アイ・ディフェンス・ジャパンが3月17~20日に開催するセキュリティ対策セミナー「Ultimate Hacking」に参加した。Webサイトや企業ネットワークへの侵入を企てる攻撃者(クラッカ)の手口を実地で学び,その対策を習得するためのセミナーである。参加して有益だと感じたのは,受講者がそれぞれ専用のパソコンを与えられ,実際の攻撃ツールなどを試しながら学習できる点だ。

 初日の3月17日にはまず,クラッカがWebサイトや企業ネットワークを攻撃するための手がかりを得る方法を講義した。例えばWebサイトの管理者の名前が分かったときに,そのサイトをどう攻撃するか。検索サイト「Google」が提供しているNetNews検索サービスに,その担当者の名前を入れてみる。もしかしたら担当者の過去の投稿に,Webサイトのサーバーの種類やネットワーク構成などが記載されていているかもしれないからだという。その担当者が個人で公開しているサイトも検索してみる。家族やペットの名前が記載されていれば,管理者アカウントのパスワードを推測する有力な手がかりとなる。その後,対象サーバーとの間に存在するルーターなどの所在を調べるツール「Traceroute」や,ネットワークを流れるパケットを検査するツール「Etherreal」,「nmap」や「SuperScan」などのポートスキャナなどを使った実地トレーニングを実施した。

 2,3日目は,それぞれWindowsとLinuxマシンに対する攻撃方法と,その防御方法について講義する予定である。それぞれ最後の約2時間で,教室内のサーバーに攻撃を試みる。受講生でチームを組み,どのチームが最初に侵入できるかを競い合う。最終の4日目は,ファイアウォールやWebサーバーに対する攻撃手法について講義したあと,WindowsやLinuxが混在したマシン群を攻撃する実地トレーニングを実施する。

 今回のセミナーは,米Foundstone社が米国などで開催しているもので,日本での開催は今回が初めて。同社の講師2人が来日し,パソコンやサーバーは米国から持ち込んだ。教室内にLANを構築し,攻撃を試すためのサーバーを設置。そのサーバーに対して,脆弱性の有無を調べたり,侵入を試みたりする。受講者が使うパソコンには,Windows2000とLinuxをデュアルブートでインストールしてあり,切り替えて利用できる。攻撃用のサーバーもWindowsやLinuxなどを用意する。インターネットへのアクセスも可能で,攻撃に便利なWebサイトなどにアクセスしながら学べる。講義は4日間あり,料金は58万円。

 アイ・ディフェンス・ジャパンは,同じセミナーを6月,8月,11月と年内に3回開催する予定。定員はそれぞれ30名である。Foundstoneは,今回のUltimate Hackingのほか,Windowsに特化したコース,プログラムの安全なコーディング手法を学ぶコースなど約10種類のセミナーを米国では開催している。日本でもコースのバリエーションを広げ,2004年度には毎月セミナーを開催したい考え。今年度内に日本人の講師を育成し,2004年度には日本語による講義も行う予定。なおFoundstoneは,こうしたセミナーを開催するほか,セキュリティ検査ソフトなどを開発・販売しているベンダーである。「Hacking Exposed」(邦題:「クラッキング防衛大全」)の著者が所属している。

(安東 一真=日経バイト)