社会の課題を解決する“技術ある厨二病”と“強固な決済ネットワーク”:@ITセキュリティセミナー東京・大阪ロードショーリポート(後編)(1/3 ページ)
2015年6月2、4日、@IT編集部は「@ITセキュリティセミナー 東京・大阪ロードショー」を開催した。後編ではハッカーが率いる技術集団と、世界をつなぐ決済ネットワークの裏側にせまる。
2015年6月2、4日、@IT編集部は「@ITセキュリティセミナー 東京・大阪ロードショー」を開催した。厳しいセキュリティ対策を行っている企業の事例を紹介した前編に引き続き、柔軟な発想を持つエンジニアによる取り組みを紹介する特別講演を含む、多彩なセッションをリポートしよう。
1つのブログ記事がきっかけとなり、起業へ――ゲヒルン 石森大貴氏
石森大貴氏が代表取締役を務めるゲヒルンは、「日本をもっと安全にする」ことを目標とし、防災、インフラストラクチャ、情報セキュリティを事業の柱として活動している。平均年齢は22歳、石森氏を含め、従業員のほとんどが、「セキュリティ・キャンプ」の出身者。自らの組織を「技術ある厨二病」と表現する石森氏が、これまでどのようにして自らを、そして社会をハックしてきたのかをたどってみよう。
石森氏は平成2年、宮城生まれ。高校2年生の時に独立行政法人 情報処理推進機構(IPA)(当時はJIPDEC)が主催する「セキュリティ・キャンプ」サーバーコースに参加し、翌年には既に同コースの講師補助として、運営側に回ってセキュリティ・キャンプを支えるようになる。セキュリティ・キャンプとは若い人材を発掘するという目的のイベントで、「同年代で、同じような考え方の人に会えた」と石森氏は振り返る。その後、このキャンプで出会った同士と早速、Xenベースのレンタルサーバー事業を始める。
そして高校3年の時に、ドラマ「ブラッディ・マンデイ」が放映される。このドラマは「高校生の天才ハッカー」が登場するが、そのハッキングシーンがとてもリアリティのあるものであった。その考察をまとめたところ、ドラマを監修したサイバーディフェンス研究所から連絡が来ただけでなく、実際にそこでしばらく手伝いをすることにもなったという。大学を2年次で休学し、周りの大人たちの勧めもあり、2010年7月、ゲヒルンは誕生する。
起業して半年、「東日本大震災」が全てを変える
2011年3月、東日本大震災が起きる。石巻に住んでいた石森氏の家族も被災した。安否確認に5日もかかったことや、知人から送られてくる地元の写真を自身のブログで発信した経験から、「情報を集めた場所に情報は集まる」と考えるようになる。大津波警報が届かなかったことや、初期情報がなく安全な避難場所が分からないこと、自分は大丈夫と思い込む正常性バイアスなど、「情報伝達の仕組みに課題があったのでは」と石森氏は考えた。
一方、首都圏では輪番停電が行われ、節電の活動が広がる。そこで石森氏は、広く節電を訴えかける「ヤシマ作戦」を提案する。これはアニメ「新世紀エヴァンゲリオン」のなかで行われた作戦で、実際に制作者への使用許可もとって運用している。
【関連記事】
節電徹底へ「ヤシマ作戦」賛同者がTwitterで広がる(ITmediaニュース)
http://www.itmedia.co.jp/news/articles/1103/12/news017.html
このヤシマ作戦は大きな反響があり、次第にサーバー、回線の負荷が大きくなる。このとき、さくらインターネットより提供を受けたサーバーにあったバグを見つけたことがきっかけで、石森氏は同社の脆弱(ぜいじゃく)性診断や設計などの業務委託を受けることになる。
サービス、インフラを止めないこと、それがセキュリティを必要とする理由
ゲヒルンでは従業員を“職員”と呼び、全職員がセキュリティを中核とした事業に携わる。その経験から、まだまだ国内の企業ではさまざまな脆弱性が残っている、と石森氏は述べる。
例えば、ゲヒルンで検査を行った事例として、Ruby on Railsにおいて任意のコードを実行できる脆弱性が残っていたがために、Apache実行権限でのシェルが奪取可能となっていたことがあったという。この企業ではたまたま「秘密鍵がApacheで読めるパーミッションで放置されており、その結果、読み取った秘密鍵を使いSSHのログインができ、Linuxカーネル上で特権昇格できてしまった」という。既知の脆弱性がハンドリングできていなかったことが原因だが、「サーバー内で秘密鍵を生成しないことや、自動構成ツールでパーミッションを厳密に管理できていれば発生しなかった」と石森氏は述べる。
他にも金融機関のフォレンジック調査において、本来長期間保存されているはずのログがローテーションによって消えていたなどの「ポリシー通りに設定されていない」事例や、「推測可能な数値を使ったセッションIDで情報が取り出せてしまう」例などが語られた。
これらの企業においては、既知の脆弱性のハンドリングやバージョン管理が課題になっている場合が多い。ゲヒルンでは脆弱性情報をインターネットから収集し、資産情報とひも付けて自動管理する「Gehirn Security Support Service」(GS3)を提供している。その他、IDとパスワードのセットではなく「IDとトークンのセット」を入力させるGehirn ID Centerも提供している。パスワードをいきなり入力させない理由として石森氏は「多要素認証を導入していた場合、流出したIDとパスワードを入力されてもログインは成功しないが、“この組み合わせは正しい”ということが分かってしまい、闇市場での価値を上げることになる。そのため、パスワードは最後に入れるべき」と述べる。石森氏は「既存のものに満足をしない」という感覚を重要視し、多数のセキュリティ製品の開発に取り組んでいる。
その視点は、「防災」という面でも展開している。気象庁の防災気象情報やLアラートは、XMLの形式で配信されており、情報を受け取る一般の人には見にくいものである。ゲヒルンはこれに対する作画エンジンを作っており、地震、津波情報などを可視化するシステムを提供している。この表示にはユニバーサルデザインの考え方を取り入れ、色覚障害を持つ方にも見やすいように工夫をしているという。「これらの考え方を話す気象データ勉強会に登壇したら、プロの人も多く集まった」(石森氏)。現在ではこの分野における「ハック」が道を切り開き、NHKや内閣府にも技術協力を行っている。
「日本を安全にするため、防災、情報セキュリティ、インフラストラクチャを、自らの手を動かして作る。防災関連においては、公式ができないことを率先して取り組み、道を開き、未来を待つ」(石森氏)。
そしてゲヒルンの非公式な防災サービスは、最近になって徐々に「公式へ」取り込まれるようになったという。石森氏は「技術を駆使してハックを楽しめる人なら、誰でもハッカーになり得る」といい、「技術ある厨二病」として、これからも動き続けるとした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
内部犯行の「出来心」をなくすには――富士フイルムの場合
2015年6月2、4日、@IT編集部は「@ITセキュリティセミナー 東京・大阪ロードショー」を開催した。前編、後編に分け、その様子をリポートしよう。
@ITの筆者陣も登場、「訴訟」や「まとめ」を通して見たサイバー世界
@IT主催のセキュリティセミナー、リポート第1弾はスポンサーセッションの内容とともに、@ITの人気筆者陣による講演をお送りしよう。
インターポールも動く――「僕らの眠り」を妨げるものを駆逐せよ!
@IT主催のセキュリティセミナーリポート第2弾は、@IT筆者陣が登場したパネルディスカッションやインターポールの取り組み、そしてスポンサーセッションの様子をお送りしよう。
CSIRT立ち上げ、セキュリティ内製化、攻撃の研究――いまこそ最前線の声を聞け!
攻撃に利用するための「全世界の脆弱なDNSサーバーをリストアップ」するのにかかる時間は? CSIRTの立ち上げやセキュリティの内製化など、ここでしか聞けなかったセッションを紹介しよう。