「IoT セキュリティハックコン神戸」。
2016年6月18日、兵庫県神戸市にある「株式会社 神戸デジタル・ラボ」のセミナールームにて、そのイベントは開催されました。
CHANGE-MAKERSでよくご紹介するハッカソンとは異なり、その内容を公式イベントサイトから引用すると、
というものです。
これは、IoTツールにおけるセキュリティの脆弱性を探し、その技術を競い合う完全な戦い。賞品も1位の現金100,000円を筆頭に、2位で50,000円、3位は30,000円と、参加者達を奮い立たせるには十分なご褒美で、中には「金欠なので参加した」というチームもあるほどです。
▼会場は完全満員御礼
会場を埋め尽くした参加者は総勢36名で計10チーム。1名を除いて全員が男性というのも都内で頻繁に行われるハッカソンとは少し異なります。とはいえ、そこはほぼ全員関西人 (筆者含む)。主催者からの説明も、自己紹介をするチーム代表も皆、話にきちんとオチをつけながら、和やかな雰囲気で準備がすすみます。
▼ホワイトハッカーでもありGIAC資格も保有するマシス・ザッカリー氏 (株式会社 神戸デジタル・ラボ)
▼すごくダークな事をされている感のあるラズパイ
▼ログイン問題のWebのソースと思われます。(右の方のタブに何やらありますが、そこはスルーで)
▼バイナリデータの一部をググっているようです。こういった一見無意味なデータの中からFLAGを探すこともあります
▼寺岡氏の解説
今回の設問は、簡単なTESTを除くと、5カテゴリーで9問。競技中、回答の収集や経過報告を行うスコアサーバーに、設問の内容が掲載されています。難易度に応じて配点が違う上、最初に正解したチームは配点に10%が加算になるため、難易度、チームの得意分野、持ち時間、主催者のクセなど様々な要素を考慮して、戦略的に戦っていく必要があります。
▼ファームウェアを解析する問題。問題の名前自体にヒントが含まれることもあるようです。
▼ログイン機能付きのWebへ、どうにかこうにかしてログインできたら○
▼まさかの「解けない問題」と、お詫びするPepper
ただ、ここでさらに驚いたのは、解けないはずなのに解けたチームがあったことです。
では、なぜ解けたのか?
全体を統括しているホラ貝のマシス氏に聞いてみたところ、
「んー、センスですね・・。」
おおお。これがCTF界でいう「エスパー」というやつでしょうか。そのセンスで解いたこの参加者は、なんと奈良先端科学技術大学院大学の現役学生。実は神戸デジタル・ラボさんが以前に開催した別のCTFイベントでも優勝した方で、ご本人に直接聞いてみたところ、やはり「勘」でIDとPASSを当てたということでした。すごい・・・。
各チーム、見えない敵と戦いながら18:00を迎え、CTFタイムが終了です。
その結果はー
1位: Epsilon Delta
2位: itto-net ⇒ これがエスパーチーム
3位: Gambare Tigers Jr.
▼後半はかなりのデッドヒートだったことが判明。
▼スコア表。2位のitto-netはネットワーク系の問題を全部正解したが、Binaryを解けず惜しくも2位に。
▼1位の Epsilon Delta。まさに賞金目当てのチームだった彼らが1位に!
▼2位のitto-net。中央があの凄腕エスパー学生です。
▼3位のGambare Tigers Jr.は後半に大逆転。
これは神戸デジタル・ラボの松本氏が、今回のイベントのために作ったWebアプリ。ただ、単なるテトリスではなく、ブロックを揃えても、並んだマスの番号が正しいIPアドレスでなければ加点されないという「クソゲーム」(本人談)です。
さっそくこちらからすぐに遊べます>>
▼数字が揃ってもIPアドレスとして不適切だとかなり上から目線で怒られます
これは、株式会社FFRIの愛甲健二氏が作成した「アセンブラテトリス」からインスパイアを受けて、今日のために作ったそうです。
もし、IoTをビジネスに深く取り入れられた後に攻撃を受けるとしたら、どういう攻撃があるのか? どうすれば事前に防ぐことができるのか? そのシミュレーションのためにも、今回のようなIoTを対象としたCTFイベントはとても大きな意味を持つに違いありません。
ホラ貝のマシス氏曰く、
「攻撃の方法がわからないと守ることもできないので、ハッカーの考え方を知ることは非常に大事だと思います」
人、物、金、情報などあらゆるものが東京へ一極集中する日本。セキュリティのエキスパート達もまた東京へ集まってしまう傾向があるそうです。かつて、神戸には、情報セキュリティ分野でのリーダー養成を目的としたカーネギーメロン大学日本校がありました (2010年廃校)。神戸でセキュリティのエキスパート達を育て、さらに雇用も創出していくという思いのもと、こういったイベントを開催するだけではなく、大学と連携して人材育成にも取り組んでいるそうです。
さらに、今回はCTFという手法でIoTのセキュリティについてイベントを行いましたが、次回は本当のハッキングコンテストで開催したい、ということでした。
今度はどんな猛者達が集まるのか、とても楽しみです。
2016年6月18日、兵庫県神戸市にある「株式会社 神戸デジタル・ラボ」のセミナールームにて、そのイベントは開催されました。
CHANGE-MAKERSでよくご紹介するハッカソンとは異なり、その内容を公式イベントサイトから引用すると、
チーム毎に一つのRaspberry Pi が配布されます。ネットワークサービスの脆弱性、ウェブアプリケーションの脆弱性、ハードウェアの脆弱性などの脆弱性を発見してエクスプロイトできるとフラグが出ます。簡単な問題からファームウェアのリバースエンジニアリング、ハードウェアの知識などが必要となる難しい問題まで様々用意してあります。 フラグをスコアサーバーに提出すると、ポイントがチームに与えられます。チャレンジが難しければ難しい程ポイントが高くなります。最後に最も多いポイントを稼いだチームが優勝します。
というものです。
これは、IoTツールにおけるセキュリティの脆弱性を探し、その技術を競い合う完全な戦い。賞品も1位の現金100,000円を筆頭に、2位で50,000円、3位は30,000円と、参加者達を奮い立たせるには十分なご褒美で、中には「金欠なので参加した」というチームもあるほどです。
▼会場は完全満員御礼
会場を埋め尽くした参加者は総勢36名で計10チーム。1名を除いて全員が男性というのも都内で頻繁に行われるハッカソンとは少し異なります。とはいえ、そこはほぼ全員関西人 (筆者含む)。主催者からの説明も、自己紹介をするチーム代表も皆、話にきちんとオチをつけながら、和やかな雰囲気で準備がすすみます。
▼ホワイトハッカーでもありGIAC資格も保有するマシス・ザッカリー氏 (株式会社 神戸デジタル・ラボ)
8時間に及ぶCTFがスタート!
一通り説明が終わり、全チームへ"ラズパイ"が配布された後の午前10時、戦いの幕開けにふさわしく、マシス氏が吹き鳴らす"ホラ貝"でスタートを切りました。これから18時まで、各チームが血眼になって「CTF (Capture The Flag)」を行います。 そして、その戦いの状況はリアルタイムでスコアサーバーのサイトから確認することができます。▼すごくダークな事をされている感のあるラズパイ
▼ログイン問題のWebのソースと思われます。(右の方のタブに何やらありますが、そこはスルーで)
▼バイナリデータの一部をググっているようです。こういった一見無意味なデータの中からFLAGを探すこともあります
そもそもCTFとは何か?
今までCTFを取材したことがなく、ベールに包まれている感が否めなかったところ、神戸デジタル・ラボの寺岡氏が色々と解説くださいました。▼寺岡氏の解説
今回の設問は、簡単なTESTを除くと、5カテゴリーで9問。競技中、回答の収集や経過報告を行うスコアサーバーに、設問の内容が掲載されています。難易度に応じて配点が違う上、最初に正解したチームは配点に10%が加算になるため、難易度、チームの得意分野、持ち時間、主催者のクセなど様々な要素を考慮して、戦略的に戦っていく必要があります。
▼ファームウェアを解析する問題。問題の名前自体にヒントが含まれることもあるようです。
▼ログイン機能付きのWebへ、どうにかこうにかしてログインできたら○
中盤で発覚したまさかの問題の不備と、それをものともしないエキスパート
競技も中盤になり、ここでファームウェアカテゴリーの問題に不備があり、解けないことが発覚。▼まさかの「解けない問題」と、お詫びするPepper
ただ、ここでさらに驚いたのは、解けないはずなのに解けたチームがあったことです。
では、なぜ解けたのか?
全体を統括しているホラ貝のマシス氏に聞いてみたところ、
「んー、センスですね・・。」
おおお。これがCTF界でいう「エスパー」というやつでしょうか。そのセンスで解いたこの参加者は、なんと奈良先端科学技術大学院大学の現役学生。実は神戸デジタル・ラボさんが以前に開催した別のCTFイベントでも優勝した方で、ご本人に直接聞いてみたところ、やはり「勘」でIDとPASSを当てたということでした。すごい・・・。
激しいデッドヒートの末、結果発表
残り時間が1時間も切れば、順位表はBlack Pepperによってハックされ、見られない状態になります。こうなると、どのチームがどの順位にいるのかがわからなくなります。各チーム、見えない敵と戦いながら18:00を迎え、CTFタイムが終了です。
その結果はー
1位: Epsilon Delta
2位: itto-net ⇒ これがエスパーチーム
3位: Gambare Tigers Jr.
▼後半はかなりのデッドヒートだったことが判明。
▼スコア表。2位のitto-netはネットワーク系の問題を全部正解したが、Binaryを解けず惜しくも2位に。
▼1位の Epsilon Delta。まさに賞金目当てのチームだった彼らが1位に!
▼2位のitto-net。中央があの凄腕エスパー学生です。
▼3位のGambare Tigers Jr.は後半に大逆転。
はしやすめ
会場で、ちらほらと見たことの無いテトリスをしている参加者がいました。これは神戸デジタル・ラボの松本氏が、今回のイベントのために作ったWebアプリ。ただ、単なるテトリスではなく、ブロックを揃えても、並んだマスの番号が正しいIPアドレスでなければ加点されないという「クソゲーム」(本人談)です。
さっそくこちらからすぐに遊べます>>
▼数字が揃ってもIPアドレスとして不適切だとかなり上から目線で怒られます
これは、株式会社FFRIの愛甲健二氏が作成した「アセンブラテトリス」からインスパイアを受けて、今日のために作ったそうです。
IoTとセキュリティ
IoTの開発、導入が急ピッチで進んでいます。うまく活用することで、ビジネスにイノベーションを引き起こしたり、商品の品質が劇的に向上したり、生産性が向上したりなど、プラスな面が大きく取り上げられています。また、そのセキュリティ対策についても徐々に注目度が高まってきました。今年5月には総務省から『「IoTセキュリティガイドライン」(案)に関する意見募集』が行われました。もし、IoTをビジネスに深く取り入れられた後に攻撃を受けるとしたら、どういう攻撃があるのか? どうすれば事前に防ぐことができるのか? そのシミュレーションのためにも、今回のようなIoTを対象としたCTFイベントはとても大きな意味を持つに違いありません。
ホラ貝のマシス氏曰く、
「攻撃の方法がわからないと守ることもできないので、ハッカーの考え方を知ることは非常に大事だと思います」
神戸からセキュリティのエキスパートを
神戸デジタル・ラボの取締役セキュリティソリューション事業部長 三木 剛氏に、このイベントを開催した経緯などを伺いました。人、物、金、情報などあらゆるものが東京へ一極集中する日本。セキュリティのエキスパート達もまた東京へ集まってしまう傾向があるそうです。かつて、神戸には、情報セキュリティ分野でのリーダー養成を目的としたカーネギーメロン大学日本校がありました (2010年廃校)。神戸でセキュリティのエキスパート達を育て、さらに雇用も創出していくという思いのもと、こういったイベントを開催するだけではなく、大学と連携して人材育成にも取り組んでいるそうです。
さらに、今回はCTFという手法でIoTのセキュリティについてイベントを行いましたが、次回は本当のハッキングコンテストで開催したい、ということでした。
今度はどんな猛者達が集まるのか、とても楽しみです。
- 関連リンク