脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム(1/5 ページ)
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
@ITは、2017年6月に「@ITセキュリティセミナー」を開催した。本稿では、レポートシリーズ第2回として、脆弱(ぜいじゃく)性に関する講演を中心に紹介する(前回記事)。
レポート一覧(クリックで各セッションレポートに移動)
- 脆弱性はどう見つける?――ゲヒルンのバグハンター3氏がディスカッション
- サイボウズが目指すセキュリティの新しいカタチ
- 本気の侵入テストで自社のリスクをあぶり出す「レッドチーム演習」の効用
- Webサイトのセキュリティ対策は現状の「見える化」から――シマンテック・ウェブサイトセキュリティ
- 分散して攻撃を仕掛けてくるDDoSには分散サーバで対処を――アカマイ・テクノロジーズ
- リアルタイムな管理が「サイバーハイジーン」を実現する――タニウム
- 添付ファイルの無害化で強固なイントラネットを実現――クオリティア
- セキュリティパフォーマンスのテストサービスを展開――東陽テクニカ
- 狙われやすいWebアプリケーションをクラウドWAFで守る――ペンタセキュリティシステムズ
- 次回は、中部電力、GEデジタル、パナソニックのセキュリティ対策事例
脆弱性はどう見つける?――ゲヒルンのバグハンター3氏がディスカッション
特別講演「この脆弱性にまみれた世界の片隅で――バグハンターの生態に迫る」では、“昼は脆弱性診断士、夜はバグハンター”として働く、平澤蓮氏、飯沼翼氏、マルダン・ムイデン氏の3氏によるパネルディスカッションが行われた。
3氏はともにゲヒルンに勤務する同僚という間柄。ゲヒルンは脆弱性診断サービスやクラウドサービス、セキュリティ情報配信などを手掛けるベンチャーで、普段3氏は脆弱性診断士として、Webサイトに攻撃者と同じ手法で疑似的にハッキングしたり、それらの知識をセキュリティセミナーで披露したりしている。
モデレータを務めた@IT編集長 内野宏信は、そんな3氏に対し、「バグハンターって何をする人たち?」「バグの見つけ方は?」「バグハンターになるために必要なのは?」といった質問を投げ掛け、バグハンターの生態を詳らかにしていった。
バグハンター3氏の人となり
平澤氏がこの業界に興味を持ったのは、高校生のときに自分が使っていたサービスの脆弱性を見つけたことがきっかけだ。それ以来、脆弱性を見つけては報告するようになり、それが今の仕事につながった。「見つけた脆弱性を報告するとそれがきれいに修正されていく。その様子を見届けるのは純粋に気持ちが良いものだ」と話す。
飯沼氏は数年前のセキュリティキャンプに参加し、バグハンターとして世界的に知られるキヌガワマサト氏に出会ったことが、転機になったという。キヌガワ氏に強い憧れを抱きXSSやブラウザの脆弱性を見つけているうちに「夢の中でXSSを探したことがある人」というゲヒルンの募集要項に出会い、引きつけられるように入社を決めた。「バグの修正に貢献してコントリビューターとして自分の名前が乗るとうれしい」と話す。
マルダン氏は中国の自治区出身で、もともと製品やサービスの不具合、欠陥を見つけることが得意だった。2010年ぐらいに自分が使っているサービスの脆弱性を見つけて報告したことをきっかけにバグハントに取り組むように。「好きなことをやって報奨金までもらえる。自分のスキルをレベルアップすることもできる。こんないい仕事はないと思った」と話し、2016年からゲヒルンで働く。
脆弱性の見つけ方
脆弱性の見つけ方については、それぞれ独自のアプローチがある。平澤氏は「人を見る」と言う。「会社の採用情報などから、エンジニアがどんな技術が得意でどんな待遇を得ているかなどを見て、サービスで使っているフレームワークの中でミスが起こりやすそうな箇所を探っていく」。
「技術的な見地から勘を働かせることが多い。利用しているフレームワークのバージョンなどを見て、不具合が発生しやすいところを探っていく。古いフレームワークを使っていると、他の部分でもセキュリティに手が回っていないと判断できる」(飯沼氏)
マルダン氏も基本的には技術的な勘に頼るが、ツールを使って総当たりで探すことも多い。「ネットで公開されていて、自動的に脆弱性を見つけることができる」。いちど脆弱性を見つけたらそれを同じ会社の他のサービスなどに横展開して試していく。
バグを見つけたときの企業の対応はさまざまだ。感謝され、きちんと修正されてユーザーに情報が公開されることがある一方で、報告を無視したり、何の返答のないまま修正だけされたりしていることもある。報告者とのコミュニケーションがないまま修正されるケースでは、バグが完全に直らないことが多いという。報告窓口が全くない企業もまだまだ多く、その辺りは改善が求められそうだ。
企業に向けてアドバイス
この他、議論は「プライベートと仕事の切り分け」「尊敬する同業者」「同僚の仕事ぶり」「バグハントに必要なスキルや素養」「これまでに報告したヤバい脆弱性」などに及び、時折マル秘話も飛び出して会場が沸いていた。
最後に、企業に向けてアドバイスを求められると、3氏は「企業として何を守るか、インシデントが発生したら誰がどう判断するかといったポリシーのところが意外とできていません。現状を改善していく動きが広まっていったら、外部の人間としてうれしい」と口をそろえた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- CSIRTが果たすべき「社会的責任」とは
@IT編集部が2017年2月に開催した「@ITセキュリティセミナー」レポートシリーズ。最終回は、これまでに紹介できなかったセッションの模様をまとめてお届けする。 - 「標的型攻撃に気付けない組織」にならないための確認ポイントとは
3回にわたりお届けしてきた「@ITセキュリティセミナー 〜迷宮からの脱出〜」レポート。最終回となる今回は、2016年6月28日に大阪で開催した同セミナーの中から、東京では行われなかったセッションの模様を紹介する。 - インターポールの考える「サイバー犯罪撲滅策」
@IT編集部は2016年3月8日、大阪市で「@ITセキュリティセミナー」を開催した。本稿では大阪会場のみで行われたセッションを取り上げて紹介する。