専門学校・高専対象の脆弱性発見コンテスト、「ペンテスター」になって授業ではできない体験を

・セキュアマン’s 2.0.1　船橋情報ビジネス専門学校
・Prime　静岡産業技術専門学校
・なにわのシリコンバレー　ECCコンピュータ専門学校
・陸のくまさん　東京電子専門学校
・HPS　北海道情報専門学校
・ヤマネコ　日本工学院専門学校
・SOTTISOTTI　情報科学専門学校
・IPFactory　情報科学専門学校
・AS01　麻生情報ビジネス専門学校
・WCDI　日本工学院八王子専門学校

　最終審査に残っただけあって、各チームとも参考情報として示された書籍やガイドラインを参照し、nmapやWireshark、Kali Linux、OWASP ZAP、Fiddler、Burp Suiteといったさまざまなツールを駆使して複数の脆弱性を発見していた。それだけにとどまらず、脆弱性がどの程度深刻かをCVSSに基づいて評価したり、不正振り込みといった悪用のシナリオを示しながら問題の深刻さをアピールするなど、さまざまなところに気を配りながらプレゼンテーションを行っていった点が印象的だ。中には、「緊張してデモを失敗しないように」とあらかじめ動画でデモを用意するチームもあった。

　一方、オンラインバンクを対象にしたからか、2017年にTwitterなどで流行した「5000兆円欲しい」のネタがあちこちでかぶったり、制限時間をオーバーして途中で打ち切られたりといったシーンが見られたのはご愛嬌だ。

　プレゼンテーション内容も評価に加えて審査を行った結果、第3位には昨年のリベンジを期して参加し、ソースコードとサーバの二手に分かれて診断を行った「AS01」が選ばれた。第2位となったのは「HPS」だ。セッションハイジャックと、APIの脆弱性を突いた認証回避を組み合わせることで不正な振り込み処理が行えることをデモで示し、「金銭的被害が生じるだけでなく、顧客に直接被害が生じ、企業の信頼を失うため直ちに修正の必要があると考えます」と明快に説明を行うなど、「想定顧客」への説明という視点を持ち、分かりやすくプレゼンテーションを行った点が高く評価された。

　最優秀賞に輝いたのは、やはり昨年のリベンジを目指した「IPFactory」だった。三位のAS01同様、Webアプリケーションの脆弱性だけでなく、プラットフォームに存在するOSコマンドインジェクションの脆弱性を指摘し、「OSコマンドの呼び出しを使わない」といった対策を提案。さらに、なぜこのような脆弱性が生まれたかについて踏み込んで考察し、「設計段階に問題があるのではないか。具体的には、要件定義が不十分だったのではないだろうか。結論として、安全なシステムを実現するには、設計段階からしっかり安全を考慮することが大切だ」と指摘していた。昨年の参加メンバーは一歩引いた立ち位置で後輩に発表を任せ、「世代交代や後進の育成を意識した」と述べていたことも印象的だ。

　審査員らは、「まだどのチームも見つけていない脆弱性は残っている」とニヤリとしながらも、「Webだけ、という風に専門領域に特化するのではなく、ネットワークやOSも含めバランスよく診断したチームが高い得点を得た。全体として想像以上にいろいろな脆弱性を見つけてくれた」と評価していた。

　最後に講評を行ったMBSD テクニカルサービス事業本部本部長の武井寿彦氏は、今回のコンテストを通じて「実践に即した形の診断業務を体験してもらえたのではないか」と述べた。今回の参加者のうち、明確にセキュリティ技術者としての仕事を志しているのは半数程度だったが、「ネットワークにしてもWebにしても、この先セキュリティとの関係は切っても切れないものになる。ぜひこの先の学業や仕事で頑張って、セキュリティホールのないサービスを作ってほしい」と呼び掛けた。