“クラウド世代”の学生たちが直面した「実物のセキュリティ」――触れて分かった苦労と楽しさ:セキュリティ・ミニキャンプ in 沖縄 2016レポート(1/2 ページ)
2016年12月16日から18日にかけて開催された「セキュリティ・ミニキャンプ in 沖縄 2016」。後半は、17、18日に行われた専門講座の模様をレポートする。
情報セキュリティに関する知識や技術を磨きたい学生に向けたイベント「セキュリティ・ミニキャンプ」。今回は前回に続き、2016年12月16日から18日にかけて開催された「セキュリティ・ミニキャンプ in 沖縄 2016」の専門講座の模様をお届けしよう。
学生ならではのユニークな意見も飛び出たディスカッション
12月17日、18日の2日間は「専門講座」が実施された。沖縄はもちろん、九州や奈良、東京など全国各地から20人の学生が参加し、過去のキャンプ卒業生であるチューターの助けを得ながら頭と手をフル回転させ、長時間にわたる講義に取り組んだ。
最初の講義は、参加者同士が自己紹介し、場をあたためることも兼ねた「セキュリティ基礎」だ。セキュリティ・キャンプ実施協議会 講師WG主査の上野宣氏がモデレーションする形で、「インターネットには接続していないクローズ系システムからの情報漏えいはあり得るか。あるとすればどんな経路が考えられ、対策はどうすべきか」「もしランサムウェアに感染してしまった場合、金銭は支払うべきか否か。またどんな対策があるか」という、実際に発生したインシデントを例に取ったテーマについて、4人1組のグループごとに議論を行った。
参加者からは、標的型攻撃メールやUSBメモリ接続のリスクを指摘したり、アカウント管理を適切に行い、対策ソフトの導入や定期的なバックアップを実施するといった王道の回答だけでなく、「お酒に酔わせてアカウント情報をぽろっと言わせるといったリスクも考えられるのではないか」とソーシャルエンジニアリングのリスクを指摘したり、内部犯行を防ぐために「ホワイト企業になるべき」といったユニークな意見も飛び出した。
中には、ランサムウェア対策のためのバックアップ手段として、「テープなどのリードオンリーの媒体を活用し、もしフロッピーディスクなら書き込み禁止にすべき」と、年齢的にどう考えても実体験していないであろう知識を披露した発表者もいた。
上野氏は、参加者の発表を踏まえ、世の中には理想通りにいかないシステムも多々あることを説明した。セキュリティポリシーを定め、いろいろ対策を講じていても、その通りにいかないことは多い。「分かっていてもできないことは多い。ルールは形骸化しがち。だからこそ、セキュリティはちゃんと試して動かしてみないと分からない、ということを理解してほしい」(上野氏)。
目の前で繰り広げられた車載セキュリティのデモに驚きの声
続いては、早速実習形式の講義「車載LAN上を流れるメッセージの取得と解析」が行われた。重要生活機器連携セキュリティ協議会(CCDS)兼広島市立大学の井上博之氏が講師を務め、車が機械的な部品だけでなくECUと呼ばれる一種のコンピュータで構成されており、そのコンピュータ間の通信に用いられるプロトコル「CAN(Controller Area Network)」は、その仕様上、なりすましや盗聴、DDoS攻撃に弱いことを説明した。
実習内容は広島で行われた講義と同様だ(関連リンク)。受講者全員が、車載LANを模した1本のCANバスに接続してメッセージを受け取り、簡単なPythonスクリプトを組んで車両速度やエンジン回転数のデータを取り出すことで、実際に車載LAN上でどのようなデータが流れ、どのようにECUが制御されるかを体感した。参加者らは、時にミノムシクリップの接続に苦闘し、ショートの発生といった物理的なインシデントに悩まされながらも、実習に取り組んだ。
翌日の昼休みには、CCDSで評価中の車を実験台にしたデモンストレーションが行われた。手元のArduinoを使って組み立てた小型装置からデータを送り出して車のロックを解除したり、トランクを開けたりするだけでなく、走行中にブレーキをかけたり、さらには車載ネットワークをDoS状態に陥れたりと、車が意のままにコントロールされる様子を目の当たりにした参加者からは驚きの声が上がっていた。
かつてセキュリティカンファレンスで公表されたJeepに対するハッキングの例を皮切りに、“つながる自動車”のセキュリティが急速にクローズアッップされている。井上氏は「こうした攻撃の仕組みを理解した上で、車を守る仕組みの開発に取り組んでいる」と述べた。
具体的には、ファイアウォールのような仕組みに加え、機械学習を活用してCANメッセージが正しいものかどうかを判定したり、そのデータをクラウドにアップロードして検査したりと、さまざまな仕組みを実装し、評価しているところだという。加えて、「こうしたデータを運転者の識別に使用したり、保険料率に反映したりするといったアプローチも考えられるだろう」と語った。
Copyright © ITmedia, Inc. All Rights Reserved.