2016年2月8日
2016年2月8日
2016年2月8日(月)
バグハンターとアスリート
セキュリティ・キャンプ 講師
西村 宗晃
製品やシステムの脆弱性を見つけ出し、報奨金制度を通じて報酬を得る者達を「バグハンター」や「バウンティハンター」と言う。私もその一人だ。昨年は約30件の脆弱性を指摘し、6万ドルを超える報奨金を得た。
私の周囲にもバグハンターが多く、お互いの編み出した攻撃手法や、その手法を思い付くに至ったプロセスなどを共有することがある。そんな彼らとの会話の中で感じるのは、実績のあるバグハンターはアスリートのような精神を持ち合わせているということだ。
世の中があっと驚くような脆弱性を見つけて巨額の報奨金を稼ぐ。その華やかなイメージとは裏腹に、脆弱性を探す行為(バグハント)そのものはとても地道な作業の繰り返しだ。対象とするシステムのソースコードを片っ端から調べ、様々な攻撃のペイロードを送っては、その反応を探る。そうした繰り返しの中で脆弱性の兆候を見つけ出すのだ。
ある兆候に気付くことができるか。そして、その兆候を手掛かりに脆弱性を立証できるか。全ては一瞬の閃きにかかっている。この閃きは待てばいつか訪れるものではない。普段から過去の脆弱性に定石を学び、他のバグハンターの手の内を研究する。そうして閃きが訪れる確率を高めていくのだ。
時には、他のバグハンターには見つけることのできた脆弱性を自分は何故見落としたのかを自らに問う。「そこには脆弱性が存在しないだろうという思い込みがどこかにあったのではないか?」、その原因を探る。闇雲にバットを振り続けるのではなく、己の癖や弱さと向き合い、自分のバッティング(バグハンティング)スタイルを見直すことが安定した成果を出す術となる。
閃きは精神状態にも左右される。思い付いたとおりの脆弱性が見つかり、「イメージ通りのプレー」ができることもあれば、長期に渡り全く閃きが訪れない不調の時期もある。他のバグハンターが好調な成果を出し続けている姿を横目に、自分の才能は枯れてしまったのではないかと不安に駆られることもある。
一定量を超えるプレッシャーは負のスパイラルを生む。だからこそ、自分が最もバグハントを楽しみ、ありのままのパフォーマンスを発揮できるようにコンディションを維持することが大切となる。こうした姿勢はアスリートに通ずるところがあるのではないだろうか。
バグハンターがアスリートであるならば、脆弱性対応の窓口で報告を受けるあなたは審判だ。彼らのプレーに対して公平な判定を行い、その結果をできるだけ早く返答してあげて欲しい。彼らはあなたの判定を今か今かと待っている。
バグハンターがアスリートとは異なるのは、その脆弱性が修正されて世の中に行き渡るまでの間、成果を公にできない点だ。長きの辛抱の末に脆弱性を見つけることができたときの感動はひとしおだ。しかしその感動は誰とも分かち合うことができない。だから一人、そっと成果を祝う。
脆弱性報告窓口に寄せられる一通のメール。その向こうには人がいてドラマがある。報告者とどう接するのが良いか分からず困ることがあるかもしれない。しかし恐らく彼らは敵でない。あなたのシステムの脆弱性が修正され、利用者の安全が守られることを願っている。報告された脆弱性を認めるにせよ認めないにせよ、お互いが納得のいくよう誠意を持って向き合って頂ければ幸いである。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月8日(月)
どうして君は他人の報告を信じるばかりで、自分の眼で観察したり見たりしなかったのか。
テクマトリックス株式会社 第2技術部 サービスエンジニアリング課
枦山 信一郎
タイトルに使わせてもらったこの言葉は、ご存じの通りガリレオ・ガリレイの「天文対話」に出てくる言葉です。
自戒の意味を込めて常に念頭に置き、自身で検証したり確認したりするプロセスを怠らないように心がけています。
情報セキュリティにおいては、新しい知識を習得したりインシデント対応を行ったりする際に、土台となる情報が確かなものでなければ時間の損失や、取り返しのつかない事態を招いてしまう場合もあります。
情報が確かなものである、という判断に近付くためには先入観の排除が重要なポイントだと言う事が出来るでしょう。フランシス・ベーコン(1561-1626)が提唱した「4つのイドラ」を用い、私が経験してきた情報セキュリティ業務の現場の事例に当てはめてみます。
| 種族のイドラ | 人間の本性や精神、五感に基づく偏見。 人間という種族そのものが持つ錯覚。 例:遠くにある山は小さく見える。 |
| 洞窟のイドラ | 各個人が経験してきた事や、受けてきた教育によって培われてきた偏見。 狭い洞窟の中にいて外の世界が見えないように、個人が持つ誤解。 例:自身の考えは、他人も同じであると思い込む。 |
| 市場のイドラ | 人々の交流の中で、言葉の不適切な使用によって生じる偏見。 |
| 劇場のイドラ | 伝統や権威のある学説等を、絶対的なものであると盲信する偏見。 劇場での芝居を、真実だと考えてしまうような誤解。 例:権威を盲信し、主義主張を無批判的に受け入れる。 |
[種族のイドラ ]
■データを目視でしか確認せず、重要な情報を見落としてしまう
⇒ログデータの中の文字列や、ファイルの存在の有無の確認などを視覚だけに頼ると見落としやチェック漏れによるミスを誘発しやすいため、手順化・自動化し誰でも実現可能な方法をとり、調査の証跡を残していくのが得策です。
[洞窟のイドラ ]
■「ウチのやり方で、今まで問題が起きていないから大丈夫」という主張
⇒そもそも攻撃されている事に気付いていなかったり、問題が起きた際に調査しやすい状態になっていなかったり、というケースも存在します。現状、対策を行っているのであれば、攻撃手法の多様化や偶発的な要因によるインシデントにも備え、定期的な情報セキュリティ施策の見直しが必要であると共に、極端に独自の手法や手順を使っていないか、属人的になっていないか、を客観視する事が重要です。
[市場のイドラ ]
■脆弱性の情報や、ニュースに過剰に反応する
⇒もちろん、システムに影響が及ぶのが明らかであれば対応を急いだ方が良いですが、攻撃が成立するにはどのような条件が必要か、「原理的 /技術的に可能」、というのはどれくらい容易なのか、また、攻撃された際に検知可能な体制はあるのか、などを見極めた上で実際の状況に見合った運用を行うべきです。
[劇場のイドラ ]
■「有名人や団体が騒いでいるから、重大な問題である」という思考
⇒情報として参考にするのは良いとは思いますが、解釈や説明が人や団体によって異なる場合がありますし、稼働中のシステムや環境にはそのまま合致しないケースもあります。可能な限り多くの情報を集め、正しく影響範囲を調査した上で優先順位を付け、対応に臨むべきです。
また、 WEB上に公開されている個人での調査結果や「まとめ」も、得たい情報がそこにあり、内容の正当性の確認が取れれば有効な情報の一つと言えるでしょう。
簡単な例を挙げてきましたが、実際の現場では先入観や偏見によって物事が正しく伝わらなかったり、誤解によって情報セキュリティの施策が間違った方向に進んでしまったりする事が多々あります。
そのような状況の中、様々な人との関わりを持つ事で多様な価値観に触れたり、自身に足りない知識を身につけたりする機会として、実務以外でも Hardeningや CTFなどのセキュリティ技術の競技に積極的に参加するようにしています。
これからも、自分の眼で観察するセキュリティを大切にしていきたいと考えています。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。