沖縄の暑さに負けない熱戦を繰り広げた「Hardening 10 APAC」：4回目を数えた「守る」技術のコンテスト（2/2 ページ）

[高橋睦美，＠IT]

各チームが得た「気付き」とは

　6月22日には、各チームが事前に何を準備し、どんな対策に取り組んだかを紹介するSoftening Dayが行われた。

　過去のHardening Projectでは競技当日からSoftening Dayまでの間に1週間の猶予があったが、Hardening 10 APACではすぐ翌日にプレゼンテーションを行わなくてはならない。Hardening Dayの後に行われた懇親会の会場で、さっそく振り返りのディスカッションを行うチームもあった。

懇親会がいったんお開きとなった後、さっそくミーティングを始めたチームもあった

　4回目ともなると、過去の情報を参考に入念に準備を整えるチームも増えており、それぞれ事前勉強会を開いたり、役割分担の明確化やツールの準備などを行っていた。例えば「チームA ティーダ」は、自動化に熱意を燃やすあまり、沖縄に向かう飛行機の中、上空2万フィートでもエクストリームコーディングを続けたという。そこで作成したスクリプトはgithubで公開したそうだ。

　各チームとも、与えられたドキュメントを読み込みながら、まずはサーバー運用の基本として、

• 主なアカウントのパスワード変更
• 不要なファイルのアンインストール
• バックアップ
• iptablesによる不要な通信のブロック
• ログ監視、プロセス監視

「情報共有するのに、やはり紙は最強」と述べたチームFがMVP（Most Valuable Printer）に挙げていたプリンター

といった対応を取った。並行して、「情報漏えい問題を指摘するメールを受けて調査を進め、社長宛の報告書を作成する」「不正ログインの発生を受けてショッピングサイトやメールで注意喚起を行う」といった、広い意味でのインシデントレスポンスにも取り組んだ。

　プレゼンテーションでは、「インシデント対応では判断力と瞬発力が重要だと感じた。今後は運用監視のノウハウも知りたい」「アプリケーションだけでなく、ネットワークに関する理解も重要だと思った」「攻撃方法が分かっていても、防御するのは難しい。攻撃を見極めて対処する力が重要だ」といった声が上がった。

　さらに「分かっていても、事態が次々動く中での情報共有はやはり難しい」「（協議会システムの当番で）人が抜けても維持できる体制を作っておくべきだった」と、チームとしての動き方に関して気付きを得た参加者も多かった。

与えられた情報が常に正しいとは限らない

　各チームによる振り返りに続いて、kuromame6の川口洋氏がタネ明かしを行った。Hardening 10 APACで準備されていたワナや攻撃は、

• 外部から指摘のあった、他人の情報が見えてしまう問題への対応
• 商品サイトにデバッグメッセージが表示され、情報漏えいにつながる問題
• クラウド変換型IMEによって、情報漏えいにつながる問題
• OpenSSLの脆弱性（Heartbleed）
• Apache Struts 2の脆弱性
• SQLインジェクション攻撃
• 不正ログイン（パスワードリスト型攻撃）
• DNSのオープンリゾルバを悪用したDoS攻撃
• 標的型攻撃メールで送り込まれる遠隔操作ウイルス

などなど。最近話題のセキュリティ問題を一通りカバーしているといえるだろう。

環境構築、会場設営、そしてHardening Day当日の攻撃と、マルチタスクをこなしたkuromame6

　ポイントの1つは、配付資料にあったシステム構成には描かれていない、隠れサーバーが存在していたこと。サーバーの名前やIPアドレスレンジなど、目を配れば気付けるようにヒントがちりばめられていたが、気付けたチームは少なかった。「事故が起きるのは、だいたい情報が足りないときか、情報が間違えているとき」（川口氏）。

　事実、振り返りプレゼンテーションの中では、「後になって分かったことだが、もっと注意を払えば気付けたはずという事柄が多かった」「与えられた資料が常に最新のものであるとは限らないと、疑いを持つことも必要だった」という声が上がっていた。

　また、「一体何で、このシステムの面倒を見なくてはいけないのか分からない」という声も聞かれたシーサーシステムだが、実は重要な役割を担っていた。このサーバーには各サイトで使われているソフトウェアのアップデート用パッケージが用意されていた。だがそのパッケージにはバックドアが仕込まれており、署名を検証せずにインストールすると被害を被るはずだった。

　「最近、正規のソフトウェアが改ざんされ、マルウェアをインストールしてしまう事件が何度か発生している。最低限でも、配布されるソフトウェアコードに署名が施されているか、署名チェックに気付くことが大事」（川口氏）。

沖縄の学生と島外の社会人の混成チーム、「day 1」が優勝

　表彰式では、まずスポンサー各社から賞が贈られた。チーム内でコミュニケーションを密に取っていたことを評価された「チーム echo」がCTC賞、喜怒哀楽、時には悩む姿を素直に表しながら競技に取り組んだ「チーム ちゃんぷるーず」がNEC賞、「このチームだったら安心してシステムをお任せしたい」と評価された「チーム シーサー」がSecure YOUR SITE（SCSK）賞、障害で1時間ほどネットワークに接続できなくなるというアクシデントに見舞われながらも健闘した「チーム Hana」がラック賞を受賞した。

　そして優勝を飾ったのは、地元沖縄の学生4人と島外の社会人2名で構成された「チーム day 1」。参加した学生らは毎週ミーティングを行い、練習用Linuxサーバーで実際にコマンドを打って慣れておくなど、入念な準備がものを言ったという。さらに、添付ファイル付きの標的型攻撃メールが届いたときには、過去Hardeningに参加した経験のあるメンバーが「開くな！」と叫んで物理的にブロックするなど、チームワークも発揮した。

「社会人と学生」が無意識のうちに「上司と部下」のような役割に分かれ、「ほう・れん・そう」を実現していたというチーム day 1。特に、メールの書き方については社会人のチェックが役に立ったという

　「顧客対応や資料の読み込みなど、セキュリティ技術以外の部分も本当に大事だと思った。1日だけだったけれど、大きな経験、成長につながった」（チーム day 1）

---

　Hardening 10 APACは、内閣府沖縄総合事務局やスポンサー、そして会場となったKBC学園の協力を得て行われた。会場運営をサポートしたKBC学園の生徒らは「とても刺激になった」「就職が決まって一度島外に出るけれど、そこで知識を身につけて、いつかは私も地元に貢献したい」と述べていた。

　内閣府沖縄総合事務局 経済産業部 地域経済課 課長補佐／特許室長の大城弘文氏は、イベントを通じて「技術的なスキルとコミュニケーション、リーダーシップといったものが必要になると感じた」と述べ、今回の経験を今後の仕事の中などに生かしてほしいと参加者に呼び掛けた。

　元々「ITアイランド」構想を掲げ、データセンターの誘致やIT産業支援に取り組んできた沖縄県。「当初Hardening Projectの話をいただいたときに、『一回で終わるイベントでは共催しない』と申し上げた。ぜひ今後、2回、3回と続けていきたい」（大城氏）という。