エフセキュアブログ

CTF を含む記事

今年度のCTFを無双した韓国チーム、その強さの秘密

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

bob1
BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む

DEFCON CTFでの日本と世界の差がすごいと話題に

世界最高峰のハッキング大会であるDEFCON CTFのネットワークを流れるデータは宝の山です。
主催者を含め世界中の研究者は、毎年そのデータを元に様々な研究を行います。
その中でも特にネットワークの可視化は見た目にもわかりやすいのでたびたび行われていて、時々画面を見せてくれたりします。

これは2014年の大会で主催チームであるLegit BSが行った可視化です。



見る目が肥えている日本の技術者であれば、率直に言ってショボいと感じたことでしょう。
一方、日本で可視化と言えば、NICTのNIRVANA改ですよね。



日本のクオリティの高さを実感できます。

DODAからの挑戦状に隠された画像

先月まで「DODAからの挑戦状」という企画でハッキング問題を掲載しておりました。(現在、企画は終了しており、こちらに解答を掲載しています。)

DODAChallengeFromWired

初級、中級、上級と全部で3部構成の問題となっており、最後の上級問題の正答率を1%にしてほしいという要望をいただいておりました。過去のCTF参戦の経験から考えても難易度の調整は難しいものでして、「DODAからの挑戦状」の裏で、個人的に「1%への挑戦」がありました。

最終的には、初級問題の正答者数(アクセス数)が8232でした。これはユニークを取っていない数字なのですが、ユニークを取ると半分くらいの4000名くらいになるでしょうか。
4000名の1%だと40名になりますが、実際に上級問題を正解した方は32名でしたので、難易度の設定はうまくいったと思います。

さて、この挑戦状は普段からデコンパイルに慣れ親しんでいる方には退屈に思われるかもしれないので、上級問題の後に超上級問題として追加で一問隠しておきました。

ここではその解法を紹介します。
続きを読む

もしもDEFCON CTF優勝者が防衛省サイバー防衛隊に入ったら

福田和代さんが執筆した「サイバー・コマンドー」というタイトルの小説が発売になりました。

サイバー・コマンドー

DEFCON CTF優勝経験者が防衛省サイバー防衛隊に入り、日本を巻き込んだサイバー戦争に立ち向かうというストーリーです。
CTFに関しては、なぜ自分がCTFをやるのかといった心意気からどうでもいいコネタにいたるまでを私が入れ知恵し、防衛省に関しては、元陸自システム防護隊初代隊長の伊東さんがアドバイスしていますので、妙にリアルな内容になっており、業界の人ならニヤリとするネタが満載です。
もちろんネタだけじゃなくて、今後起こりうるサイバー戦争のシュミレーションとしても価値のある一冊です。

プロモーションビデオもあるようです。

DEFCON CTFネットワークを可視化せよ

今年のDEFCON CTFでもsutegoma2は予選を突破し、決勝に進みました。(CTFについては、こちらを参照)
私も五度目の決勝出場を果たす予定でしたが、直前で体調を崩してしまいドクターストップのため渡米すら叶いませんでした。
しかしチームメンバーが健闘してくれて、今までの中では最高となる6位という成績を収めることができました。

そんな中、今年はCTFネットワークを可視化するという試みを行いました。
日本のサイバーセキュリティで可視化と言えば、テレビでもおなじみのNICT(情報通信研究機構)が開発したnicterです。
そこで今回のDEFCON CTF決勝ではNICTの協力を得て、CTFでの攻防の様子を可視化することにしました。
やるからには見ておもしろいだけではなく、実戦で役に立つことを目標に開発が行われました。

実際に今年のCTFを可視化した動画をご覧ください。(音声あり)



CTFでは各サーバからキーと呼ばれるファイルを取得するか、上書きすることで得点が加算されていきます。そのため防御面ではキーが盗まれたことをいち早く察知し対応することが求められますので、キーが盗まれた場合には「警」マークを表示しています。

可視化することで、
  • どのサービスが攻撃の標的にされているのかを一目で把握できる
  • どこから攻撃が来ているのかを一目で把握できる
  • 侵入後の攻撃者の活動を観察することができる
  • 意図しないサービスが攻撃されていることを検知できる
  • 重要な情報の流出を検知できる
などのメリットがあることがわかります。

これらのメリットがあるということは、可視化が役に立つのはCTFだけではなく、企業のセキュリティにも応用できるということだと思います。

以上、参加してないのに今年のDEFCONレポートでした。

ここがヘンだよ、日本のCTF

韓国で開催されているCODEGATE CTFでは、韓国内のセキュリティ技術者と海外技術者との交流を促進するため、今年はDEFCON CTF優勝チームをCTF決勝戦に招待しました。技術者の心をよく理解した、素晴らしい試みだと思います。

現に、CODEGATEでの過去の優勝チームはロシア、アメリカ、スウェーデンと国際色豊かです。毎年、少なくない金額の賞金を海外チームに持っていかれてますが、韓国の技術者にとっては大きな刺激になっています。

codegate2013
予選通過した国は、アメリカ、スイス、ロシア、スウェーデン、日本、チュニジア、スペイン、それにもちろん韓国を加えた8カ国、11チーム。

一方その頃日本では、CTFを知らない人たちによって、作為的に海外からの参加者を閉め出したCTF(らしきもの)が多額の税金を投入して開催されましたとさ。

強制開示された制御システムの脆弱性

今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。

調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。
ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。

その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。

以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。
dirtraversal

しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するにも関わらず放置され続けていることを注意喚起するという内容です。
慎重派が多いICS-CERTにおいて、未修整の脆弱性に関するアドバイザリが出されることは珍しいことです。なぜ慎重派が多いかというと、制御システムは一般の情報システムと比べ、攻撃が発生した場合の影響が大きいためです。
それにも関わらず、今回ICS-CERTが強制開示という対応を取らざるを得なかったのか、私が脆弱性を報告してから公表されるまでの顛末をご紹介したいと思います。
  1. 脆弱性の種類がディレクトリトラバーサルという、攻撃手法が単純なタイプの脆弱性だったので、文書にてICS-CERTへ報告
  2. 開発元が脆弱性を理解できないと言っているという連絡をICS-CERTから受ける
  3. 私は攻撃方法についての動画を作成し、ICS-CERTへ送付
  4. 開発元の環境では再現しない、検証したバージョンが古いのではないかという連絡を受ける
  5. 英語版のWindowsを用意し、念のため再度最新版のアプリケーションをインストールして、脆弱性が再現することを確認
  6. アプリケーションのインストールからセットアップ、バージョンの確認、起動、そして最後に攻撃を行う動画を作成し、ICS-CERTへ送付
  7. それでも開発元は再現させることもできず、脆弱性について理解できないという返答
この一部始終を見ていたICS-CERTはアドバイザリの公開を決断しました。私が報告してから情報公開までに8ヶ月近くの時間を要しました。
実はICS-CERTとのやりとりの中で、ICS-CERT側の担当者がDEFCON CTFの決勝に参加することが判明し、ラスベガスのCTF決勝会場で直接話をすることができました。(DEFCON CTF決勝については、こちら。2011年の記事ですが。)

公開の理由について、「あんなに親切で単純明快な報告なのに、それでも理解できないというのは、開発者がすっとぼけようとしているとしか考えられない。今までで一番わかりやすい報告だったよ。情報を公開する以外に解決策は無いと判断した。」という話を伺いました。(余談ですが彼らのCTFチームはとても紳士的で、私のチームが停電で困っているときに助けてくれました。)

今回は報告から8ヶ月経っての公開となりましたが、ICS-CERTの脆弱性情報公開ポリシーでは強制開示までの目安は45日と定められています。
これは45日を過ぎると強制的に公開されるという意味ではなく、なんの反応もないまま45日を過ぎると公開する場合があるという意味です。45日以内に修正完了しなければならないという意味ではありません。ふつうに対応していれば45日ルールが適用されることはありませんので、ご安心を。

BlackHat 2012/Defcon 20 レポート

フォテイーンフォティ技術研究所 鵜飼です。

BlackHat/Defconに今年も行ってまいりました。
私はContent Review Boardとしての参加ですが、弊社からは技術戦略室の大居がWindows Phone 7関連のトピックで講演して参りました。

大居の現地レポートなどは弊社のBlog(本記事の下段にリンク参照)に掲載されていますが、私の現地レポートは少々遅ればせながらこちらで掲載させていただきたいと思います。

私は、BlackHat/Defconに2003年から参加しています。弊社が設立された2007年以降は、行く年もあれば行かない年もあるという状況ですが、昨年度からはBlackHatの論文審査を行うReviewerになった事もあり、Las Vegasは昨年度に続いての参加です。最近は、Black Hatも日本から参加される方が増え、現地の状況なども国内で共有されるようになってきました。そこで今回は、まだ国内ではあまり共有されていない話をお伝えしたいと思います。

■ BlackHat Speakerになるという事

BlackHat(特にLas Vegas)の魅力は、何と言っても厳しい査読を通過した全9トラックのプレゼンテーションが見られるBriefingsだと思います。世界中の研究者が、このステージに立つために日々研究を行い、成果をまとめあげます。方々で言われている通り、BlackHatではベンダーニュートラルな最新の研究成果が発表される正解最大規模のカンファレンスですが、この日のために時間と人を費やし、研究資金を投入し、論文審査を通過させ、発表を行う研究機関やベンダーは世界中に数多く存在します(弊社もその中の一つです)。論文審査も特にLas Vegasは厳しく、なかなか発表できません。ですので、かなり気合が入っているスピーカーも沢山います。

何故ここまで気合を入れるのか。それは、BlackHatで発表する事が、企業として、あるいは個人の研究者として、特に米国のセキュリティ業界では非常に高いステータスになるという事です。BlackHat Speakerになる事が一つの憧れであり、それに向けて挑戦を続ける研究者は少なくありません。このようなステータス性が、逆に発表内容のクオリティを維持している要因になっているものと思います。

■ BlackHatはオフ会、Defconはパーティ?

しかし一方で、BlackHatは「オフ会」としての側面も非常に強いです。こちらはあまり日本国内で共有されていないのですが、「BlackHatは超巨大なオフ会であり、高いクオリティの研究発表が並行して行われ」る、といった雰囲気を合わせ持っています。オフ会的要素と、研究発表的要素、どちらが欠けてもBlackHatは成立しないのではないかと思います。米国ではご存じのとおり転職が非常に盛んで、今どこで誰が何をしているのかを把握するのは、Linked InやFacebookが登場するまではとても大変でした。しかし、SNSが普及した現在でも、やはり細かい事はface to faceじゃないとなかなか共有できません。このため、年に一度Black Hatでお互いの近況を共有するのが恒例となっています。BlackHat期間中は、参加者の溜り場になっているバーやベンダーパーティなどに人が集まりますが、特にGalleria Barは色々な人たちのオフ会会場になっています。そういった交流の中でネットワークも広がっていきます。今年は、多くの知人が独立起業した事が大きな変化の一つでした。

BlackHat終了後のDefconは、パーティーとしての側面があります。BlackHatとDefconの両方に参加されている方はお分かりかと思いますが、参加費用が全く異なるという事もあり、明らかに参加者の年齢層や雰囲気が違います。こちらは、個人的な印象としては「巨大なパーティ」であり、参加者同士の交流などに主眼が置かれている印象です。プレゼンは非常に技術レベルの高いものもありますが、玉石混合状態です。しかし、Defconには楽しい雰囲気を醸し出すイベントや仕掛け、展示などが沢山あり、BlackHatとは違った楽しみ方があります。今年は、日本のCTFチーム「Sutegoma2」の応援も兼ねて参加しましたが、各国の研究者やカンファレンスのオーガナイザーと新しい交流を持つ事ができ、大変有意義でした。

■ BlackHatで講演しませんか?

日本からもBlackHatで喋るスピーカーが沢山出てほしいという思いから、H23年9月から、インターネット協会で「Black Hatでの国際論文発表に向けたアドバイス」を提供しています。
http://www.iajapan.org/press/isec_20110901press.html

BlackHatでスピーカーになると世界中の研究者と交流を持つ事ができ、一気にネットワークが広がります。我こそはと思われる方は、是非ご連絡くださいませ。


[BlackHatレポート]
・2012-07-30 Black Hat USA 2012 現地レポートその1
 http://www.fourteenforty.jp/blog/2012/07/2012-07-30-1.htm
・2012-07-31 Black Hat USA 2012 現地レポートその2
 http://www.fourteenforty.jp/blog/2012/07/2012-07-31-1.htm
・2012-08-6 Black Hat 技術報告 前編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-06-1.htm
・2012-08-10 Black Hat 技術報告 中編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-10-1.htm
・2012-08-15 Black Hat 技術報告 後編
 http://www.fourteenforty.jp/blog/2012/08/2012-08-15-1.htm

世界のCTFから

DEFCON CTFに向けて鍛錬を続ける日々ですが、トレーニングも兼ねて私が所属するチームsutegoma2は世界各地で行われるCTFにも参加しています。その中で予選を突破し、決勝に進むことができたCTFの中から、決勝戦の様子を紹介します。

CODEGATE YUT
韓国で開催されているCTFであり、韓国の伝統的なゲームであるユンノリをベースに試合が行われます。ユンノリは日本でいうとスゴロクのようなものです。単に問題を解くだけでなく、何マス進めるかといった戦略や、運が試合を左右することもあります。韓国の伝統文化を世界に紹介するよい機会になっていると思います。DEFCON CTFと違い、CTF中の食事や交通費の補助が提供されており、世界中から優秀なチームを集めるんだという意思を感じます。

codegate

Nuit du Hack
フランスで行われたCTFで、主催者曰く、「現実に近い形式にこだわっている」そうで、攻防戦形式で行われ、DoSも可という珍しいルールです。実際に、試合の途中で問題を解くことよりもDoSの応酬合戦が激しくなり、結局主催者側のサーバがダウンしました。さらに運営側に問題があり、ダウンしたサーバが復旧不可能という事態に陥り、終了予定時間を待たずして試合続行不可能となり、そのまま終了しました。なんともお粗末なCTFでしたが、サーバをダウンさせるだけなら簡単であり、クラウドの脆弱さを証明したCTFでもありました。

ndh

SECUINSIDE
こちらも韓国で行われたCTFです。過去には攻防戦形式で行われたこともあるそうですが、2012年の決勝はクイズ形式で行われました。特徴は得点の加算方式にあります。一般的なCTFでは問題の難易度を主催者側が検討し、難易度に応じて得点が決められています。それに対して、SECUINSIDEでは問題を解いたチームの数が多いと各問題の得点が下がるようになっています。つまり、問題の難易度は解答チーム数によって決まるので、合理的とも言えます。しかしその一方で試合が終了するまで順位がわからないという欠点もあります。試合終了後に集計が行われて最終順位が決定するので、意外な大逆転というのが起こります。今回、sutegoma2は試合終了3分前に解答し、5位で試合を終えましたが、集計が終わってみると3位という大逆転を起こしました。

secuinside

他にも世界中で様々なCTFが開催されており、CTFの広がりを実感するのと同時に各国とも情報セキュリティに力を入れていることを肌で感じます。そんな中、やはり強い国はアメリカとロシアです。最近のCTF業界ではこの2カ国がずば抜けています。現実に起こっているサイバー戦争の力関係を表した縮図のような状況です。

さて、7月末からはいよいよDEFCON CTFの決勝が開催されます。今年はDEFCONが第20回の記念大会ということで、世界各国のCTF優勝チームが集められ、合計20チームでの戦いとなります。
sutegoma2は去年に引き続き決勝の舞台に立つ切符は手に入れていますが、今年は一体どんな戦いになるのでしょうか。このまま苦汁を舐めさせられ続けるわけにはいきません。

韓国のセキュリティカンファレンス「CODEGATE」に行ってきました

4/2、4/3に、韓国ソウルでセキュリティカンファレンス「CODEGATE」が開催されました。日本からは、CTFチームの「Sutegoma2」がハッキングコンテストで参加、私がカンファレンスでの講演とパネルディスカッションで参加していました。

gate


YUTやカンファレンス、パネルの様子などは、以下に少しまとめていますので、興味のある方は参照して下さい。
http://www.facebook.com/FourteenfortyResearchInstitute  

CODEGATEの参加者は主に韓国内の方でしたが、スピーカーやYUTの参加者は韓国含めワールドワイドでした。2000人以上の来場者数との事で、韓国内でのセキュリティに関する関心の高さが伺えます。

韓国内でもセキュリティベンダーは沢山ありますが、国際競争を常に意識しながらそれぞれのコアコンピタンスを磨き続ける文化が根付いている感じがしました。

ただ、やはり現状は日本と同様、現場はいつも大変みたいです。元eEyeの同僚のMattと一緒にパネルディスカッションに出ていたのですが、「現場のエンジニアが現状を変えたいと思うなら、国を出てアメリカに行くのが一番いい」と言っていたのが印象的です。

しかし、 少なくとも日本は元々、さまざまな産業分野で高い技術を武器に世界で戦ってきた国です。ITやセキュリティの分野でも実はしっかり戦える力を持っていますので、 「チャレンジし続ける文化」を 日本のセキュリティ業界でもしっかりと作って行ければと思っています。

※当該記事執筆は「株式会社フォティーンフォティ技術研究所」名義でなされました※ 

2012年へ秒読み開始!

2009年5月に産声を上げたエフセキュアブログも遂に2012年で3歳を数えようとしております。これもひとえに関係者のみなさま、読者のみなさまのご支援あってのことと、2011年から2012年に移るこの機会に改めて感謝の気持ちでいっぱいでございます。略儀ではございますが、この場を借りて心より御礼申し上げます。
続きを読む

ミッコ・ヒッポネンが来日 @PacSecJP

  最近TEDGoogle Zeitgeistなどで精力的に講演しているF-Secureのミッコですが、今週9-10日に東京で開催のPacSecセキュリティコンファレンスにも登場して「標的型スパイ攻撃」について話してくれる予定です。三菱重工、IHIなど防衛産業や衆議院、参議院、総務省などへの標的型サイバースパイ活動が明らかになっている最近の状況を俯瞰する上で、意味のある話が聞けるでしょう。ミッコの今迄の講演では最近のセキュリティ事件の状況から、サイバー犯罪者、ハクティビスト、国家による動き、の3つを重要な論点に挙げていますが、最新の話題も含めた話が聞けそうです。

  先週はTokyo Designers Weekでしたが、今週はTokyo Security Weekと呼べそうなほどイベントが目白押しです。今日7日は日本スマートフォンセキュリティフォーラムの成果発表会があります。9-10日のPacSecに続いて12日には、エフセキュアブログ・メンバー福森さんも参加してあのDefcon CTFに出場したSutegoma2の関係者が主催する、日本発のセキュリティコンファレンス「AVTokyo」が開催されるので、こちらでも濃い話題が聞けそうです。また10日夜には日本の政府/民間を横断的につなぐセキュリティコミュニティ「WaiGaya」の集まりも企画されているようです。11日にはやはりエフセキュアブログ・メンバー鵜飼さんのFourteen Fortyのセミナーもありますね。

  アメリカなど海外のコンファレンスに行くには旅費・宿泊費を足して行くとけっこうな金額になるので、このような国際的なセキュリティイベントが日本で増えれば、勉強したりネットワーキングできる機会が増えるので良い事です。
みなさんはどのイベントに参加されますか? 


  ちなみにPacSecでの他の講演者も含めた内容はこんな感じです↓ 私も運営に参加していますが、講演内容は日本の状況も考慮して選ぶようにされています。

続きを読む

OWASP AppSec Conference

 みなさんこんにちは。Rakuten-CERTの福本です。Rakuten-CERTでは最新のセキュリティ情報をインプットすべく、様々なセキュリティカンファレンスに積極的に参加する機会を設けているのですが、今回はOWASP AppSec USA Conferenceにうちのメンバーを2名派遣してきました。

owasp1owasp2

こちらは会場の様子。

 OWASP AppSecはWebセキュリティに特化したカンファレンスで、僕たちのようなWebサイト側で働くセキュリティエンジニアにとっては、かなりフィットした内容になっているのかなと思います。そして、AppSecのハンズオントレーニングもかなり興味深いものが多いです。ちなみにうちのメンバーは以下のコースを受講して、多くのインプットを持って帰って来ました。

・Building Secure Ajax and Web 2.0 Applications (Dave Wichers / Aspect Security)
・Designing, Building, and Testing Secure Applications on Mobile Devices (Dan Cornell / Denim Group)

 Aspect SecurityといえばWebGoatを中心的にやっているところですね。この前者のコースはテキストが200ページ近くあってかなりのボリュームなのですが、基本的なチェックポイントが体系的に整理されていて大変参考になるものでした。そして、Rakuten-CERTでは今後の強化ポイントとして、smartphoneアプリの診断テクニックをリサーチしているのですが、後者のトレーニングもチェックの網羅性を高めるうえで極めて良いインプットになったのかなと思います。他にもtalkの方では、Ghosts of XSS Past, Present and Futureでの、ここ数年でXSS対策がContextごとに細かなケアーが必要になって来ている話が興味深かったり(やっぱり、新しい攻撃手法にキャッチアップし続けて対策方法にFBし続けるのが大事だなあって・・)、Gray, the New Black: Gray-Box Web Penetration Testingでの、同じスキルで競い合っても攻撃者側の方が時間的に有利なので、防御側はソースコードにアクセス出来る利点を活かして効率的に脆弱性発見し修正しましょうという話しも興味深く、特にこのネタは会場でも盛んに議論され注目度も高まっているようでした。
こちらtalkの方の資料は一般公開されているので、興味があれば読んでみてはいかがでしょうか。

 

 ちなみにですが、AppSecってあまり知られてないみたいで日本からの参加者はたった3名だったそうです(うち楽天が2名)。ちょっと意外に思ったのはディベロッパーが多いということですね。29%もいます。あと、学生は6%だそうです。その中には12歳のハッカー?もいて、ちょっと驚きもありましたが(笑)

bad
http://owasp.blogspot.com/2011/09/owasp-appsec-usa-2011-wrap-up.htmlから

それと、AppSec CTFっていうイベントもあったのですが、こちらは十分な情報収集が出来なかったので次回の機会に・・・

目指すは「Rakuten CTF」

 みなさんこんにちは。Rakuten-CERTの福本です。
 最近、様々なインシデント事例があってセキュリティ関係者は大忙しみたいですね(苦笑)そんな状況でもあるので、ここ最近は多くの企業でセキュリティのニーズも増しているのかなと思うのですが、GovInfoSecurity.comの記事によると米国のセキュリティ人材の失業率はなんと0%とのことです。これは驚きの結果ですね。セキュリティエンジニアを採用するのは非常に困難な状況なのかもしれません。実際うちも採用は大変です・・。

 最近、ユーザ企業側でのセキュリティ体制の整備についてちょっと調べていたのですが、やはり下記の一覧のように、ここ数年で多くの企業でCSOが任命され、企業内CSIRTの整備も進んでいるようでした。


CSO

 この中でも個人的にはフェイスブックの取り組みは気になっているところで、彼らはかなりの腕利きのハッカーを採用してたり、Security Bug Bounty Programもやってたりします。(ちなみにこの記事によると、早速多数のセキュリティ研究者から脆弱性の報告があったようで$40,000を支払ったようです)これらはユーザ企業側のセキュリティの取り組み方が変化してきていることを示していると思っていて、彼らの今後の動向は要チェックです。


 本題に戻りますが、この先多くのユーザ企業が自社のセキュリティ対策を整備していくためには、これまでより多くのセキュリティエンジニアが必要になると思うので、セキュリティの人材育成がますます重要になってくると思っています。はっきり言って今でもセキュリティの分野は人材不足です。そのためにも、セキュリティ&プログラミングキャンプのような人材育成支援の取り組みはもっとやった方がいいと思うし、そして日本でもCTFへの積極的支援があってもいいのかなとも思っています。例えば、お隣韓国のKISA(韓国インターネットセキュリティ庁)のCODEGATEの取り組みのように。これは僕の主観なのですが、韓国はここ数年、このような国策によってセキュリティエンジニアのレベルはかなり向上したように思えます。


 やっぱり技術者を育てるためは高い目標とライバルと競い合う場は必要だと思うし、CTFはそのためも必要な場だと思うので、来年あたり楽天セキュリティサミット(楽天グループだけのローカルセキュリティカンファレンス)の一部をオープンな形にして、Rakuten CTFが出来ないかなって思っています。またひとつ、僕の目標が出来ましたね。

マスコミが書かない「DEFCON CTF」

2011年のDEFCON CTFが終わりました。
会場では、サポートメンバーによっておにぎりと味噌汁が振る舞われました。
個人的には3度目のDEFCON CTF決勝、日本チームとしては初めての決勝でしたが、今までこんなに恵まれた環境はありませんでした。
一般的にCTFでは、予選はインターネット上で行われるのに対し、決勝は一つの会場に集まって行われます。
そのため、環境の問題、食事の問題、時差の問題、機材の問題など、様々な問題と向き合いながら競技を行うのがCTF決勝の特徴でもあり、アウェイの洗礼は日常茶飯事です。
今回はサポートしてくれたメンバーの尽力によって、そういった問題によるストレスを大きく軽減し競技に集中することができました。本当にありがとうございました。

defcon2011ctf

日本でもCTFへの注目が高まり、少しずつメディアにも取り上げるようになってきましたが、未だメディアには取り上げられない重要な点をご紹介します。

今回のCTFでは、CTF会場が停電したり、ネットワークやサーバトラブル、スコアリングシステムへの批判など、運営側も非常に大変です。毎年必ず運営側の不手際に対する批判を耳にします。特に今年は運営側の意図しない方法を使って全サーバのroot(管理者権限)が奪われるという事態もありました。

ではなぜ、大変な苦労をしてまで運営をするのでしょうか。
勉強になるからという単純な理由ではありません。

DEFCON CTFを運営するのは、アメリカ海軍学校の教授、生徒からなるチームです。ということは、競技中に飛び交った様々な攻撃コードは教材として使われると同時に、米軍に蓄積されていきます。

その背景には、アメリカが国家としてサイバー空間を重要視していることが挙げられます。陸、海、空、宇宙に続く第5の戦場としてサイバー空間が位置づけられているのです。さらに、サイバー空間への攻撃に対しては武力による報復も辞さないとの発表もありました。
結局のところ、DEFCON CTFはアメリカ、サイバー戦争の下地作りでもあるわけです。毎年、アメリカ、韓国は政府による強力なバックアップを後ろ盾にチームを送り込んできています。現在、積極的にCTFを開催しているのは、アメリカ、韓国、ロシア、マレーシアなどです。
日本では23年度版防衛白書で、サイバー攻撃対処のため最新技術の研究に取り組むという内容の文言が記載されました。具体的なことは何も書かれていませんが、今後の動向には要注目です。

インターポールサイバーセキュリティトレーニング

今年はウィーンで行われたFIRSTカンファレンスに初めて参加してきました。
毎年参加されている方に話を伺ったところ昨年まではあまり耳にすることがなかったそうですが、今年は非常に多くのセッションで繰り返し出てくる単語がありました。

「インターポール」

このことは最近のサイバー犯罪が国際化しており、一国の警察機関だけでは対応することが難しいということを如実に物語っています。また、手をこまねいているだけではなく、少しずつではありますがインターポールを中心として国際的なサイバー犯罪の検挙に動き出していることの現れでもあるでしょう。

そんな中、7月6、7日にシンガポールにて第1回インターポールサイバーセキュリティトレーニングワークショップが開催されました。インターポール関係者の知識、スキル向上を目的として約20カ国から警察関係者が集まりました。

interpolTraining

私が所属するサイバーディフェンス研究所ではそのうち1日半の時間を頂き、ネットワークセキュリティ、Webセキュリティ、インシデントレスポンス、マルウェア解析、フォレンジックなどのトレーニングを行いました。

トレーニングの理解度を確かめるためのチェックはCTF形式のハンズオン(問題を解くと得点が加算され、ランキングが表示される形式)で行いました。皆さんとても熱心に取り組んでおり休憩時間返上で課題に挑戦する姿も多く見られました。

今後もサイバー犯罪に対処していく上で、インターポールの重要性がますます高くなることは間違いありません。インターポールの活躍を心より期待しています。

関連記事:Tackling cyber security threats focus of INTERPOL workshop
http://www.interpol.int/Public/ICPO/PressReleases/PR2011/News20110707.asp

祝! CODEGATE CTF 予選一位通過

先日、日本のCTFの歴史に残る大きな出来事がありました。CODEGATE CTFの予選で日本のチームが一位になったのです。アメリカチーム、韓国チームと何度も順位が入れ替わる厳しい戦いでした。二位じゃダメなんです。
(CTFについては、こちらを参照)

codegate_scoreboard

私がCTFを始めた2006年頃に、CTF先進国である韓国の友人と話した時は、
「韓国も昔は同じような状況だった。毎回上位に入れるようになるまでに5年はかかるよ。」
と言われました。そんな彼の経験どおり、5年が経っていました。

思えば多くの方々の力が合わさっているんだということを実感しました。

メンバーは定期的に勉強会を行い、メディアへの記事執筆、日本各地を巡業して布教活動を行いました。
今大会で躍進の原動力になったのは最近加入してくれた学生達でした。
会場に来られなくても、こっそり問題を解いてくれる小人さんもいました。
差し入れを持ってきてくれたり、英文を翻訳してくれたりする方もいました。
冷蔵庫がオーバーフローするほどのレッドブルを届けてくれた方もいました。
毎回我々に会場を提供してくれているネットエージェントさんは、より広い会場を提供するためにわざわざ引越までしてくれました。
他にも、ここには書ききれないくらい多くの方々が携わっています。

redbulltree
会場からスカイツリーとレッドブルツリーを望む

そして今、韓国のCTF業界が抱えている問題はコンスタントに人材を輩出し続けることの難しさです。おそらく我々も同じ問題に直面するでしょう。日本のCTF業界も新たなステージに突入します。

AVに参加してみませんか?

このブログの読者ならAVと聞いてAnti Virusを頭に浮かべると思いますが、今回は残念ながらそのAVではなく、AVTOKYOのご紹介です。

先日、DEFCON CTFというセキュリティ技術を競う大会の決勝戦に出場してきました。世界各地で行われている大会の中で最大のものです。予選はインターネット上で行われており、主催者側が作成した問題を解いて点数を競います。主催者側の発表では529チーム、1428人が参加したそうです。予選で上位10チームに入ると、決勝の出場権を与えられます。決勝はアメリカ、ラスベガスのホテルの一室で開催され、その競技内容はというと、与えられたプログラムの脆弱性を探し、チーム間で攻撃防御を行うようになっています。日本でもセキュリティ企業や学生を中心に年々参加者も増え、世界の技術者と切磋琢磨し向上していく場のひとつとなっています。

1

皆さんの多くはこのような大会が存在すること自体、知らなかったのではないでしょうか。また、参加してみたいけど何から手を付けていいかわからないという方もいらっしゃるのではないでしょうか。
そんな方々のために、気軽にCTFに触れていただけるイベントが日本で開催されます。
私もDEFCON CTFの予選、決勝を紹介する役目を仰せつかっています。ここには書ききれなかった裏話を紹介する予定です。ご興味のある方は覗いてみてください。

AVTOKYO meets HackerJapan
http://ja.avtokyo.org/meetshj

さて、最後にみなさんにお土産?です。
DEFCON CTFの決勝会場ではフォーチューンクッキーがばらまかれていました。ふつう、フォーチューンクッキーの中にはことわざのような短いメッセージが書かれた紙が入っているのですが、DEFCONのフォーチューンクッキーはひと味違います。みなさんぜひご賞味ください。

2

福森大喜さん:エフセキュアブログメンバーご紹介

高間さん星澤さん岩井さんにつづいて、Webアプリケーションセキュリティの専門家でいらっしゃる福森大喜さんに、先月から当ブログのオフィシャルコメンテータとしてご参加いただいております。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

さっそく、福森さんのご紹介を申し上げたいと思います。

11月下旬、神田の福森さんのオフィスでお話をお聞きしました。

●福森大喜さん

福森 大喜(ふくもり だいき)
株式会社サイバーディフェンス研究所 上級分析官

大手セキュリティベンダーでIDS、IRT等に従事した後、Webアプリケーションのセキュリティ検査サービスを立ち上げる。その後、Webセキュリティベンチャーを設立。2009年よりサイバーディフェンス研究所に参加。


専門領域:
Webセキュリティ、ペネトレーションテスト、マルウェア解析

受賞:
2007年 第3回 IPA賞(情報セキュリティ部門)
2009年 グーグル Native Client セキュリティコンテスト 世界4位

寄稿記事:
ここが危ない!Web2.0セキュリティ」 (gihyo.jp)
セキュリティから読み解くWeb2.0」 (警察庁@police)
いざラスベガス、いざDEFCON CTF決勝へ」 (@IT)
など

講演実績:
2007年4月12日 セキュリティ・ソリューションフォーラム(「Web 2.0は危険がいっぱい」)
2007年4月26日 RSA CONFERENCE JAPAN(「Webセキュリティはなぜ破られるのか」)
2008年10月11日 AVTokyo 2008(「Flashを媒介したXSSワームの可能性」)
2007年11月15日 POC Korea 2007(「Attacking Web 2.0」)
2008年11月 Email Security Expo & Conference 2008(「SQLインジェクションの基本と応用」)
2009年4月22日 Shibuya Perl Mongers テクニカルトーク(「Native Client Hacks」)
など
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード