5月25日から27日にかけ開かれた「コンピュータ犯罪に関する白浜シンポジウム」で,学生がサーバー防御技術などを競う「情報危機管理コンテスト」が行われた。学生がサーバーの管理者となり,発生した事件(インシデント)に対する対応をいかに適切に行うかを競うもので,今年初めて開催された。
同志社大学,関西大学,帝塚山大学とカーネギーメロン大学日本校からAチームとBチームの2チーム,計4大学5チームが参加した。インシデントのシナリオ作成,コンピュータ環境の設定は和歌山大学システム情報学センター泉裕氏と和歌山大学の学生が担当した。
1日目には,侵入者は学生チームが管理するLinuxサーバーに,ftpサーバーのバッファ・オーバーを突いて不正侵入したという想定でのインシデント対応などが行われた。Webサーバー設定ファイルhttpd.confを書き換えて外部からファイルを変更できるようにしておき,Webページを次々と改ざんした。学生チームは改ざんされた箇所を突き止め,再発しないようにftpサーバーの停止やhttpd.confの復旧といった対応を行わなければならない。また実際の業務さながらに,ユーザーからサービス障害について問い合わせる“クレーム・メール”も送付され,これにも応対しなければならない。
2日目にはSQLインジェクションによる不正アクセスも発生。perlのCGIスクリプトに不備があり,PostgreSQL内のデータが改ざんされた。rootkitが設置されたり,ルーティング・デーモンのroutedが不正に起動され,ネットワークにアクセスできなくなるというインシデントも起きるなど,合計8件のインシデントが“発生”した。
学生チームは時には運営委員のアドバイスも助けにしながら,異常に気付き,WebDAVやcrontabなど様々な場所に仕掛けられた侵入口を付き止め,クレームメールにも対応していった。
審査の結果,同志社大学チームとカーネギーメロン大学日本校Aチームに優秀賞が授与された。同志社大学チームは対応の迅速さ,カーネギーメロン大学日本校Aチームはレポートの完成度が評価された。
ちなみにコンテストが開催されていた最中,運営委員の一人である京都大学大学院助教授 高倉弘喜氏(関連記事)によれば,京都大学に対する不正侵入が実際に発生していた。侵入者は京都大学のftpサーバーに対しブルートフォース(パスワードを総当りで試す)攻撃を実施。しかしブルートフォース攻撃は陽動で,実際には別の方法で京大内のあるサーバーに侵入され,バックドアが設置されたという。高倉氏はコンテストに立ち会いながら,京大内のサーバーおよびルーター約3000台の中から不審な通信内容によってバックドアが設置された1台を突き止め,サーバー管理者に連絡し不正侵入に対処した。この間約20分程度だったという。
「コンテストでは自分が管理者権限を持つマシンに対するインシデント対応だったが,実際の現場では管理者でないマシンへのインシデントに対応しなければならないケースがほとんど。コンテストの参加者の皆さんには,そういったケースにも対応できる技術を身につけてほしい」(高倉氏)。
図らずもインシデント対応技術の切実な必要性と,奥深さを感じさせるコンテストとなった。
【訂正・追記】
初出時rootdとなっていましたが,routedに訂正いたしました。また第3段落の1文目にわかりにくい表現があったため,1文目の最後に「したという想定でのインシデント対応などが行われた。」と補足しました。(5月29日 17:37)
