技術

「ほこ×たて」対決の功罪、ロシア人ホワイトハッカーに裏側を聞いた

https://xtech.nikkei.com/it/article/Watcher/20130702/488888/を保存しました。

浅川 直輝
日経コンピュータ

なぜ、こうなった――フジテレビの人気番組「ほこ × たて」で 2013 年 6 月 9 日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカー VS 絶対に情報を守るネットワークセキュリティー」という触れ込みである。

IT 記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。

結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ × たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。

今回の「ほこ × たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への取材から、この番組の功罪について考えてみた。

ルールの解釈に齟齬があった対決のルールを簡単に説明しよう。3 台のパソコンに、番組の出演者の画像ファイルをそれぞれ 1 つずつ入れておく。攻撃側はネットワーク経由でパソコンに侵入し、対象の画像ファイルを抜き出せば勝ちとなる。防御側はハッキングを防ぐため、パソコンに対して事前にあらゆる策を講じる。攻撃側には、あらかじめ対象ファイルのファイル名を教えてある。

番組では、巧みなハッキング技術でパソコンに侵入するような様子はほとんど描かれなかった。その一方でクローズアップされたのは、「同じファイル名の画像ファイル約 5 万枚をハードディスクにバラまき、対象ファイルの特定を難しくする」、「対象ファイルのファイル名を変更し、攻撃側に見えないようにする」といった、一般的なセキュリティ技術とは外れた攻防だった。確かにテレビの表現としては分かりやすいが、ハッキング勝負としては首をひねらざるを得ない。

この勝負の背景や技術の詳細については、防御側であるネットエージェントの杉浦隆幸社長が明らかにしている。OS 自体は多くの脆弱性が修正されていないサービスパックなしの Windows 2000 Server で、既知の脆弱性を突けば簡単に侵入できる状態だった。その上でネットエージェントは、設定によるセキュリティ強化を行ったほか、同じ名前のファイルを 5 万枚用意したり、アプリケーションの使用履歴を削除したり、データを暗号化したりといった防衛策を行った。詳細はネットエージェントの公式ブログをご覧いただきたい。

IT 記者として公正を期すため、攻撃側である楽天所属のロシア人ハッカー、マラット氏にも話を伺ったので、ここで紹介しておこう。

マラット氏が率いるチームは、1 台目のパソコンの侵入には成功したものの、約 5 万枚の画像ファイルを前に大いに困惑したという。1 台目のパソコンに隠された対象ファイル「takahiro.jpg」が示す人物(タカアンドトシのタカ氏)について、チームメンバーはほとんど何の予備知識もなかったためだ。最終的に画像ファイルを見つけはしたが、実際には番組スタッフから正しい画像のヒントをもらった、というのが真相に近いようだ。

2 台目のパソコンに保存した画像ファイルについて、番組では「防御側はファイル名を変更し、攻撃側にファイルが見つからないようにした」と説明されていた。杉浦氏の公式ブログによれば、これは画像ファイルを TrueCrypt というツールで暗号化したことのテレビ的表現だったようだ。

このファイル暗号化については、双方の話を聞く限り、ルール上の扱いについて攻撃側、防御側の要望や解釈に食い違いがあり、それが実際の勝負において混乱を招いたようだ。

マラット氏は、対決のルールを決める際、ファイルの暗号化を禁止するよう番組側に要請していた。短時間のハッキング勝負で正規の暗号を使われると、ブルートフォース(総当たり)攻撃では時間内に暗号を解読できず、防御側が圧倒的に有利になるためだ。

だが、最終的に双方に配られた対決ルールでは、ファイルのリネームは禁止となった一方、暗号化の禁止は明文化されなかったという。マラット氏は 2 台目のパソコンへの侵入には成功したものの、対象ファイルが暗号化されていることを知り、「このルールでは戦えない」とギブアップした。暗号を解く鍵は番組名「ほこ × たて」を改変したものだったが、類推するには至らなかった。

今回の勝負では、防御側、攻撃側ともに、与えられたルールのもとで互いに全力を尽くしたのは間違いない。番組の制作者も、難解なハッキングの世界を分かりやすく伝えるよう、知恵を絞ってルールに工夫をこらしたのだろう。だが、双方が納得する対決ルールを整備できたとはいえない中で、残念ながら攻撃側、防御側、そして視聴者に不満が残る結果になってしまった。

ホワイトハッカーへの認知広まる

さて、これまで長々と番組の「残念な点」について語ってしまったが、私はこの番組には大いに評価する点もあった、と思っている。ホワイトハッカー(正義のハッカー)という存在を世に知らしめたことだ。

日経コンピュータ 5 月 30 日号の特集「もうサイバー攻撃は防げない」で、私は企業が求めるセキュリティ人材の 3 類型を挙げた。サイバー攻撃を受けた時の組織的対応を指揮する「インシデントハンドラー」、ネットワーク機器のログを解析して攻撃の兆候をつかむ「分析官」、そして最後が、ソフトウエアの脆弱性を指摘してシステムの堅牢性を高めるなどの特殊技能を持つ「ホワイトハッカー」である。

サイバー攻撃からシステムを守るには、サイバー攻撃の最新手法を知る必要がある。自社でホワイトハッカーを抱えることで、あらゆる製品やサービスについて事前に脆弱性の有無をチェックし、サイバー攻撃に備えることができる。

米国では既に、企業によるホワイトハッカーの雇用は当たり前の光景だ。米国防総省やロスアラモス国立研究所といった重要施設が、「DEF CON」などのセキュリティイベントで求人ブースを出している。

ホワイトハッカー受難の時代は終わるか

日本では長らく、ホワイトハッカー同士が公開の場でハッキングの腕を競うような場がほとんどなかった。

国内では 2000 年に不正アクセス禁止法を施行して以降、他人のシステムへのハッキング行為そのものが犯罪扱いとなった。2003 年に経済産業省が企画したセキュリティイベント「セキュリティ甲子園」は、「犯罪行為を助長する」などの批判を受け、中止に追い込まれている。それ以降、サーバーへの侵入を前提とした競技を行うセキュリティイベントは、国内ではほとんど開かれなかった。

楽天 システムセキュリティ室 の福本佳成室長は、この空白の 10 年のうちに、世界のハッカーと日本のハッカーとの実力差が大きく開いてしまったと嘆く。「例えば、かつては韓国人ハッカーの実力はそこまで高くなかったが、政府が優秀な学生に奨学金を出して国際セキュリティイベントに送り出すなど強力にバックアップした結果、今や実力の差は歴然としている」(福本氏)。実際、韓国で開催されるセキュリティイベント「CODEGATE」は、今は世界中から腕自慢のハッカーが集まる国際セキュリティイベントとなった。「国に頼れとは言わないが、ハッカー同士が競い合う場は大事。ホワイトハッカーを育成する上で、一番を目指して技術を競い合う場は必要だ」と福本氏は力を込める。

日本のホワイトハッカーの尽力もあり、ハッキング技術を競う場は徐々にだが増えつつある。2013 年 2 月に開催された学生向けセキュリティイベント「SECCON 2012」の決勝戦では、参加者が互いに攻撃側、防御側に回ってハッキングの腕を競う、サーバー侵入型の競技が行われた。次回の「SECCON 2013」は、文部科学省、経済産業省、警察庁といった政府機関の後援を受け、2013 年 8 月から地区予選がスタートする。

そして楽天の福本氏は、国際的なセキュリティイベント「楽天オープン CTF(仮)」を 1 年以内に日本で開催することを目指し、検討を進めているという。CTF とは Capture the Flag の略で、ハッキング技術により、隠されたデータを見つけ出す競技だ。楽天はこれまでも社内のセキュリティ技術者向けコンテスト「楽天 CTF」を定期的に開催していた。これを外部の技術者にも開放する考えだ。海外から高い実力を持つハッカーを招聘し、日本の技術者とともに腕を競う。「日本のハッカーに、世界トップのハッカーの腕前に触れる機会を提供したい」と福本氏は意気込む。

こうしたセキュリティイベントが質・量共に充実し、企業がホワイトハッカーを積極的に雇用することで、国内の IT セキュリティの実力が高まることを期待したい。そして私もメディア側の人間として、セキュリティやハッキングの技術の魅力を分かりやすく伝えるよう、知恵を絞りたいと思っている。