本日の情報セキュリティコラム(2014年2月14日)
本日の情報セキュリティコラム(2014年2月14日)
2014年2月14日
シンデレラは本当に末永く幸せだったのか
高橋 睦美
皆さんもよくご存じの童話「シンデレラ」のお話は、「そして、王子様とシンデレラは末永く幸せに暮らしました」と、めでたしめでたしで終わる。
しかし、時々考える。本当に二人は「末永く幸せ」だったのだろうかと。おとぎ話の中ならばともかく、現実は違う。結婚当初は幸せでも、時間が経つにつれて状況も環境も変わっていく。王子様が多忙になれば互いのすれ違いが生じるだろうし、お世継ぎが生まれれば教育方針を巡って意見が衝突するかもしれない。たぶん、一難去ってまた一難、という実情だったのではないか――そう考えると「めでたしめでたし」はしょせん一時的なもので、次々に降りかかってくる新たな課題への助走に過ぎないのかもしれない。
情報セキュリティに関しても、同じことが言えるのではないか。ある攻撃手法への対策を施し、1つの課題を乗り越えて「めでたしめでたし」と一安心しても、それで終わりではない。すぐに新たな脆弱性や攻撃手法が報告されたり、システム構成や組織体制が変わって新たなリスクが生じたりと、私たちを取り巻く状況は刻々と変わっていく。そのことを前提に、常に考えながら走り続けなくてはならない宿命を抱えているのが、この世界だ。おとぎ話の世界とは違う。
かつて私たちは、受信者の興味を引く添付ファイルによって次々感染を広げるマスメール型ウイルスに苦しめられたが、「不用意に添付ファイルを開かない」という教訓を共有することで、「めでたしめでたし」を目指した。しかし今度は、OSの脆弱性を突いて感染するワームが発生し、大混乱を引き起こした。そこで「パッチを適用し、ウイルス対策ソフトを導入して最新のパターンファイルにアップデートする」という基本対策を広め、そのための仕組みも作り上げ、「めでたしめでたし」を実現しようとした。すると次に現れたのが、ソーシャルエンジニアリングを駆使して特定の人をピンポイントで狙う標的型攻撃だ。最近ではその手法にもまた変化が見られるという。
つまり情報セキュリティの世界においても、「めでたしめでたし」は、手を伸ばしてもまた遠くへと逃げていってしまう蜃気楼のようなもの。だからといって、それを目指す努力を怠るわけにはいかない。
私はこれまで、セキュリティ事件に関するさまざまな記事を紹介してきたが、読者からの反応で最も多いのは、「で、結局どうすればいいの?」という疑問だった。特に、「この問題には、ひとまずこれさえ実施しておけば大丈夫」という、一種の「銀の弾丸」が求められているようなのだが、そこに危うさを感じる。もちろん、目の前の事象に対する対策を紹介することも重要だ。だが、目の前の問題に対策を講じたことに甘んじて、それ以上の歩みを止めてしまうことを何より危惧している。
情報セキュリティは一過性の課題ではなく、継続的な歩みであり、動き続ける目標に追随し続けていくことが重要である、という意識をあらためて持っていただきたいと強く願っている。同時に、それを可能にするさまざまな意味でのリソース――人やお金、組織、仕組み――を確保する必要性があるとも感じる。
たぶんシンデレラと王子様も、結婚後さまざまな問題に直面するたび、互いに話し合ったり、周りの家臣達にアドバイスをもらったり、必要な経費を工面しつつ時に隣国に助けてもらったり……なんてことを繰り返しながら、「大変だけど、まぁそこそこ、めでたしめでたし」の一生を送ったのではないかと思いたい。情報セキュリティ月間の中で、そんなことを想像している。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
日本のハッカーの底力とセキュリティコンテスト
竹迫 良範
世界で一番有名な日本人ハッカーは誰でしょうか?みなさん、ご存知でしょうか?
英語圏で聞いてみると、実はケビン・ミトニックの逮捕に協力した米国国籍の物理学者「下村努」さんが一番有名な日本人ハッカーです。このときの逮捕劇を書いた本は映画ザ・ハッカー(原題:Takedown)の原作にもなりました。下村努さんを越える知名度のハッカーが日本で誕生することはあるのでしょうか?
現在、世界から見た日本のセキュリティのイメージは残念ながらあまり良いものではありません。相次ぐ情報漏えい事故や初歩的なウイルス感染の事件が報道されていて、日本にはきちんとした技術力を持った強いセキュリティ技術者が存在しないのではないかと世界からは思われています。この日本のイメージを覆すことはできないかと、昨年からセキュリティコンテストSECCON実行委員会を組織して活動を開始しています。
世界ではCTF(Capture The Flag)という競技大会が各地で開催されていて、世界的にはほぼ毎週どこかでCTFの大会が開かれているまでになっています。CTFは元々旗取り合戦の意味で、日本語ではサイバー騎馬戦と言えば良いでしょうか。疑似的なサイバー空間上で情報セキュリティ技術をチームで競う大会の一種です。
自国のハッキング能力の高さを示すために、他国のサーバを勝手に攻撃することは倫理的に出来ませんが、CTFというゲームのルールに則ったコンテストで日本のチームが上位に来ることによって、その実力を正々堂々とアピールすることはできるはずです。日本にもきちんとした技術力を持った強いハッカーが存在していることを世界にアピールできる恰好のチャンスです。
野球やサッカーなどのスポーツの分野では、世界に通用する人材を日本から輩出できていますが、それは甲子園予選やアマチュアスポーツ大会など多くの地方大会が盛んに行われていて、全国の学校に野球グラウンドやサッカーコートなどがあるからです。工学系の分野だと高専ロボコン、各種プロコン、技能五輪などの成功事例が数多くあります。これらの現状に対して、日本のセキュリティ分野のコンテストはまだその段階にはありません。これから地道に土壌を整備していく段階です。
SECCONは、日本でCTFの枠にとらわれない様々なセキュリティコンテストを実施し、世界に通じる優秀なセキュリティ技術者を輩出するための環境を各地に作って、地元に文化を根付かせることを目標としています。将来の日本のセキュリティ技術者がハッキング技術を勉強する場としてSECCONが存在し、大会出場がその一つのきっかけになってくれることを願っています。
アンダーグランドの世界に引きこまれないためにも、家庭や学校や職場の理解を常に得つつ、表舞台でセキュリティ技術を学び、それが社会に役立ち、正当に評価される環境を日本でも作ることが大事です。現状のSECCONでは、数多くの後援団体様や協賛企業様のご支援を受けながら活動を続けており、大変感謝しております。
今後ともSECCONの活動にご注目ください。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。