A world safe for exchanging digital information
Trend Micro CTF 2018 - Raimund Genes Cup報告

サイバーセキュリティの国際競技会を通じてセキュリティ人材の育成に貢献

トレンドマイクロは2018年12月15日~16日の2日間、東京都内においてセキュリティ技術の知識や実践力を競い合う競技大会「Trend Micro CTF 2018 - Raimund Genes Cup」(以下、Trend Micro CTF)の決勝戦を開催した。今年で4回目となるこの大会には59以上の国と地域から740チームが予選にエントリー。決勝戦には世界10の国と地域から予選を勝ち抜いた精鋭が集結した。

セキュリティ人材を育成

セキュリティ人材の不足が深刻化している。経済産業省が2016年に公開した「情報セキュリティ人材の不足数と将来推計結果」によると、2020年にはセキュリティ人材が19万3,000人も不足するという。

あらゆるモノがインターネットにつながるIoT(Internet of Things)時代──。ビジネスの可能性は広がり、人々の生活はより便利になると期待されている一方で、セキュリティ侵害が生活や社会に与える影響が、これまでに以上に大きくなりつつある。例えば、個人宅を見守るWebカメラが悪意のある第三者に乗っ取られればプライバシーは丸裸にされ、自動車や工場、社会インフラを制御するシステムがサイバー攻撃を受ければ、人命にかかわる事故や工場/社会インフラの停止といった事態に発展しかねない。

その意味でも、優秀なセキュリティ人材を育成することは、社会全体にとっての喫緊の課題と言える。

この社会課題を解決すべく、トレンドマイクロが推進している取り組みの一つが、セキュリティの知識や実践力を競い合うCTF(Capture The Flag)の国際競技大会「Trend Micro CTF」である。2015年に1回目を催し、2018年末の開催で4回目を迎えたこの大会には、20歳以上であれば世界中の誰でも参加することが可能だ。

2015年の初回からTrend Micro CTFの運営責任者を務めるトレンドマイクロ上級セキュリティエバンジェリストの染谷征良(マーケティングコミュニケーション本部 カンパニーマーケティング部 部長)は、大会の目的についてこう話す。

「近年は、企業/組織の情報システムを標的にしたサイバー攻撃だけでなく、社会インフラや工場の制御システム(ICS)などを狙った攻撃も急増し、サイバーリスクの深刻度、そして防御の難度は上がり続けています。だからこそ、慢性的なセキュリティ人材不足は是が非でも解消しなければなりません。トレンドマイクロでは、当社のリアルな知見に基づいた実際的なスキルや知識をより多くの技術者に習得していただく目的でTrend Micro CTFを実施しており、世界各地での地域大会の実施や共催を含めその取り組みを継続して強化しています」

「知識」「技能」の総合力を問う

では、Trend Micro CTFとは、どのような競技なのか──。

CTFの競技スタイルは、自陣営のサーバを防御しつつ、他陣営のサーバをハッキングして自陣営の管理下に置き守るという「旗取り合戦」である。参加チームは攻撃に成功した回数やスピードはもちろん、防御(自陣営の管理下)状態にある時間などを点数化し、その総合点数を競い合う。この競技で勝ち抜くためには、システムやネットワーク、プログラミング、暗号化など、セキュリティに関連した広範で深い知識はもとより、実際に“手を動かす”技能も要求される。つまり、セキュリティに関する総合的な実践力が試されるのである。

Trend Micro CTF 決勝戦で、限られた時間で問題を解き進める競技メンバー

Trend Micro CTFでは、インターネット上で実施される「オンライン予選」から始まる。2018年大会における予選は9月15日13時(日本時間)に始まり、24時間以内に用意された問題を解いて得点を競う「ジェパディ(Jeopardy)形式」で行われた。

12月15日~16日に東京の特設会場で実施された決勝戦には、この予選を通過した上位10チームと、トレンドマイクロが南米、欧州、中東で主催、共催した各イベントで優勝した3チームが参加している。決勝戦は、アタック・アンド・ディフェンス形式とジェパディ形式の組み合わせで行われ、優勝チームには100万円、2位には30万円、3位には20万円が賞金として贈られる。

実践的なスキルに徹底してこだわる

近年は、Trend Micro CTF以外にも、大小さまざまなCTFが開催されている。ただし、セキュリティベンダーが、日本を拠点にグローバル規模でCTFを開催するというのは、Trend Micro CTFが初の試みと言える。

先にも触れたとおり、その大きな目的は、セキュリティ人材の育成にあり、特に、人材の「実践的な技術力とスキルを磨くことに力点を置いています」と、染谷は付け加える。

この目的の下、Trend Micro CTF 2018の問題作成に当たったのは、マルウエア解析や脆弱性リサーチ、IoT/ICS調査研究などを行っているトレンドマイクロのセキュリティスペシャリストである。普段は顧客のインシデント対応を行っているメンバーが、現実世界で起こりうるインシデントを想定し、「もし、顧客の環境でこのような攻撃が仕掛けられたらどのように防御するか」という視点に立って問題を構成した。

これらの問題によって、バイナリの解析やネットワーク上に流れるパケットを分析し、脅威を特定する能力や、サーバシステムやWebアプリケーションの脆弱性を発見し、対策を講じる技量が試される。また、問題の種類も多岐にわたり、標的型サイバー攻撃やランサムウェアなどに関する内容はもちろん、IoTや制御システム、スマートホームで利用されているシステムの攻撃/防御手法も対象とされている。

例えば、スマートホームのシステムに侵入してパスワードを盗取し、IPカメラの制御を乗っ取ったり、製造ラインで異常を知らせるパトランプシステムの脆弱性を突いて、その制御を乗っ取ったりしたら、得点が与えられる。

「攻撃を成功させるには、(各レイヤーの防御を突破するという)段階を踏む必要があります。こうした問題でも『実践』にこだわりました」と、染谷は説明する。

パトランプシステムの脆弱性を突いて、得点が与えられる

また、問題の作成にかかわったトレンドマイクロのセキュリティエンジニアは、決勝戦での競技設計についてこう話す。

「決勝戦はアタック・アンド・ディフェンス形式とジェパディ形式を同時に実施するため、チーム内での戦略的な役割分担が必要です。その上で、インシデントレスポンスでの正確性やスピード、さらにはプログラム解析のスピードを競えるようなゲームデザインにしています。また、アタック・アンド・ディフェンス形式で解析するファイルの1つは、5分ごとに微妙に変更されます。ですから、手動解析ではまったく追いつかないので、各チームはファイルを見た瞬間に自動解析ツールを開発しなければなりません。そうして開発した解析ツールの正確性や、解析の仕方も重要なポイントと言えます」。

競技状況をリアルタイムに可視化

CTFの運営で自らのスキルも向上

問題作成・運営に携わったトレンドマイクロのセキュリティエンジニアに聞くと、CTFでの問題作りは、トレンドマイクロのスタッフにとっても自己研鑽を図るよい機会であるという。

「参加チームが問題をどうやって解くかを想定することは、『実際のハッカーがどんな攻撃を仕掛けてくるのか』を読むことと同義です。その読みを働かせたうえで、『どうすれば安全なシステムを構築できるのか』『トラブルが発生した時にどう対処するのか』もシミュレートしなければいけません。そうした意味でも、トレンドマイクロのエンジニアにとっては技術向上の良い機会であり、お客さまにも“プラスアルファ”のサービスが提供できるようになります」。

実際、問題を作成する過程で、自分の課題を見付けたエンジニアもいる。「問題の作成には、20代の若手エンジニアが積極的にかかわりました。その過程で彼らは、『自分はプログラミングスキルが弱かった』『自分は近視眼的な発想が多かった』といった気づきも得たようです」と語り、こう続ける。

「自分にない技術を各メンバーが共有し、それを組み合わせて有益な競技会を作り上げていくという体験は、トレンドマイクロにとってもプラスになっています」

業界の活性化に寄与できる場を作る

Trend Micro CTF 2018で優勝したのは台湾から参加したチーム「217」だ。217は米国ラスベガスで毎年開催されるハッカーの祭典「Def Con」のCTFでも好成績を残している実力派である。今回の優勝について217は、「(アタック・アンド・ディフェンスのなかで)乗っ取ったサーバを守り続けることに苦労しましたが、その苦労を乗り切ったことが勝利につながりました」とコメントしている。

一方、2位になったポーランドのp4も、セキュリティ業界では知られたチームだ。チームメンバーの1人は、「Trend Micro CTFは一昨年に続いて2回目の参加ですが、サーバを攻防しつつ、(ジェパディ形式の)問題を同時並行で説いていくことが、ほかのCTFとは違った難しさがあり、苦労しました」と話す。

実は、今回決勝で勝ち残ったメンバーの多くは「セキュリティスペシャリスト」ではあるが、セキュリティを専門職にしているエンジニアではない。取材に応じてくれたp4のメンバーも、普段はインフラ系のソフトウェア開発を手掛けており、「セキュリティは趣味に近い」と言い切る。

「ソフトウェア開発はゼロから何かを作り出す仕事ですが、セキュリティはソフトウェアの品質を高める仕事です。お客さまのためにソフトウェア品質の向上を追究するなかで、セキュリティに興味を持つようになりました」(p4メンバー)

こうした人材を含めて、「多くのエンジニアがセキュリティの面白さや醍醐味、奥深さを知るきっかけとしても、Trend Micro CTFは有効です」と、トレンドマイクロのセキュリティエンジニアは語り、こう話を締めくくる。

「さまざまなバックグラウンドを持った人たちがセキュリティに興味を持ったときに、楽しく学び、スキルが磨ける“場”やコミュニティがあれば、セキュリティ業界がより活発化し、優秀な人材も自ずと増えていくはずです。Trend Micro CTFのようなトレンドマイクロの取り組みが、そうした場の形成やコミュニティ形成の一助になればうれしいかぎりです」

台湾から参加した優勝チーム「217」

記事公開日 : 2019.2.22
 この記事は、公開日時点での情報です

TREND MICROはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2019年2月現在のものです。内容は予告なく変更になる場合がございます