千葉大学主催ハッキングコンテスト
セキュリティバグハンティングコンテスト、スタート!!
概要
少なくとも千葉大学内ではそれなりに話題になっていた、国内大学初の試み、セキュリティバグハンティングコンテスト。
その講習会兼バグハンティングの開会式が今日行われ、参加してきた。
詳しいことを知りたい人は公式ドキュメント
http://www.chiba-u.ac.jp/general/20161124secbugcon.pdf
を読んでいただくとして、私の方からは最低限の簡単な説明だけしようと思う。
セキュリティバグハンティングコンテストとは
大学側の目的
セキュリティバグハンティングコンテストの公式ドキュメントを見ると、「セキュリティの向上」に加え、「人材育成を目指す」と書いてある。
セキュリティの向上、が指しているのは、学生たちにいわゆる、ホワイトハッカーとしての働きを期待しているという意味だろう。
ホワイトハッカーとは、Webサイトの管理者に依頼を受けて、Webサイトのセキュリティ上の問題(脆弱性と呼ぶ)を探し、報告する人のことである。
そこで見つけてもらった脆弱性を参考にセキュリティを強化するのだろう。
あるいは、このコンテストを開催することで、Webサイト管理者のセキュリティ意識が向上することも考慮しているのかもしれない。
人材育成については、学生にセキュリティに関心を持ってもらいたい、ということなのだと思う。
実際、このイベントでは私が今日参加したハンターライセンス取得のための講習会に加え、事前に初心者向け講座も一度開かれていて、できる限り門戸を広く構えようという姿勢は強く感じた。
ちなみに、Webセキュリティの専門家というのもいて、そういった人たちに診断をお願いすると、何百万という単位でお金がかかるらしい。
このセキュリティバグコンテストだって、時給換算で相当稼いでいる教授や社長たちが大勢携わって何回も審議を重ねて企画されているとは思うので、単純に値段で比較して安上がりと言えるのかはわからないが。
あとは、話題を作りたい、リベラルで革新的な千葉大学のキャラ付けをしたい、という意図もあるのかもしれない。
事実、事前告知の段階からメディアの取材を歓迎する旨を表明している。
とにかく、一石四鳥を狙うような、チャレンジングな企画だ。
コンテストの流れ
バグハンティングと言うと健全そうだが、実際やっていることはハッキングと紙一重だ。
今回は千葉大学の許可のもと、千葉大学の特定のサーバーに対して攻撃をしていいことになっているが、普通はこのような攻撃を仕掛けた場合は犯罪だ。
学生が身につけたばかりの技術を試そうと軽い気持ちでよそのサーバーをめちゃくちゃにしてしまったら、コンテスト自体が責任を問われかねない。
この辺の問題について、このセキュリティバグコンテストでは慎重にシステムが作られていて、今日の講習会に出席し、倫理面法律面技術面についての講座を聞いた人のみが、ハンターライセンスを取得し、コンテストへの参加件、ひいては千葉大学のサーバーへの攻撃権を得られることになっている。
ちなみに、このハンターライセンス、かなりクオリティが高く、いい紙に凝った幾何学模様がテカテカのインクで印刷してあって、このコンテストを開催している団体C-csirtのリーダーの今泉教授のサインもしっかり入っている。
実際問題、参加した人の名簿だけあればいいわけだが、ソフトなウェアで形のないものを扱うIT関係のイベントだからこそ、こういう形に凝るところ、遊び心があっていいと思う。
もしかしたら、子供気分でうっかり許可のないサーバーに攻撃しちゃったりしそうなお転婆さんも、こんな風にライセンスとして賞状を渡されたら、しゃきんと背筋が伸び、責任を持った行動を取るようになるかもしれない。
協力会社
このコンテストは、全面的に株式会社セキュアスカイ・テクノロジー(以下セキュアスカイさん)に協力してもらっているようだ。
ハンターライセンス取得講習会講師にしろ、採点官にしろ、いたるところでセキュアスカイさんの名前が見える。
セキュアスカイさんは、前述したようなWebセキュリティの審査を専門に行っている会社なのだが、乗口代表取締役の開会の挨拶によると、Webセキュリティは最近注目されはじめた分野で、需要に対して人材の供給が足りていないらしく、セキュアスカイさんは学生の育成に注目して力を入れているらしい。
講座にしろ、イベントの運営スタイルにしろ、常に丁寧に「学生さんに教えたい」「学ぼうという意欲に応えたい」という姿勢を見せてくれて好感が持てた。
私は当初、元から凄腕ハッカーのような人たちが賞を独占し、私のような素人は審査員の眼中になく参加賞だけもらって帰ることになるのだろうと思っていたのだけれど、どうやら建前だけでなく本気でセキュリティ素人に頑張ってもらいたいらしい。
レポートの審査基準も、単純にバグをいくつ見つけたか、ということだけでなく、いかにわかりやすく伝えるか、という形式的な部分、コミュニケーションとしての側面も重視するということだった。
本当に実践でセキュアスカイで働けるような、セキュアスカイのお客さんにセキュリティの問題をきちんと伝えられるような人を求めているのだろう。
学生の立場から見て
私のようなセキュリティアマチュアからしたら、前述の通り素人に丁寧に教えてくれるこのイベントは学習の機会として興味をひかれるものではあった。
おそらく、高度なハッキング技術を持ちながらも、法律や倫理に縛られそれを持て余している学生にとっても、合法的にその技術をふるい、企業や社会に自分の技術をアピールできるこの機会はきっと魅力的なものだろうし、セキュリティどころか今までほとんど通信の仕組みなんて知らなかったって学生でもついてこれるように丁寧にカリキュラムが組まれている。
実際のところ、これに参加することでどれほど自分の技術が磨かれるのかはまだわからないし、それは自分次第だと思っているけれど、参加する学生も想定より多かったようだし、今のところこの企画は学生にも受け入れられているように見える。
私の周囲でも、時間の都合がつかなかったりの事情はありつつも、興味を示している友人はたくさんいたし、今回のハンターライセンス取得講座には参加できなかったが後日行われる補講に参加したいと言ってる人もいた。
講習会に参加しておいてレポートは提出しなくてもペナルティはないし、学生側にデメリットは特にない。
最初からレポート提出しないつもりで講習会に参加してもいいし、正直私も講習会に参加する以前は、レポート出すかどうかはあとで決めるとして、一応ハンターライセンスもらうだけもらっておくか、程度のつもりだった。
ちなみに今は、レポート出すだけで参加賞もらえるらしいし、よほど忙しいとかでなければ枯れ木も山の賑いということで、自分にできる分だけやって提出しようかなー、という方に心が傾いている。
唯一不満があるとすればレポートの受付期間が、講習会が終わってから一ヶ月と短いことだ。
しかも、時期的に年末年始とかぶる。
冬コミともかぶる。
個人的には、インターンシップの申請とも被るし、いくつかの講義の課題の締め切りともかぶる。
私は関係ないが、学部4年と修士2年は卒論/修論ともかぶる。
このせいでだいぶ参加人数減ってるんじゃないかという気がする。
十分期間があったらこの1.5倍は来てたんじゃないだろうか。
おそらくこれは初めての開催だったから開催時期が予定より遅れたなんて事情もあるんじゃないかと邪推している。
次に開催するときはぜひ、十分な期間を用意してほしいなと思う。
講習会の感想
講座は、石井副学長(千葉大学)から法令・倫理のついてと、長谷川常勤技術顧問(セキュアスカイさん)から技術についての二本立てだった。
ちなみに参加者はざっと見た感じ40人ぐらいだっただろうか。乗口代表取締役は、もっと少ない10人ぐらいかと思っていた、とびっくりしていた。
そうかな、私は思ったより少ないと思ったぞ。
法令・倫理
法令・倫理については、このコンテストとは関係のなく一般的に、どこからハッキング、犯罪になるのか、という話が主だった。
だいたい、「管理者がアクセスさせたくないと思うものにアクセスしたらダメ」とか「通信に関する情報はだいたいなんでも傍受したらダメ」とか、言われなくてもそれはそうだ、と思うような内容だった。
私は「言わなくてもわかると思った」は言い訳にならないという主義なので、当たり前でもこういうことを確認するのは大切なことだと思う。
技術面
これについては非常に人材を育成しようという強い意思を感じた。
頼まれたから断れなくていやいや教えてるとかじゃない、わかりやすく教えようと、どうしたら伝わるのか最大限工夫しようと努力しているのだと思う。
事前に行われていた初心者向けの講座では、パソコンやインターネットの基本的な仕組みを扱ったらしく、今回の講座の技術面ではその応用、セキュリティに特化した話だった。
IPAの応用技術者試験とかセキュリティスペシャリスト試験とかで見たような内容もあったけれど、それらの試験では「こういう概念を利用して攻撃をしてくる人がいるので、こうしておけば安全です」と攻撃の手法はざっくりと、対策については具体的に問われるのに対して、今回の講座では、攻撃の手法の方を具体的に教わった。
その中で紹介されていた書籍類がこちら
- 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
- 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- HTTPの教科書
- Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術
それから、学修すると役に立つものとしてWebアプリケーション診断ツールが3つ紹介されていた。
正直一か月の間、普段の授業等もこなしながらこれらすべて目を通したうえで攻撃を試みレポートを書くのはとてもじゃないが無理そうだ。
誰か詳しい人がいたらどれを優先すべきなのか教えてほしい。
というかかなり教育的なイベントなのだから、開催側の誰かにコンタクトとって尋ねてみればおすすめしてくれるのかもしれない。
セキュリティバグハンティングコンテストに参加しておいてなんだけれど、私は正直ハッキングとか怖いし異世界だし自分は触れることはないだろう、と思っていたので、実際に演習用ウェブサイトでSQLインジェクションやクロスサイトスクリプティングを実行し、ハッキングに成功したときは、なんだか新鮮な体験をしたという気持ちだった。
用意されたバグでもちょっとはわくわくするんだ、製作者の意図していないセキュリティホールを見つけたりしたら、その喜びはひとしおだろう。
本番で使うウェブサイトは、実際に現在も使われている千葉大学の学生ポータルだ。
なんだって。もし攻撃に成功してデータ消し飛ばしたりしちゃったらどうするんだ。
まあ、コンテストなんてやらなくてもワールドワイドウェブに公開されているウェブサイトは日夜ハッキングの脅威に晒されているのだから、未熟な学生攻撃者が40人ぐらい増えたところで大したことないのかもしれない。
果たしてそうなのかな。天才ハッカーと呼ばれる人たちは総じて若いし、もしかしたらそういうヤバい人もこの中には一人や二人いるかもしれないぞ……?
ちなみに学生ポータルはバグが多いことで有名だ。
今年度から採用されたシステムだが、4月当初はバグの大喜利なんて言われてtwitterにバグ画像が溢れていたし、今もマシになったとはいえ動作は安定していない。
前期の成績証明書は平均GPAの表示が狂っていて、訪ねてみたら学生ポータルのバグが原因らしい。
講習会に参加する以前は、学生が、少なくとも私みたいな素人がそう簡単にプロが作ったWebサイトの脆弱性を見つけられるわけないし、形だけ調べて「バグは見つかりませんでした」と報告しておしまい、だろうと思っていたのだけれど、本番サイトが学生ポータルだと俄然事情が変わってくる。
なにかしらは見つけられる気がしてきた。
少なくとも、私が見つけなくても誰かは見つけるだろう。
実際、私の友達も早速脆弱性を見つけたと言っていた。
あらら。
考えたこと
ACCSサーバ事件
法令・倫理面での講座で、2003年のACCSサーバ事件の話があった。
セキュリティイベント中に、発表者がACCS(コンピュータソフトウェア協会)のサーバーにその場でハッキングをし、不正アクセス禁止法違反として検挙された、という話だ。*1
どうやら、以前にも同様の手口で個人的に個人情報を入手していたらしく、発表時がはじめてだったわけではないことを講習会後に調べて知った。
一言目の感想として、かわいそうだ、と思った。
もちろん、不正に個人情報を入手しているのだから、単純に犯罪だし、なによりその手法を公開したら他のひとも簡単に真似できてしまうのだから、まずい。
検挙されるだけのことはやっていると思うし、仕方ないとは思う。
ただ、それにしても、高い技術を持っている人なのに、悪者みたいに扱われてしまったことが純粋に感情としてかわいそうだと、残念、もったいない、と思う。
技術に伴うだけの倫理観、と一般には言われるもの。
私は、「倫理観」という言葉の「空気読め」「常識的に考えろ」感が嫌いなので、社会と共に生きていくためのスキルと呼ばせてもらうけど、そのスキルがあれば、彼は高い技術を持つ人として評価されたはずだ。
このエピソードは他の学生にとっても印象的だったようで、この講習会のあと一緒にご飯を食べに行った人も、「ACCSサーバ事件、かわいそうだと思った」と言っていた。
才能
サーバーにダメージを与え損害を出すブラックハッカーを、いかにセキュリティの向上に貢献するホワイトハッカーに引きこむか、という問題に、私は以前から関心があった。
今回の講習会では比較的もともとハッカーではなかった人材をホワイトハッカーに育てるという側面に焦点が当てられていたが、演習をしてみればしてみるほど、ブラックハッカーとしての素質がある人間にはセキュリティ技術では敵わないのだな、と感じた。
実は、一年ほど前、はじめて元ブラックハッカーと友達になった。
彼は子供がポケモン赤でミュウを出しているのとはレベルが違っていて、何百万と簡単に稼いで見せ、トラブルを起こしまくり、高校を危うく退学になりかけたマジものだ。
法に縛られず、欲求のままに貪欲に技術を磨いてきた人間に、お行儀よく必要だと言われて勉強をした人間が技術力で適うわけないと、彼を見ていると思う。
少なくとも、技術面で最先端を争うのはきっとそういうやつらで、私達がセキュリティのためにできることがあるとすれば、彼らが発見した手法を真似して試してみたり、それをセキュリティに活かすため管理者に、社会に伝わるように言葉にしたり、そういう部分なのだと思う。
たとえそれが限られた極小数の才能にあふれた人間でなくてもできるような、地味な仕事でも、それが社会に求められいる限り稼ぐことはできるし、それだって立派な生産性のある仕事だと思うけれど、ハッカーの素質がある人たちがみんなみんなブラックハッカーになってしまってホワイトハッカーにならなかったら、きっと立ち行かなくなってしまう。
そんな気がする。
理解のある社会へ
それに、何より、そういう優れた技術を持っていて尖っている人たちが、社会に居場所があると、受け入れられてると感じられるような社会の方が、尖ってる人たちだけじゃなくて、きっとみんなにとって生きやすい。
ブラックハッカーは、人とコミュニケーションを取らないわけじゃない。
そうだったら、私は彼と友達になれていないし、彼自身ブラックハッカーだったころにも組織に所属し、組織だってハッキングしていたと言っていた。
多分、ハッカーの根底にあるのは、人に技術を認められたいという思いだ。
これはハッカーに限らず、エンジニアでも、クリエイターでも、みんなそうだと思うけれど。
彼らは孤独に生きているわけじゃない。
彼らを理解し、認めてくれる人たちのコミュニティに住み、そのコミュニティに認められるように自分の技術を用いるのだ。
自分の金銭のためだけに、あるいは自分一人で楽しむためだけにハッキングをしている人はきっととても少ない。
もしかしたら誰よりも他人を必要とし、求めているのかもしれないとすら思う。
ブラックハッカーの平均年齢は低いらしい。
30代とか20代とかそんなレベルじゃない。
中心となって活動しているリーダーは中学生とか、小学生とかだってこともざらにあるそうだ。
年をとるにしたがって、社会に目を向けるようになり、社会と共に生きる術を探しはじめるのだと思う。
おそらくASD気質のある子供は、他人の気持ちを理解できなかったり、言語能力にクセがあり、誤解されやすかったりで、集団に馴染めない上、ひとつの物事への集中力が高く技術を身につけやすいので、そういったブラックハッカーになりやすいのではないかと思う。
ホワイトハッカーを増やす試みは、きっと発達障害の理解と切っても切れない関係にある。
今回のセキュリティバグハンティングコンテストは、天才を対象にしたものというより、もっと一般の人に広く間口を開こうとしているように見えたので、ここでこんな話をするのは趣旨が違うかもしれないけど。
今後、Webセキュリティの意識はどんどん上がっていくのだろうと思う。
そうなったときに、尖った天才ハッカーを排除する方向ではなく、お互いに歩み寄り受け入れて共にセキュリティを向上させていく方向に進んでほしい。
おまけ。王様達のヴァイキングを布教したい
ちなみに、天才ハッカーの話と関連して、私が最近とても推しまくって、親や友達に布教している漫画を紹介しておこうと思う。
王様達のヴァイキング、という漫画だ。
主人公の是枝くんはまさに典型的な天才ハッカー。
ハッキング以外のことはからきしダメで、肝心なことはいつも言葉足らずで人に伝えられないし、お風呂も嫌い、手触りの悪い服も嫌いで、いつもおんなじお気に入りの服を来て、テーブルの下にもぐりこむか、体育座りの姿勢でパソコンをいじっている。
ハッキングを日常的に繰り返し、唯一の親友とペットのニゴロ(256)以外には理解者がいなかった是枝くんが、エンジェル投資家坂井さんと出会い、社会の中に居場所がほしい、人に認められたいと不器用ながらもがく物語。
坂井さんたち、是枝くんが出会っていく人たちがみんないい人で、是枝くんの真っ直ぐさと高い技術を評価し、応援してくれる。
是枝くんも坂井さんも周りの人たちも、それぞれ個性豊かに真っ直ぐ人に向き合う優しいいい人たちで、読んでいてとても爽快な気分になれるし、最初はお互いのことを理解しきれず、ぶつかったり遠回りしていた坂井さんと是枝くんが、徐々にお互いを理解し、補いあう建設的ないい関係を築いていく様も、過剰に美化されておらず、現実味があっていい。
あと、正直是枝くんがASDにしか見えない。
この漫画が流行ったらASDへの理解も広まるんじゃないかと思うぐらいASD性を感じる。
そんなわけで、特に「天才」や「アスペルガー」とどう付き合ったらいいのかわからない、という人たちに読んでほしい漫画だ。
残念ながら、まんがワンでの掲載は終わってしまっているが、各種サイトで冒頭だけの無料試し読みはできる。
冒頭だけじゃこの漫画の魅力は十分には伝わらないのではないかとも思うけれど、まずは読むだけでも読んでみて、そしてもし興味を持ってくれたら単行本を買ってほしいと思う。
Amazonアソシエイトを試してみました。以下のリンクをクリックしていただけると私にお金が入るらしい。
買う側にとってもポイントが付く分定価で買うよりお買い得だと思うので、購入を検討している方は是非。
*1:追記:コメントを頂いたように事実の説明に誤りがあったため、修正しました。