ど~もeagle0wlです(再)

140文字では収まらないネタを記録するブログ

ハッカー競技会/カンファレンス『SECCON2016決勝大会』に行った

セキュリティ 雑記

ブログを2ヶ月も放置してしまった。

f:id:eagle0wl:20170130232945j:plain

2017/01/27-29に東京電機大学 北千住キャンパスで行われたハッカー競技会/カンファレンス『SECCON2016決勝大会』に行った。
2016.seccon.jp

f:id:eagle0wl:20170130232957j:plain
私はこういう人らしいです。

CTF(競技ハッキング)は世界中で行われているもので、その中でもラスベガスで開催されるDEF CONが最高峰とされている。SECCONの活動はCTFがメインだったのだが、今回は非IT業界向けのセッションやハンズオン、400人規模(!)で行われた初心者向けCTFなどが大幅に拡充され、幅広い層が参加していた(IoTワークショップには小学生が参加していた)。


週刊ビッグコミックスピリッツハッカーが登場する漫画『王様達のヴァイキング』の作者が登壇するセッションがフォーカスされていた。自分は裏のセッションを手伝っていたので見ることはできなかったが、女性の観覧者が多かったらしい。技術監修がついており、画面も攻撃のシナリオに沿ったものを作っているそうだ。なぜSECCONと『王様達のヴァイキング』が繋がったのかというと、去年のSECCONの全国大会の様子がテレビで放送された際の映像と王様~の一コマが酷似していたり、実際の出場者に酷似した人物が登場していることがSECCON参加者の間で話題となり、「直接取材に来てもらっていいのに」みたいな所から今回のゲスト登壇となったのだ。
www.sankei.com

SECCON CTF決勝で優勝したのはCyKor(サイコ)という韓国のCTFチームで、2位は韓国、3位は中国のチームだった。日本勢の上位は5位だった。このニュースは共同通信日経新聞BBCでも配信され、新幹線の中の一行掲示板や、地下鉄のサイネージでも報道されていたらしい。AbemaTVも取材に来ていた。

日本のまとめ系ニュースの反応を見ると、上位となった韓国、中国のチームを賞賛する声がある一方、泥棒国家とか国家ぐるみで情報戦に取り組んでいるから得意なんだろというお決まりのコメントが見られる。確かに中国(や韓国)が犯人とされているサイバー犯罪は多数ある。しかし、陸・海・空・宇宙に続く第五の戦場がサイバー空間と呼ばれるようになった今、優秀なハッカーを抱えることは国防にも繋がる訳だが、念仏平和主義が今なお続く日本は大幅に遅れを取ってしまっているのが現状である。でも、新安保や米軍基地に反対してプラカード掲げているような人たちは頭が古いので、サイバー戦争には全く口出ししない、というか口出しできるほどの知能を持ち合わせていない(情報戦も戦争のひとつなのに!)。銃火を交える戦いと違ってサイバーに関して言えば、邪魔も入らないので粛々と進めていけばいいのだが。

で、なぜ韓国が強いのかについては、以下の記事で明確に述べられている(記事中の「今年度のCTF」は2015年度を指す)。
blog.f-secure.jp

SECCON 2015 Final および 2016 Finalで優勝したCyKorの母体は、BoB(Best of the Best)というサイバーセキュリティエリート技術者養成所で、苛烈な選考が行われていることで知られている。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。

エントリの続きでは、この選考過程において行われた講義について書かれている。志願者の中には学生であるにも関わらず休学して(退路を断ってまで)BtoBに挑んでいるという。優秀な人材が集まるのも当然といえる。ちなみにこの記事を執筆した福森さんはインターポールに在籍している本物のハッカーである。
【サイバー犯罪に国際新組織】トップは日本人警察官僚 /日本人「ハッカー」も勤務/シンガポール : 47トピックス - 47NEWS(よんななニュース)

海外から来たCTFプレイヤー/チームは完全なガチ勢で(決勝進出して来日までしているから当然ではあるが)、さまざまな国に遠征しているチームは、周囲の理解を得たり遠征費用などを捻出するためのセルフブランディングのスキルにも長けている。各国のCTFに参加して成績を出すことが業務の一つとなっている実業団みたいな所もある。韓国のSECUINSIDEのような高額な賞金の出るCTFを荒らしてるような人もいる。その中には、iPhonejailbreakに初めて成功し、PS3ハッキングでソニーを激怒させ、Chrome脆弱性を発見して報奨金15万ドルを獲得し、普通の自動車を自動運転化する改造キットをわずか一ヶ月で開発するも当局の圧力により断念しオープンソース化させたgeohotがいる。

このCTFはピラミッドの頂点、超エリートを発掘するという意味ではうまく機能している。その一方で、ピラミッドの底上げとしての易しめのCTFを取り揃えた学生主導の企画「CTF for ビギナーズ」が各地で行われているが、今回のSECCON決勝大会では400人近くが詰めかけ、本当に「満員御礼」の状態。レクチャーの後に、皆黙々と課題に取り組む姿はかなり異様に見えたが、ここまでの規模のCTFがオフラインで行われたことは壮観である。

f:id:eagle0wl:20170130233028j:plain

日本の情報セキュリティ業界も、CTFや経済産業省主導のセキュリティ・キャンプのように、少数の天才を発掘・育成するアプローチが注目を集めている。しかし、IoTやソーシャルゲームのようないきなり普及したジャンルにおいては、CTFで例えると10~50点レベルの超簡単な脆弱性がゴロゴロ存在している。業務などでその惨状を体感した身からすると、少数の天才を発掘・育成しても彼らが救うのことのできる製品のセキュリティはたかが知れている。それよりは非セキュリティエンジニアのセキュリティ意識をほんの少し上げるだけでも世の中は何万倍も良くなると思うので(予算が膨れ上がってしまうという悩ましい問題もあるが)、両輪で世界がより良くなって欲しいと思う次第である。

togetter.com

www.youtube.com
CTFの可視化に使われた『NIRVANA改 SECCONカスタム Mk-III』。年を重ねる度に洗練されていて素晴らしい。開発リーダーの意向もあり日本のSFアニメで描かれていた未来がモリモリ取り込まれている(昨年度は攻殻機動隊とコラボしている)。

お知らせ&イベント | 「NIRVANA改 SECCONカスタム Mk-III」でサイバー模擬攻防戦を視覚化! (2017年1月28日(土)・29日(日)) | NICT-情報通信研究機構

f:id:eagle0wl:20170130233054j:plain

最後にひとつ。全国大会が終わったばかりなのにもう次のイベントが動いている。

サイバーコロッセオ×SECCON 2016
2020年東京オリンピックパラリンピック競技大会開催に向けた総務省のセキュリティ演習事業「サイバーコロッセオ」とコラボした「サイバーコロッセオ×SECCON」を3月5日(日)に秋葉原で開催するそうだ。