2016年2月5日
2016年2月5日
2016年2月5日(金)
ASEAN初のセキュリティコンテスト「Cyber SEA GAME 2015」
NPO日本ネットワークセキュリティ協会(JNSA)
林 佳子
2015年秋に、NPO日本ネットワークセキュリティ協会(JNSA)ではSECCON実行委員会の協力のもと、ASEAN地域におけるCTF大会「Cyber SEA GAME 2015 (Cyber South East Asia Game)」の運営・技術支援と問題提供そして予選四カ国(タイ・ミャンマー・ラオス・カンボジア)の開催支援を行いました。
「Cyber SEA GAME」はASEAN地域におけるサイバーセキュリティ業務に携わる若者を育成支援し、ASEANにおける人的ネットワークを強化するための施策として企画されたCTF大会です。CTFとは、Capture The Flagの略で、情報セキュリティ分野で技術を競う手法の1つであり、高い知識、技術力、経験だけでなく、チームワークも必要な競技です。
ASEAN各国の予選大会は2015年10月に開催され、JNSA/SECCON実行委員会では上記4カ国での現地運営支援を行いました。予選大会は各国のCERTなどの協力のもと運営されましたが、企業スポンサーを募り大々的に開催した国から、主に学生を参加対象としアットホームな雰囲気の中で開催する国など運営体制は様々でした。
そして「Cyber SEA Game」決勝戦は、2015年11月11日(水)にインドネシアのサリ・パン・パシフィックホテルで開催され、シンガポールを除く9カ国から14チーム42人の若者が参加しました。最初から最後まで圧倒的な強さで優勝したのはベトナムの学生チームで、2位が直前接戦であったタイチームでした。そして3位は中盤からスコアを伸ばしたフィリピンと開催国インドネシアが同点という結果でした。
決勝戦の問題はインドネシアCERTであるID-SIRTII/CCが主体となり作成し、JNSA/SECCON実行委員はスコアサーバの提供や難易度の高い問題を提供するなどのサポートを行いました。CTFにつきもののアクシデントはいくつかあったものの、ID-SIRTII/CCとSECCONメンバーの努力により、ASEAN初のCTF大会は無事に終了することができました。優勝したベトナムチームとタイチームは2016年1月31日に東京電機大学(北千住)で開催されたSECCON2015決勝戦へ招聘されました。
今回の「Cyber SEA Game」はASEAN地域での初の若者対象のCTF大会として開催されましたが、SECCONメンバーにとっては準備期間の短さや初めての海外CTF大会の運営支援など様々な苦労がありましたが、メンバーのチームワークでなんとか乗り切ることができました。CTFの輪をASEAN地域にに拡げ、ASEAN地域での情報セキュリティ人材育成と業界の活性化のため、引き続き私たちが出来る支援を行っていきたいと思います。今回の「Cyber SEA Game」の紹介のためのビデオ映像も公開していますので、ぜひご覧下さい。
https://www.youtube.com/watch?v=kK8BAhXcvcA
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月5日(金)
情報セキュリティの運用面での脆弱性情報にも届出制が必要なのではないか。
株式会社エネルギア・コミュニケーションズ 基盤サービス部
EGNサービスチーム サブマネージャ 濱本 常義
筆者は広島という地方で、電力系通信会社に所属し、電力グループ、地域の情報セキュリティ対策のお手伝いをしています。また、個人で、セキュリティもみじという、広島でのオフラインの情報セキュリティ勉強会や、IPAのセキュリティ・キャンプ事業のお手伝いなどをしております。
皆さんの記憶にも新しいと思いますが、某通信教育会社の個人情報漏えい事案後、組織内の情報セキュリティ対策が、単なる実施したかどうかではなく、より厳密に、その運用状況のチェックまで求められるようになりました。
該当の企業も、後に出てきた報告書を見る限り、USB経由での書出しに対しては、書出し制御するシステムが導入されていたり、データベースでの大量の個人情報の取得を監視しているなど、性悪説を念頭に対策がされているように見えました。このように、ほぼ国内トップクラスのセキュリティ対策をしていたにもかかわらず、事件が発生してしまった点を見ると、悪意を持った作業者が、自分の与えられた権限内で悪意をもって行動した場合に、その犯行を防ぐのがいかに難しいかが分かります。また、一度作ったセキュリティシステムのセキュリティレベルを維持することの難しいさも分かって、身につまされる事件でした。
筆者においても、この事案、非常に感慨深いものとなりました。なぜなら、実は、この事案の情報漏えいの運用面での脆弱性となっていた携帯電話の該当OS(Android 4.0)が備えるファイル転送のMTP(Media Transfer Protocol)によって、企業のUSBデバイス接続の制限が効かなくなる脆弱性について、実は事件が発生する2年も前の2012年には気がついていたからなのです。
当時、Galaxy Nexusを私用で買って自宅のPCに繋げたときに、携帯電話がUSBストレージではなくて、携帯電話のアイコンになった事に気がつきました。疑問に思って調べて見ると、Andoroid 4.0以降では、ファイル転送に、デジカメなどが使っているプロトコルMTPが採用されている事が分かりました。(当時、主流だったAndoroid 2.0系のファイル転送はUSBマスストレージ機能などでした)ここで、これは情報漏えいに悪用できるのではないかとピンときました。なぜなら、筆者はエンドポイントの資産管理系のデバイス制御に対応したセキュリティ製品を構築・運用していた経験があり、これらの製品が経験上、OSの新しい機能などに対応、追随できず、本来有効であるべきセキュリティ対策が一時的に無効になってしまう事があることを経験的に知っていたからです。
確認してみると、案の定、ファイル操作系のAPIを使ってファイル操作を記録していたり、USBマスストレージに対するデバイス制御を行なうタイプのセキュリティ製品のファイル操作履歴取得機能やデバイス制御機能が、Andoroid 4.0系の携帯電話には効かない事が分かりました。筆者は,セキュリティ製品が機能対応するまで待てなかったので、Microsoft標準のActive Directoryの機能でクライアントOSにおいてWPD(WindowsPortable Devices)の接続を禁止するグループポリシーで、クライアントPCとAndoroid携帯電話の接続を無効化することで対応しました。
これは、私がセキュリティ診断系の技術者でもあり、OSなどの新機能や管理機能があった場合に思考を悪人視点で逆転させて、管理者にとって便利な運用機能は、攻撃者にとっても便利な機能であるということをいつも念頭にして思考するよう心がけていたからです。かつ、セキュリティ製品の構築・運用の経験があり、セキュリティ製品には運用面、技術面で穴があることが多いことを知っていたからこそ気がついたのです。セキュリティ診断技術者のように攻撃者の視点で物事を思考することを日常的に行なっておらず、セキュリティ対策製品の導入時の機能を信用して運用だけしている方々では、なかなか気がつかなかったのではないかと思われます。
事実、私が脆弱性を発見した当時、この問題に気が付いて警鐘を鳴らす者も、国の機関も組織もありませんでした。これらの脆弱性の注意喚起を行うIPAやJPCERT/CCからも注意喚起が出ていません。なぜなら、この機能は、単にPCから携帯電話へファイルが書き出せるOSの機能としては正常な機能で、厳密にはOSやアプリケーションの機能としては脆弱といえるものではなかったからです。ある意味、情報セキュリティにおける対策当初は対策がなされた情報持ち出しのリスクが、OSやアプリのアップデートを行っていく過程で新たに生まれた、いわば運用面での脆弱性であったからです。
このセキュリティ対策製品の脆弱性を、筆者は気がついた当時、公開しませんでした。なぜなら、以下の理由からです。セキュリティ対策製品のアップデートは、本番業務に影響がないように安全な運用を求められる性格上、安易にアップデート作業を行ないません。アップデートは、運用中のシステム全体を対象に慎重なテストを経てから導入しなければ、却ってシステムの可用性等が損なわれるおそれがあります。そのため、インターネット上で、直接リスクにさらされているわけでもなければ、導入されたセキュリティ対策の機能に満足している間はそんなに頻繁にアップデートしません。自身も、セキュリティ対策製品の運用者でもあったため、今回の事例のように、セキュリティ対策製品が新たに生まれたリスクに対する対策の機能が対応していないにもかかわらず情報公開してしまうと、運用面でのゼロデイの脆弱性となってしまい、日本中のセキュリティ製品の運用者が困ってしまうと思ったからです。
この脆弱性が存在しても,ファイル操作で機密情報の情報持ち出しの記録はほぼ取れますし、情報持ち出しが禁止された組織において,ファイル操作履歴などから、後で必ずばれるリスクを侵して会社のPCに私物の携帯電話を繋げる可能性は低いだろうと考えました。そして,セキュリティ対策製品がこの脆弱性に対応したら、WEB媒体でこの記事を書いて啓発しようと思っていましたが、日々の忙しさにかまけて情報公開しないうちに、某通信教育会社の事案が起きてしまったのは痛恨の極みです。
また、某通信教育会社事案発生時の手持ちの運用面での脆弱性としては、Andorid携帯電話のBlueTooth接続でのデザリング機能がありました。これは、利用IDがユーザ権限のPCでも、BlueToothデバイスがインストール可能で、そのBlueToothデバイスとAndoroid携帯とのペアリング後、デザリング機能で組織のインターネット接続の裏口として利用可能で、さらにそのPCとAndroid携帯との間で、FTPや、ファイル共有機能を使って情報持ち出しが可能でした。これも危ないと言うことで、複数のデバイス制御系のセキュリティ製品対策メーカに連絡して、デバイスのホワイトリスト化機能が必要ではないかということを伝えました。かなりのセキュリティ製品が対応したので、これを機会に、情報公開したいと思います。
このように、日々、私達のような情報セキュリティの運用に携わる者の元にあるセキュリティ製品の運用面での脆弱性ですが、実は情報共有の手段が非常に個人的なつながりに頼ってしまっていると感じています。似たような試みの、JPCERT/CCの脆弱性情報ハンドリングの対象は、ソフトウェア/ハードウエアシステム等におけるセキュリティ上の欠陥に係わる情報で、IPAの脆弱性関連情報の届出受付などは、ウェブアプリケーション(ウェブサイト)およびソフトウエア製品の脆弱性関連情報が対象です。今回、該当する運用面での脆弱性の届出先としては、どちらもしっくり来ませんので、新たに運用面での脆弱性情報届出制度があっても良いのではないかと思います。こういった、届出制度が実施されることを望みます。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。