写真1●Hardening One Remixでグランプリを獲得した「Team EJ」。会津若松市から参戦した。
写真1●Hardening One Remixでグランプリを獲得した「Team EJ」。会津若松市から参戦した。
[画像のクリックで拡大表示]

 Webサイトの運用力を競うセキュリティ競技会「Hardening One Remix」の結果発表を兼ねた振り返りの会「Softening day」が2013年7月13日に都内で開催された(写真1)。参加8チームの頂点に立ったのは福島県会津若松市のIT企業の若手技術者が集まった「Team EJ」。技術点などいくつかのポイントでは他チームに及ばなかったものの、高い顧客対応力などが功を奏して総合点で今回の頂点に立った(関連記事:セキュリティ競技会「Hardening」の第3回が開催、ECサイトの運用力を競う)。

 「Hardening One Remix」はECサイトを運営する仮想企業のシステム運用担当になって、未知のハッカーからの様々な攻撃に耐えつつ、Webサイトの運用スキルを競う趣旨のセキュリティ競技会である。主催はWebアプリケーションのセキュリティ情報の共有を目的に活動する非営利団体Web Application Security Forum(WASForum)。昨年2回の開催を経て、7月6日に開かれた第3回では、過去2回の参加者は「ピン枠」と呼ぶ「助っ人」での参加しか認めないなど、新機軸を導入して開催された。

写真2●参加各チームの「指標別ランキング」。技術点と顧客点トップはチーム ぐるーすだった。
写真2●参加各チームの「指標別ランキング」。技術点と顧客点トップはチーム ぐるーすだった。
[画像のクリックで拡大表示]

 参加チームは、主催者が仕組んだ様々な障害やサイバー攻撃への防御に徹しつつ、サイトの運営をできるだけ継続し、ECサイトの売り上げを立て続ける必要がある。顧客サポートや社内調整なども同時に要求されるなどリアルな設定で「サイト運営の実践力」を競う。8時間後のサイトの総売り上げのほか、顧客対応や運用報告書の出来なども採点対象になる(写真2)。

 13日に行われたSoftening Dayは最終結果の発表だけではなく、参加各チームによる自チームの戦いぶりの振り返り発表や主催者側の攻撃概要の解説が披露された。チームごとに異なる運用ノウハウなどを共有し、お互いにスキルを高めていくという趣旨である。

技術的なぜい弱性を突く攻撃だけでなく、標的型攻撃も

 主催者の解説によると。各チームのWebサーバーやECサーバーのソフトウェアには数々の脆弱性が組み込まれていたようだ。バックドアなどが仕掛けられていたほか、バージョンが古くセキュリティ・ホールが残ったままのソフトが敢えて使われていた。サイトの起動前にこれらを十分チェックできたのはごくわずか。最後までそのままというチームもあった。

 技術的な脆弱性だけではなく、コンプライアンスや顧客対応の点についても数々の罠が仕掛けられた。

 例えば各チームには外部から「社長のメール」を装ってマルウェアを仕込んだPDF付きのメールが送られていた。うっかりPDFを開いてしまったチームもいくつかあったようだ。またマルウエアを検出した場合は現実と同じくIPA/ISEC(独立行政法人 情報処理推進機構 技術本部セキュリティセンター)に連絡することが求められていたが、その対応を欠いたことで、減点されたチームもあった。

 攻撃側が仕掛けた罠は脆弱性だけではない。ECサイトが公開している「規約」の文章にワザと瑕疵が仕込まれており、競技中にECサイトの利用者(主催者)から、この点を指摘するメールが送られた。チーム側は社内外の規則に沿った対応が求められた。例えば規約を改正するにも、きちんと社内手続きを踏む必要があった。

「知識があっても実際に攻撃を受けたら間に合わない」

 グランプリを獲得したのは「Team EJ」の勝因の一つは、これら顧客対応力に優れていたことがあったようだ。ピン枠としてチームに参加した女性技術者の貢献が大きかったようだ。チームにはCTFで9位に入賞した実績のあるメンバーが2人いて、こうした競技に慣れていたことも大きかった。

 第2位は「bitter One(びたわん)」。競技の冒頭で主催者の設定の不具合から自チームのサーバーにアクセスできないという不運に見舞われながらも好成績を残した。実は同チーム、主催者の設定ミスを「仕組まれた攻撃」と判断、素早くネットワーク内を探索して、別のサーバーを見つけ出して起動させた。だがこれは別のチームのECサーバーで、図らずも「他チームのサーバーを乗っ取った」形になってしまった。主催者も全く予期しないトラブルで、その技術力には審査員も舌を巻いたという。

 各チームの発表では「ほとんどの攻撃の手口は知っていたが、実際に仕掛けられるとすぐに対処できなかった」という感想が相次いだ。「現実でも同じことが起きる。こうした競技に参加することで、即応力が磨けるのではないか」と評価する声も多かった。また、8時間という競技時間は短すぎるという感想に対しては主催者側が「次回は3日間、72時間やりますか?」と問いかけ、大きな歓声があがる一幕もあった。

■変更履歴
当初、本文3段落目で「主催者が仕組んだ様々な障害やサーバー攻撃」としていましたが正しくは「主催者が仕組んだ様々な障害やサイバー攻撃」です。同じく本文4段落目で「自チーム闘いぶりの振り返り発表」としていましたが正しくは「自チームの戦いぶりの振り返り発表」です。お詫びして訂正します。本文は修正済みです。[2013/07/17 12:00]