検索
連載

脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム(1/5 ページ)

ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。

Share
Tweet
LINE
Hatena

 @ITは、2017年6月に「@ITセキュリティセミナー」を開催した。本稿では、レポートシリーズ第2回として、脆弱(ぜいじゃく)性に関する講演を中心に紹介する(前回記事)。

脆弱性はどう見つける?――ゲヒルンのバグハンター3氏がディスカッション

 特別講演「この脆弱性にまみれた世界の片隅で――バグハンターの生態に迫る」では、“昼は脆弱性診断士、夜はバグハンター”として働く、平澤蓮氏、飯沼翼氏、マルダン・ムイデン氏の3氏によるパネルディスカッションが行われた。

 3氏はともにゲヒルンに勤務する同僚という間柄。ゲヒルンは脆弱性診断サービスやクラウドサービス、セキュリティ情報配信などを手掛けるベンチャーで、普段3氏は脆弱性診断士として、Webサイトに攻撃者と同じ手法で疑似的にハッキングしたり、それらの知識をセキュリティセミナーで披露したりしている。

 モデレータを務めた@IT編集長 内野宏信は、そんな3氏に対し、「バグハンターって何をする人たち?」「バグの見つけ方は?」「バグハンターになるために必要なのは?」といった質問を投げ掛け、バグハンターの生態を詳らかにしていった。

バグハンター3氏の人となり


ゲヒルン 平澤蓮氏

 平澤氏がこの業界に興味を持ったのは、高校生のときに自分が使っていたサービスの脆弱性を見つけたことがきっかけだ。それ以来、脆弱性を見つけては報告するようになり、それが今の仕事につながった。「見つけた脆弱性を報告するとそれがきれいに修正されていく。その様子を見届けるのは純粋に気持ちが良いものだ」と話す。

 飯沼氏は数年前のセキュリティキャンプに参加し、バグハンターとして世界的に知られるキヌガワマサト氏に出会ったことが、転機になったという。キヌガワ氏に強い憧れを抱きXSSやブラウザの脆弱性を見つけているうちに「夢の中でXSSを探したことがある人」というゲヒルンの募集要項に出会い、引きつけられるように入社を決めた。「バグの修正に貢献してコントリビューターとして自分の名前が乗るとうれしい」と話す。

 マルダン氏は中国の自治区出身で、もともと製品やサービスの不具合、欠陥を見つけることが得意だった。2010年ぐらいに自分が使っているサービスの脆弱性を見つけて報告したことをきっかけにバグハントに取り組むように。「好きなことをやって報奨金までもらえる。自分のスキルをレベルアップすることもできる。こんないい仕事はないと思った」と話し、2016年からゲヒルンで働く。

脆弱性の見つけ方

 脆弱性の見つけ方については、それぞれ独自のアプローチがある。平澤氏は「人を見る」と言う。「会社の採用情報などから、エンジニアがどんな技術が得意でどんな待遇を得ているかなどを見て、サービスで使っているフレームワークの中でミスが起こりやすそうな箇所を探っていく」。

 「技術的な見地から勘を働かせることが多い。利用しているフレームワークのバージョンなどを見て、不具合が発生しやすいところを探っていく。古いフレームワークを使っていると、他の部分でもセキュリティに手が回っていないと判断できる」(飯沼氏)

 マルダン氏も基本的には技術的な勘に頼るが、ツールを使って総当たりで探すことも多い。「ネットで公開されていて、自動的に脆弱性を見つけることができる」。いちど脆弱性を見つけたらそれを同じ会社の他のサービスなどに横展開して試していく。

 バグを見つけたときの企業の対応はさまざまだ。感謝され、きちんと修正されてユーザーに情報が公開されることがある一方で、報告を無視したり、何の返答のないまま修正だけされたりしていることもある。報告者とのコミュニケーションがないまま修正されるケースでは、バグが完全に直らないことが多いという。報告窓口が全くない企業もまだまだ多く、その辺りは改善が求められそうだ。

企業に向けてアドバイス

 この他、議論は「プライベートと仕事の切り分け」「尊敬する同業者」「同僚の仕事ぶり」「バグハントに必要なスキルや素養」「これまでに報告したヤバい脆弱性」などに及び、時折マル秘話も飛び出して会場が沸いていた。

 最後に、企業に向けてアドバイスを求められると、3氏は「企業として何を守るか、インシデントが発生したら誰がどう判断するかといったポリシーのところが意外とできていません。現状を改善していく動きが広まっていったら、外部の人間としてうれしい」と口をそろえた。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る