パケッ 研究を行っています。多くの人に使われている技 トを送ることで、マルウェアに感染させてしまう 術のセキュリティを研究し、脆弱な部分を公表し ようなものです。 ていくことで、より安全な社会作りに貢献してい なるほど。何かの脆弱性を利用しているのです きたいと考えているのです。 ね。 経歴を拝見するとアメリカの大学を卒業されて そうです。ただ PC とは異なり、SIM カードの 場合はソフトウェアの脆弱性というよりも、SIM カードの暗号化方式と通信の仕組みに問題がある といった方がいいかもしれません。研究の過程で、 何社もの SIM カードでテストを行いましたが、多 くの製品で問題があることがわかりました。その 影響を考えると業界の責任は重大だと思います。 講演に際して、業界へは報告されたのでしょう か? はい。業界団体である GSM Association へは 数ヵ月前に報告しています。この団体には、携帯 電話会社・端末メーカー・SIM カードメーカーな ど多くの企業が参加していますから、報告は業界 団体を通じて各社に届いています。 業界の反応はどうでしたか ? 報告後、多くの携帯電話会社から「わが社の SIM カードは影響を受けない」といった反発があ り、講演に対しても圧力がかかりました。しかし、 この問題はユーザーに経済的な被害を及ぼしかね ない深刻なものです。その後、携帯電話各社が独 自に調査を行ったのか、欧州の会社は態度を一変 し、こちらの報告を受け入れ、対策に乗り出しま ●カルステン・ノール(Karsten Nohl) した。そして、ようやくニュースなどで報道され ドイツ Security Research Labs 社のセキュリティ研究者。携帯電 話など一般に普及している技術の監査を好んで行っており、イ るようになったのです。しかし、アジアやその他 ンタビュー翌年の BlackHat 2014 USA では「BadUSB」に関する 地域での対応については残念ながら情報がありま 講演を行っている。なお、「Rooting SIM card」の講演スライド せん。 や動画などは、BlackHat 公式サイトのアーカイブからアクセス 私自身はスイスに住んでいるのですが、ドイツ できる。 の新聞が報じた記事を見ました。研究を進められ https://www.blackhat.com/us-13/archives.html#Nohl 4 る上で責任あるディスクロージャー※ 1 の姿勢を 重要視しているのですね。 そのとおりです。脆弱性を発表したからといっ て一晩で状況が変わる訳ではありませんからね。 修正のためには何度もテストを繰り返すなど一定 の時間が必要だと、こちらも承知しています。 このマルウェアに感染するとき、携帯端末に何 か変化は起こるのでしょうか ? 例えば、何も触れ ていないのにスタンバイ状態から復帰するとか、 再起動がかかるといったようなものです。 何もありません。ユーザーは自分の携帯端末が マルウェアに感染したことに全く気づかないので す。 さきほどこの問題に対して、携帯電話会社が対 策に乗り出したとおっしゃっていましたが、具体 的にはどのようなものなのでしょうか? この話をするには、SIM カードについてもう少 し詳しく説明する必要があります。質問に対する 答えは後ほどにして、先に仕組みについて紹介し ましょう。 お願いします。 SIM カードへの攻撃手法 Java アプレットと聞き、SIM カードに感染する マルウェアの正体が少し見えてきました。 SIM カードにはいくつかのセキュリティが実 OTA keys の暗号化には DES/3DES/AES のいず 装されています。まずは「PIN コード」。これは、 れかが使われています。どのアルゴリズムが使わ ユーザーの認証に使われており、SIM カードの設 れているかは、携帯電話会社の運用や SIM カード 定などを変更するときに求められる 4 桁の数字の の仕様により決まります。また、携帯電話会社と ことです。次に「暗号キー」 。これは携帯端末と 携帯端末間の通信にはバイナリ SMS という特殊 基地局との通信を暗号化する鍵などとして使われ な SMS が使われています。そして、このバイナ ています。SIM カードの中に格納されており、携 リ SMS の中には正しい OTA Keys を使って暗号化 帯電話会社でも同じ鍵を管理しています。GSM で したことを示すシグネチャー(署名)も含まれて は Comp128 というアルゴリズムが使われていま います。 すが、過去の研究からいくつかの攻撃手法も見つ ここまでが前提なのですね。 かっています。ただし、今回の研究対象は暗号キー そうです。そして研究を進めていく中でわかっ ではありません。対象にしたのは「OTA Keys」と たのが、このバイナリ SMS でエラーが発生した 呼ばれる鍵です。OTA とは「Over The Air」の略で、 時の処理に問題があるということでした。 SIM カードで実行される Java アプレットのセキュ 具体的にどのような問題なのでしょうか ? リティに用いられています。 例えば、攻撃者が携帯電話会社になりすまして、 ※ 1 責任あるディスクロージャー (responsible disclosure): コンピューター・セキュリティにおける脆弱性情報公開ポリシーの 1 つ。 研究者が脆弱性を発見したときに、ベンダーへ報告し、パッチ製作など一定時間を経た上で一般に対して情報公開を行うもの。現在 主流の考え方。 5 携帯端末にニセのバイナリ SMS を送ったと仮定 られています。また、攻撃者はシグネチャーを入 します。もちろんシグネチャーは正しくありませ 手したことで、バイナリ SMS の内容をすべて推 ん。この時、携帯端末が行うエラー処理は 3 つに 測することが可能となります。あとは、これらの 分類できます。まず、何も返信しない。次に、エ 推測を含めてレインボーテーブルを作成すれば、 ラーが発生したことだけを返信する。そして最後、 1 分ほどで OTA Keys を解読できてしまいます。 これが問題なのですが、正しいシグネチャーを返 本当に驚きです。ここで確認したいのですが、 信するというものです。どの処理を行うかは先ほ これまで伺った話は GSM に限ったものなのでしょ どと同様、携帯電話会社の運用や SIM カードの仕 うか? それとも、3G でも有効なのでしょうか ? 様により異なります。 難しい質問です。実験は GSM 環境で行いまし 攻撃者からするとシグネチャーは有効な情報 た。しかし、これまでの説明は GSM に限ったも のようですね。3 番目のエラー処理をしてしまう のではありません。とはいえ、3G は GSM よりも SIM カードの割合はどれくらいなのでしょうか ? 新しい技術ですから、より安全な 3DES や AES が 僕がテストした範囲では約 25% です。ちなみ 採用されている可能性もあり、影響を受けにくい に何も返信しない割合が約 25%、エラーだけを かもしれません。いずれにせよ、この点について 返信する割合が約 50% という結果でした。あく は、全世界の携帯電話会社で調査を行ってみない までも試算ですが、全世界で普及している GSM と明言はできないのです。 の SIM カードにこの割合を当てはめると、約 7 億 今 の お 話 で も う 1 つ 疑 問 が 出 て き ま し た。 5000 万ものユーザーに影響がおよぶ可能性があ 3DES や AES を採用していれば安全なのでしょう るということになります。 か? 膨大な数です。 AES は安全だと言えます。3DES の方もほぼ安 全ですが、特定の条件下では解読の危険性があり すでに DES は現実的な時間で解読可能だと知 ます。ご存じのとおり、3DES では 3 つの鍵を用 いて DES の処理を 3 回行っています。しかし、運 用面が甘いと同じ攻撃を繰り返すことで 3 つの 鍵を手に入れることが可能です。これをダウング レード攻撃と呼んでいます。 なるほど。古い仕様との互換性を考慮してセ キュリティを強化したはずが、結局、セキュリティ は低い方と同等になってしまう例ですね。 マルウェアによる脅威の実態 ! 引き続き、SIM カードに感染するマルウェアに ついてご教示ください。 OTA Keys が 判 明 す れ ば、 携 帯 端 末 で 自 由 に Java アプレットが実行できるようになります。そ こで攻撃者は、ターゲットにバイナリ SMS を使っ て不正な Java アプレット、つまりマルウェアを 送信するのです。このマルウェアを使えば、プレ ミアム SMS ※ 2 の送信、音声通話の発信、着信の ※ 2 プレミアム SMS:SMS を利用した課金サービス。通信料に上乗せする形で決済が行われる。手軽にコンテンツが入手できる手段 として主に欧米で利用されているが、マルウェアが悪用する手段としても知られており、注意が呼びかけられている。 6 リダイレクト、ターゲットの位置情報の追跡、任 話会社はどのような対策を行っているのでしょう 意 Web ページの閲覧、といったことが可能にな か? ります。 この問題の原因は、SIM カードが正しいシグネ 恐ろしいですね。 チャーを返信してしまう点にありますが、問題の 実は他にもあります。ターゲットの携帯端末の 解決は単純ではありません。根本的な解決には影 Java 環境にサンドボックスを回避できる脆弱性が 響を受ける SIM カードの交換が必要になるので あった場合、マルウェアは、SIM カードに保存さ す。この対策には莫大なコストがかかりますから、 れた情報にもアクセスできるようになるのです。 携帯電話会社はもちろん消極的です。現在は、不 この情報には SIM カードの暗号キーも含まれます 審なバイナリ SMS をフィルタリングしたり、何 から、通話・通信が復号され内容が丸見えになり かしらの方法で Java アプレットの実行に制限を ます。さらに、SIM カードのクローン作成も技術 かけたりしているようです。 上は可能となります。ただし、ネットワーク内に ユーザー側でできる対策はありますか ? 同一の SIM カードが同時に接続できるかどうか 残念ながら技術面では何もありません。先ほど という運用上の問題は発生しますが。他にも NFC も述べたとおり、この問題が影響を及ぼす範囲は、 チップへのアクセスも可能ですから、決済情報な 実際に調査してみないとわからないのです。です どを盗み出すこともできるようになるでしょう。 から、ユーザーができることとしては、携帯電話 会社に対して自分の SIM カードが影響を受けるの か否か、調査・公表するよう強く求めていくこと 影響が及ぶ範囲を調査せよ ! だと思います。 これまでのお話の中で危険性は充分に理解で この点は日本のユーザーにも参考になります きました。ここで先の質問に戻りますが、携帯電 ね。本日はどうもありがとうございました。 7 SECCONCTF2014 全国大会レポート 取材・文・撮影 = 斉藤健一 世界のトップチームも参戦した SECCONCTF2014 決勝戦 本誌ではこれまでも SECCON 2014 地方大会の レポートを掲載してきたが、今号では本年 2 月に KingoftheHill 形式の決勝戦 開催された全国大会の模様をお届けする。 SECCON 2014 全 国 大 会 は 2 月 7 日 ~ 8 日 の 2 決勝戦は、主催者側が用意した 6 台の仮想サー 日間にわたり、東京電機大学東京千住キャンパス バーに対して全チームが攻撃を仕掛ける King of で開催された。各地方大会やオンライン予選を勝 the Hill という形式で行われる。6 台の仮想サー ち抜いたチームが一堂に会して競う SECCON CTF バ ー に は そ れ ぞ れ、Web、CAPTCHA の 突 破、 2014 決勝戦に加え、情報セキュリティに関する Exploit、組み込み系システム、ネットワーク、暗 カンファレンスも併催された。 号アルゴリズムの問題が用意されている。 本誌 Vol.4 でも触れたとおり、12 月のオンラ 競技では「攻撃ポイント(Attack Point)」と「防 イン予選の開催直前に、SECCON CTF 決勝戦の優 御ポイント(Defense Point)」の 2 種類の得点方 勝チームには米国で今夏に開催される DEFCON 法がある。攻撃ポイントとは、ターゲットサーバー CTF へのシード権が与えられるというニュースが を攻略して得られる「attack keyword」をスコア 流れ、世界各国の強豪チームが続々と名乗りを上 ボードに登録することで得られる点数で、防御ポ げた。その結果、PPP(PPPwning)、Shellphish、 イントとは、ターゲットサーバーの所定のページ Samurai と い っ た DEFCON CTF の 常 連 チ ー ム を に「defense keyword」を登録した場合、定期的 はじめ、世界 6 ヵ国、計 11 チームの海外勢が決 に与えられる点数のこと。 勝戦へと駒を進めた。これに日本の 13 チームを そして、2 月 7 日 13 時 30 分~ 19 時 30 分、2 加えた合計 24 チームによって決勝戦は争われる。 月 8 日 9 時~ 14 時の計 11 時間の競技が終了した 各チームの人数は 4 名まで。会場に並べられたそ 時点で得点の最も多いチームが優勝となる。 れぞれのテーブルに着き競技を行っていた。 CFT 決勝戦会場となった東京電機大学 東京千住キャンパス 100 年ホール 8 戦況をリアルタイムに可視化する NIRVANA 改 CTF 会場を訪れた多くの人たちが目にして驚 い た の は、 戦 況 を リ ア ル タ イ ム で 可 視 化 す る NIRVANA 改 の 画 面 だ っ た に 違 い な い。 こ れ は、 NICT(独立行政法人情報通信研究機構)が開発し たサイバー攻撃統合プラットフォーム。決勝戦で は「NIRVANA 改 SECCON カスタム Mk-II」が導入 されており、攻撃ポイント発生時に画面に大きく NIRVANA 改造の画面 表示される「突破」の文字が印象的だった。 くるので、おのずとトラフィック量も増大する。 ま た、 先 に 紹 介 し た CAPTCHA を 突 破 す る 問 NIRVANA 改は、このような状況もリアルタイムで 題などでは各チームとも独自にプログラムを作 可視化することができ、会場の雰囲気を盛り上げ 成し、サーバーに対して自動で攻撃を仕掛けて るのに一役買っていた。 一般の人も参加できるカンファレンスも併催 SECCON では、CTF 決勝戦と同時にカンファレ 本年 1 月 9 日より施行されたサイバーセキュリ ンスも開催され、日本で行われているセキュリ ティ基本法※ 1 ※ 2 の概要を紹介するもので、講演 ティコンテストの紹介や、SECCON CTF の関連イ は「サイバーセキュリティ」という言葉の定義か ベントである CTF for Girls や CTF for Beginners の ら始まった。例えば「サイバーセキュリティ」を 活動報告なども行われた。こちらは一般参加も可 国際政治的な意味合いを持たせて使う場合もあれ 能で、多くの人が訪れ、講演に耳を傾けていた。 ば、ISO27000 シリーズのように「情報セキュリ CTF の結果をお届けする前に、講演の中から興 ティ」を技術的な用語として使う場合もあり、言 味深かったものをいくつか紹介させていただく。 葉の解釈や使い方は人によって異なる。そこで三 角氏はサイバーセキュリティ基本法の定義(第 2 サイバーセキュリティ基本法の概要と 条)に触れ、この法律はコンピューターやネット 政府の取り組み ワーク、およびそれらのシステムで通信・保存さ れる情報の安全や信頼性を確保するためのもので NISC(内閣サイバーセキュリティセンター)の あると説明した。 内閣参事官である三角育夫氏による「我が国のサ 次に、近年の情報漏えい事件における被害の大 イバーセキュリティ政策と人材育成」はカンファ 規模化 ※ 3、政府機関への脅威件数の増加※ 4、巧 レンス初日に行われた。 妙化する標的型攻撃などのリスクを挙げ、サイ ※ 1 サイバーセキュリティ基本法 http://law.e-gov.go.jp/htmldata/H26/H26HO104.html ※ 2 旧内閣官房情報セキュリティセンターがサイバーセキュリティ基本法の概要をまとめており、三角氏もこの資料を元に講演を行っ ている。 http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf ※ 3 JNSA がまとめた「2013 年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」によると、2013 年に発生 した個人情報漏えい事件は 1388 件となっている。一件あたりの漏えい人数は平均で 7031 人、また想定被害額補償額は 1 億 926 万円と、 過去の調査と比べ人数・被害補償額ともに大幅に増加している。 http://www.jnsa.org/result/incident/data/2013incident_survey_ver1.2.pdf ※ 4 情報セキュリティ政策会議が 2014 年 7 月にまとめた「サイバーセキュリティ政策に係わる年次報告」によると、GSOC(Goverment Security Operation Coodination team)が 2013 年度に観測した政府機関への脅威は約 508 万件となっており、前年度の約 108 万件 から約 5 倍に増加している。ただし、同資料では年度途中に行った GSOC センサー増強の影響もあるとしている。 http://www.nisc.go.jp/active/kihon/pdf/jseval_2013.pdf 9 組みがいくつか紹介されたが、紙幅の都合により、 ここでは人材育成を取り上げることとしたい。情 報セキュリティ技術者の量的不足はニュースなど でも報じられているが、政府としては既存の IT 技 術者に対して情報セキュリティの知識や技術を習 得できる機会を提供するとともに、技術者がスキ ルを発揮できる場を拡大するために、経営層の意 識改革にも取り組んでいくという。 そして今後は、経営層と実務者層とをつなぐ人 材や、グローバル水準で活躍できる高度な人材が 求められるとし、今回の SECCON CTF 全国大会も NISC(内閣サイバーセキュリティセンター)内閣参事官 三角育夫氏 グローバルな人材を育成する取り組みの一環であ バーセキュリティに関する施策推進が求められる ると、述べた。他にも 2 月 1 日~ 3 月 18 日をサ 背景を語った。 イバーセキュリティ月間と定めてさまざまな啓発 この法律では、国・地方自治体・重要インフラ 活動も行っており、こちらにも関心を持ってもら 業者・サイバー関連事業者・教育研究機関などの えれば幸いだとして講演を締めくくった。 責務が規定されており(第 4 条~第 8 条)、さら にポイントとして国民に対してもセキュリティ確 保の努力を促している(第 9 条)。 世界のハッカーカンファレンス事情 基本的な施策は第 13 条~ 23 条に盛り込まれて 「世界のハッカーカンファレンス」は 2 日目に おり、この中に人材確保(第 21 条)や教育促進・ 行われた講演だ。スピーカーの篠田佳奈氏は、長 啓発(第 22 条)も含まれている。 年にわたり世界各地のカンファレンスに参加、 また、具体的な施策推進の中心は新設のサイ ハッカーたちとの交流を深めており、2014 年か バーセキュリティ戦略本部(第 24 条~第 35 条) らは自身でも CODE BLUE を主催している。講演 であり、その事務局として旧内閣官房情報セキュ では篠田氏がこれまでに参加した各国のカンファ リ テ ィ セ ン タ ー(NISC:National Information レンスの特徴などを簡単に紹介した。 Security Center) が、 新 た に 内 閣 サ イ バ ー セ キ ュ リ テ ィ セ ン タ ー(NISC:National center of ・Nuit Du Hack(フランス) Incident readness and Strategy for Cyberseurity) 毎年 6 月ごろにパリで開催されるカンファレン として発足したことなどを説明した。 スで、今年で 13 年目を迎える。HackerzVoice と 講演終盤では、サイバーセキュリティへの取り いうハッカーコミュニティが主催しており、CTF カンファレンス会場である東京電機大学 東京千住キャンパス 丹波ホール 10 だ。 XCON は中国本土では老舗の国際カンファレン スで、XFocus というハッカーチームが主催を務 めている。参加者は 400 名程度。その多くは中 国人で、海外からの参加者は約 10% ほど。また、 2012 年から Geek Pwn というハッキングコンテ ストも併催され、注目を集めるようになった。「ス マート化されたものはすべてハックする」という スローガンを掲げ、これまで自動車やスマート フォンなどを攻撃対象としてきたそうだ。 一 方、SyScan360 は、 中 国 企 業 と シ ン ガ ポ ー CODE BLUE 事務局 篠田佳奈氏 ル企業とが共同で開催する国際カンファレンスで も併催される。会場はパリ郊外のディズニーラン 今年で 4 年目を迎える。スピーチの内容が非常に ドで 1000 人規模の参加者が集まるという。 高度なのが特徴なのだそうだ。また、昨年のカン 2006 年、政府が打ち出したセキュリティ強化の ファレンスでは、テスラモーターズ社の電気自動 政策にともない、Nuit Du Hack も注目されるように 車をハックするコンテストが併催されて注目を集 なり、PlayStation3 のハックで有名な George Hotz めた。 氏をスピーカーとして招いたところ、多数の人が 集まり、現在の規模にまで拡大したのだそうだ。 ・ZeroNights/PHDays(ロシア) スピーチのテーマには、ロックピッキングやソー ZeroNights は、2012 年冬に第 1 回目が開催さ シャルエンジニアリングなども含まれ、自由な雰 れたばかりの新興カンファレンスで、参加者は 囲気を持ったカンファレンスだと篠田氏は言う。 500 名ほど。主催するコミュティも学生中心の若 い世代が多いとのこと。フルディスクロージャー ・Hack In The BOX(マレーシア) のポリシーで運営されており、ゼロデイ脆弱性を 先進的なテーマを数多く扱うカンファレンスで、 扱う講演も多かったが、今後は責任あるディスク これまでマレーシアを本拠地として活動してきた ロージャーへと移行していくだろう、と篠田氏は が、今年からはアジア地域を移動しながらの開催 語っている。 になるとのこと。CTF も併催され、欧米の大会に また、PHdays の方は、2011 年より毎年 5 月に は参加が困難な近隣諸国のチームも多数参加して モスクワで開催される国際カンファレンスで、ロ おり、アジアでは最大規模の大会となっている。 シア最大規模のセキュリティ企業である Positive Security 社が主催し、1000 人規模の参加者を集め ・XCON/SyScan360(中国) ている。また、講演はすべて英語で行われている。 CNNIC(中国ネットワークインフォメーション CTF をはじめ ATM のハッキングコンテスト、さ センター)の発表によれば、2013 年末における中 らには重要インフラを模したシステムを攻撃する 国のインターネット人口は約 6 億 1800 万人と膨 コンテストなど、数多くのイベントが併催されて 大だが、中国の初期ハッカーコミュニティは、意 いるのが特徴だという。 外にも台湾の影響を受けているのだという。1990 年代後半に台湾のハッカーによって書かれた中国 ・CODEGATE/SECUINSIDE/PoC(韓国) 語の書籍が本土へと渡り、ハッキングの技術を研 1999 年、韓国では情報化を推進する「サイバー さんするグループが次々と誕生していった。また、 コリア 21」により急速にインフラ整備が進むと コミュニティ草創期を知るメンバーたちは、現在 同時に、サイバー犯罪が起きやすい環境になった のようにネットワーク犯罪組織に人材が流れてし という。その結果、犯罪者に対する刑罰も強化さ まう中国の現状を嘆かわしく思っているのだそう れ、不正アクセス被害に遭い情報を漏えいさせた 11 企業の担当者は法的責任も追及されるという状況 女性向けや小学生向けの CTF などを開催している となった。また、1990 年代後半からハッカーコミュ のも特徴だという。 ティも誕生しており、大学間でハッカー同士の抗 争が勃発し、逮捕者を出す事件も起こったという。 ・HITCON(台湾) 篠田氏は、韓国ハッカーコミュティの活発さには HITCON は毎年 7 月末に台北で開催されており、 このような背景があると説明した。 今年で 10 年目を迎える。chrOOt というコミュニ 現在、韓国国内には CTF チームだけで数百はあ ティが主催しており、参加者は約 1000 名。講演 るという。CTF は就職に有利だからという理由な ではボランティアによる英語の同時通訳も付く。 のだそうだが、女子率も高いとのこと。 100 名ほどの学生ボランティアがカンファレンス CODEGATE は、2008 年 か ら 毎 年 4 月 に ソ を支えており、パーティなども非常に賑やかなの ウルで開催されている国際カンファレンスで、 だそうだ。 SOFTFORUM 社というセキュリティ企業とメディ アグループの MBC による共催。CTF も併催され、 こ の 後 米 国(BlackHat/DEFCON) や 日 本(AV 約 1200 名の参加者を集めている。現在では CTF TOKYO/CODE BLUE)の状況が語られた。そして 優勝チームに多額の賞金を出す大会も増えている 講演最後のまとめでは、それぞれの国の事情や背 が、その流れを作ったのが CODEGATE だと言わ 景によって、ハッカーカンファレンスのスタイル れている。 は異なるが、共通するのは、人と人をつなぎ、国 ま た、SECUINSIDE は、 ハ ッ カ ー コ ミ ュ テ ィ 境を越えたゆるい連帯が大きな価値を生むという HARU が主催し、金融系 IT 企業である KOSCOM 点だ、と篠田氏は語る。さらに、セキュリティカ 社がスポンサードするカンファレンスで、参加者 ンファレンスは、多様なアイデアや情報が流通 は約 700 名。2011 年からソウルで開催されており、 する場であり、人々が自らの技術を切磋琢磨する CTF も併催される。 場でもある。そして、闇市場に流れる脆弱性や そして、PoC は 2006 年からソウルで開催され Exploit を無効化できる手段でもあると強調して講 るカンファレンスで、参加者は 200 ~ 300 名程度。 演を締めくくった。 CTF 決勝戦 勝敗の行方 表彰式が行われた。 競技初日、開始直前に PPP がフライングでポイ ントをゲットするところからスタートし、TOEFL Beginner がトップを走り、HITCON がそれを追う 表彰式では視察に訪れた 形で終了した。SECCON CTF ではサーバーに接続 山口大臣による挨拶も しなければ解けない問題もあれば、問題を持ち帰 り夜を徹して取り組めるものある。 CTF 決勝戦 2 日目には、情報技術(IT)政策担 競技 2 日目、持ち帰った問題の解答を登録する 当大臣である山口俊一氏も視察に訪れていた。表 チームが続出し、NIRVANA 改の画面は開始早々か 彰式で登壇した山口氏は、サイバーセキュリティ ら「突破」の文字が連発した。しかし、この日も は世界各国に共通する重要課題であり、日本にお TOEFL Beginner の独走を阻むチームは表れず、1 いても 2020 年のオリンピック・パラリンピック 位 TOEFL Beginner、2 位 HITCON、3 位 PPP と い 開催に向けてしっかりとした体制作りに取り組ん う結果に終わった。日本チームの最高位は binja で行きたい、と語った。 の 4 位だった。なお、各チームの得点状況などは また、政府では優秀な人材を求めており、サイ SECCON の Web ページで見ることができる※ 6。 バー空間をより良いものにするためにも是非とも そして、競技終了後はカンファレンス会場にて 力を貸してほしいと、CTF 参加者に協力を求める ※ 6 SECCON CTF 2014 Finals http://ctf.seccon.jp/finals_score.html 12 情報技術(IT)政策担当大臣 山口俊一氏 優勝は韓国の TOEFL Beginner 場面もあった。 参加者同士の交流を深める懇親会 表彰式終了後には関係者による懇親会も開かれ た、参加者同士が各問題について意見を交換した り、運営側の出題者に質問したりと活発な交流が 行われた。本誌でもいくつかのチームに話を聞く ことができたので、ここで紹介したい。 まずは優勝を飾った TOEFL Beginner。このチー ムは今大会に出場するために急きょ結成されたそ 準優勝は台湾の HITCON うで、各メンバーは普段それぞれ別のチームで う若いチームなのだそうだ。彼らに躍進の理由を 活動している。SECCON CTF の印象を聞いてみた 尋ねてみたところ、 「理由は 4 つ。1 つは、1 年か ところ、「NIRVANA 改には感心しました。また、 けて世界各国の CTF に参戦して経験を積んだこと。 King of The Hill という形式は初体験だったが楽し 2 つ目は運が良かったこと。3 つ目は、それぞれが むことができた。複数のサーバーの中にバリエー 得意ジャンルを持つメンバーが、うまく団結して ションに富んだ問題があったのも良かったと思 組織力を発揮できたこと。そして 4 つ目、これが う」と語ってくれた。 いちばん大きな要因かもしれないが、超優秀な人 また、韓国の CTF 事情についても質問してみた 材が新たに参加してくれたこと」と答えてくれた。 が、「韓国では情報セキュリティへの関心は高く、 また、SECCON を戦った感想として、 「PPP など 高校にはコンピューターセキュリティクラブのよ 世界トップレベルのチームと戦うことができ、学 うな活動もある。こういった若い世代のプレイ ぶ点も多かったと感じている。また運営面もスムー ヤーも増えているので、僕らもがんばらなくては ズで主催者には感謝している」とも語ってくれた。 ならない」と話す。彼らは DEFCON CTF への出場 実 行 委 員 長 の 竹 迫 氏 に よ れ ば、SECCON CTF 権を得たわけだが、開催までにもっとスキルを磨 2015 の開催はすでに決定しているという。運営 いていきたいと抱負も語ってくれた。 面は検討中とのことだが、世界トップレベルの 次に準優勝の HITCON。台湾で開催されるカン チームが参加する国際大会として今後のさらなる ファレンスの代表チームで、昨年の DEFCON CTF 発展を期待したい。 でも準優勝するなど、ここ数年で頭角を現してき ている。メンバーの半数は大学生で、残りの半数 も昨年大学を卒業し IT 企業に就職したばかりとい 13 ハッカーやセキュリティにまつわるニュースを独自の視点から捉える時事コラム ThreatScope #05混沌の時代に求められるインテリジェンスのあり方 文 = エル・ケンタロウ つ く 脅 威 イ ン テ リ ジ ェ ン ス(Actionable Threat Intelligence)」を取り上げた。語句の説明につい 政府の肝いりで CTIIC が発足 ては今回割愛させていただくが、ここ数年でこう 米国政府が新たにサイバー脅威に特化した機 いった情報を提供するセキュリティベンダーは確 関、CTIIC(Cyber Threat Intelligence Integration 実に増えたといえる。一方、ユーザー企業側の多 Center:サイバー脅威情報統合センター)の設立 くは増え続ける膨大な脅威情報を活かしきれず、 を発表した。ホワイトハウスのプレスリリースに 真の意味で組織活動の中でのインテリジェンス化 よると、CTIIC の目的は米国の国益に影響を与え に成功していないのも確かだ。 ると考えられるサイバー脅威やインシデント等の エンタープライズ戦略グループ ESG 社の主席ア 情報を収集・解析し、政策決定を行う機関に適切 ナリストであり、NETWORK WORLD 誌のコラム な情報を提供することだという。また、関連する 執筆者の 1 人でもあるジョン・オルトシク(Jon 機関や部署と協力し、これらの脅威の特定・調査・ Oltsik)氏は、いつかの民間企業の CISO(情報セキュ 軽減するための支援活動も行っていくとのこと。 リティ最高責任者)やアナリストを対象に、脅威 ただし、CTIIC がインシデント対応を管理した インテリジェンスについて調査を実施した。その り、直接調査を行ったりすることはなく、あくま 結果、多くの大企業ではオープンソースをはじめ、 で情報提供などの支援活動に徹する位置付けであ 商業ベースの脅威情報サービス、また IDS などの り、これまで既存の政府機関が担ってきた機能を 製品に付随して提供される脅威フィードなど、さ 置き換えるものではないという。 まざまな情報を組織に取り入れていることがわ このような状況の中、CTIIC の任務の難しさを かったが、はたして量と質が見合った関係にある 指摘するセキュリティ研究者もいる。セキュリ のかという疑問を投げかけている。 ティ企業の IT Harvest 社の主研究員のリチャード・ オルスティック氏は、インタビューを行った中 スティノン(Richard Stiennon)氏は、「問題なの でも先進的な CISO の多くがこの量と質の問題に は各政府組織がまだ脅威情報を取り入れて自分た 対する解決策を自組織スタッフやセキュリティベ ちのネットワークを完全に守れる状態にない点。 ンダーに提案している点に注目する。「特に先進的 本来はこれを先に解決すべきだった。さらに、彼 な CISO が考える理想は、さまざまな脅威情報が ら (CTIIC) は、数十億もの監視ポイントから送信 集約され簡素化・視覚化した形で提供され、かつ される膨大な情報の処理に忙殺されることになる インフラは自動的にさまざまな脅威情報を取り込 だろう。このような技術は、限定された範囲であ み、解析・拡散・分析・回避策もリアルタイムで れば有効だが、彼らが実現しようとする規模では 対応できるようになることだ」とコラムで記して 現実的とはいえない」との見解を示している。 いる。 そして、このような先進的な脅威情報戦略が今 後セキュリティ業界の進むべき道だとして記事を 脅威情報の量と質の問題 締めくくっている。 前号の本連載では、セキュリティ業界の新た な キ ー ワ ー ド と し て 注 目 さ れ る「 行 動 に 結 び 14 情報となる。膨大な脅威に関する情報を技術者の みならず組織の決定を行う経営部門に向けて説明 脅威情報を精査せよ ! するにはどのようにしたらよいだろうか? 技術系ニュースサイト TechTarget SearchSecurity CIA(米国中央情報局)は外交的な政治判断の の シ ニ ア レ ポ ー タ ー で あ る マ イ ケ ル・ ヘ ラ ー ための情報を提供しているが、その CIA で 40 年 (Michael Heller) 氏 は、HP セ キ ュ リ テ ィ リ サ ー 以上にわたり分析官として活躍してきたマーティ チライブというイベントで行われた HP Security ン・ピーターセン(Martin Petersen)氏は、CIA Research Team の発表において「脅威情報は組織に のサイトで 40 年間の経験を元に情報インテリジェ とってサイバー脅威への対策の中では不可欠なリ ンスのあり方を以下のようにまとめている。 ソースだが、問題は脅威情報フィードの質である」 との見解を述べた。 「インテリジェンスの提供はカスタマーの側に また、同社ソフトウェアエンタープライズセ 立って行われなくてはならない」- 情報を提供す キュリティ製品のシニアディレクターのダン・ラ る側が考慮すべき 5 つの点 モレナ(Dan Lamorena)氏は発表の中で「企業 1. 情報が最重要と思いがちだが、カスタマーに とサイバー犯罪者の攻防はコインの表裏のような とって最も重要なのは時間である。 関係だが、ユーザー企業にとってセキュリティに は予算という制約がある。一方、サイバー犯罪者 2. 発表された情報は永遠であり、ゆえに情報その は対セキュリティそのものがビジネスであり、豊 富なリソースと高いスキルを持っている」と攻守 ものだけではなく、情報にたどりついた経緯、 それぞれの力関係について述べた。 結果的な判断も重要である。 このイベントでは総合ヘルスケア企業の CVS ヘルス社のセキュリティチームから、セキュリ 3. 情報を間違える危険性を考慮せよ。一度、情報 ティエンジニアのマシュー・クウェカ(Matthew の信ぴょう性に疑問が発生した後からそれを取 Cwieka)氏と IT SOC コンテンツ開発アドバイザー り戻すことは困難である。 のジョナサン・ニュネズ(Jonathan Nunez)氏が 4. 情報を元に行われる作戦は、情報を解析した人 自社のケーススタディを発表した。 クウェカ氏は、脅威情報のリストを元に、とあ 間の分析に対する厳密さ・客観性・誠実さにか る IP アドレスをブロックしたが、実はこの IP ア かっている。 ドレスには複数のドメインがリンクしており、不 5. 情報を消費するカスタマーは情報を提供する側 必要なドメインまで含めてしまった、と過去の苦 い経験を語った。 が思っている以上に情報を消費する能力に長け そして、脅威情報を処理するには情報の精度を ている。 高めていくことが重要であり、商業ベースの情報 であっても回帰テストを複数回行うべきだと、情 ピーターセン氏によるこれらの提言は、セキュ 報精査の必要性を強調した。 リティベンダーのみならず組織でセキュリティ関 さらに、脅威情報を確実に処理できなければ、脅 連の情報を扱う部署が常に考慮すべき点であると 威に対して迅速な対応はできないと、経験から得 言える。 た教訓を述べた。 さらにピーターセン氏は、インテリジェンスは 製品提供的な考え方、情報量の多さ、頻度、提供 手法などに主軸をおくのではなく、サービス的な 過去の英知をひも解く 考え方、情報を受け取ったカスタマー側の情報の 価値に主軸をおくべきだ、とも提唱している。 サイバー脅威情報から、サイバーを外せば脅威 15 ●参考 URL ・FACT SHEET: Cyber Threat Intelligence Integration Center http://www.whitehouse.gov/the-press-office/2015/02/25/fact-sheet-cyber-threat-intelligence-integration-center ・Monster Problem Threatens New US Cyberthreat Plan http://www.technewsworld.com/story/81768.html ・Confusion Persists around Cyber Threat Intelligence for Enterprise Organizations http://www.networkworld.com/article/2849819/cisco-subnet/confusion-persists-around-cyber-threat-intelligence-for-enterpriseorganizations.html ・HP: Threat intelligence sources need vetting, regression testing http://searchsecurity.techtarget.com/news/2240241387/HP-Threat-intelligence-sources-need-vetting-regression-testing ・What I Learned in 40 Years of Doing Intelligence Analysis for US Foreign Policymakers https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/csi-studies/studies/vol.-55-no.-1/what-i-learnedin-40-years-of-doing-intelligence-analysis-for-us-foreign-policymakers.html 16