サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020 | ScanNetSecurity
2020.04.04(土)
コンテンツ
注目検索ワード
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事

サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020

国内では定着した感のある「セキュリティ・キャンプ」のグローバルバージョンが存在するのをご存じだろうか。2月10日、アジア太平洋地域7か国(日本含む)の優秀な若手エンジニアやハッカーが集い、その技を磨いた。

研修・セミナー・カンファレンス セミナー・イベント
 国内では定着した感のある「セキュリティ・キャンプ」のグローバルバージョンが存在するのをご存じだろうか。2 月 10 日、アジア太平洋地域 7 か国(日本含む)の優秀な若手エンジニアやハッカーが集い、その技を磨いた。

●若手セキュリティ技術者のグローバルコミュニティ:GCC

 参加国は日本、オーストラリア、マレーシア、シンガポール、タイ、台湾、ベトナム。残念ながら韓国は COVID-19(コロナウイルス)の影響で不参加となった。参加者は、各国のセキュリティコミュ二ティから選抜された17歳から21歳の若手エンジニアたち、総勢29名。各国2~6名のチームを組み、各種の専門セッションや CTF を 4 日間でこなす。

 国内のセキュリティ・キャンプは、全国から選抜された高校生や大学生を対象に、メンターやコーチをつけながら、きわめて高度なセミナー、演習を行うことで有名だ。本格的な CTF をはじめ、自動車 ECU のハッキング(解析)まで行う。この活動を通じて、若手エンジニア、ホワイトハットハッカーを育成する。

 グローバル・セキュリティ・キャンプ( GCC )(コンパイラではない)は、この枠組みを海外にまで広げたものだ。もともとは、台湾 Telecom Technology Center( TTC :電信技術センター) 理事長 呉 宗成博士の発案で始まった。呉博士の「アジアの若い研究者のコミュニティをつくり、人材育成に貢献したい」との想いを、博士に「 2 年間にわたって依頼された」セキュリティ・キャンプや CODE BLUE の運営で尽力する篠田佳奈氏が GCC として形にした。今年で 2 回目の開催となる。

●技術とともに身につくホワイトハッカーとしての規範

 GCC Tokyo 2020 のオープニングスピーチは、株式会社ラック 西本 逸郎 氏が登壇した。西本氏は、2019 年に日本で開催されたラグビーワールドカップの話から始めた。ラグビーは、もともとメジャーではなく危険で野蛮とも言われていた。しかし、現在のようにメジャーなスポーツになったのは「ラグビー憲章」という規範ができたからだという。

 同様に、サイバーセキュリティの現状も、一部では、ハッカーは何をやっているかわからないという認識もある。西本氏は「もちろん、セキュリティ(技術)は危険である」ともいう。しかし、続けて「(ラグビー憲章にあるように)「品位、情熱、結束、規律、尊重」の念をもって GCC を楽しんでほしい」と、学生たちを激励した。

 このあとトレーニングコースが始まった。すべてのコースが終日のセッションとなり、どのテーマもかなり深い内容まで学べるようになっている。初日は 1 トラックだが、2 日目と 3 日目は 1 日セッションが 2 トラック走る。4 日目は再び 1 トラックにもどり半日セッションを 2 つこなす。

 セキュリティ・キャンプ協議会 竹迫 良範 氏によれば、今回のトレーニングは「 Call for Training 」を採用し、各国から演習課題を募集し、その中から厳選されたものだという。U21 の学生向けとはいえ、レベルは高く、Blackhat USA の Arsenal や FIRST TC(テクニカルクロキア)といったプロフェッショナル向けのトレーニングの実績を持つ講師が集結した。

●公募によって選出された高度なトレーニングプログラム

 例えば初日のトレーニングは、実際に攻撃を受けたシステムを想定したストレージが渡され、インシデント対応の手順を踏みながら、 CTF 形式で攻撃の解析、フォレンジックス、マルウェア解析を行うというもの。

 2 日目は、機械学習を使ったセキュリティアプリケーションの開発を演習形式でこなし、機械学習アルゴリズムと、その評価方法を学ぶトレーニングと、脆弱性の自動解析(ファジング)とエクスプロイトの自動生成を学ぶトレーニングが用意されていた。機械学習は、シグネチャなし、動的評価(サンドボックスなど)なしのマルウェア検出として、近年ソリューションが増えている領域だ。ファジング技術は、攻撃者視点のエクスプロイト作成を体験できる、きわめて実践的なものだ。

 3 日目のトレーニングは、バイナリ難読化と IoT ファームウェアのリバースエンジニアリングとなっている。バイナリの難読化は、地味だがマルウェア解析には避けて通れない。この原理と手法を学び、難読化されたコードの解除、解析までを行う。IoT のリバースエンジニアリングでは、エミュレータ上で MIPS プロセッサを動かし脆弱性を探るというもの。ツールとしては Qiling Framework を使う。

 4 日の半日コースは、攻撃ベクターごとの挙動解析とソーシャルメディアオペレーションのトレーニング。攻撃ベクターの解析は、複数のログファイル、情報をベースに攻撃者の挙動を解き明かしていくという演習。ソーシャルメディアオペレーションは、情報の真偽の確認方法、OSINT による発信者の特定作業について学ぶというもの。

 以上のように、どれも第一線のセキュリティエンジニアが受けたくなるようなトレーニングばかりだ。こうした高水準のコンテンツを、社会に出る前の若者たち、それもアジア圏の異国同士の若者たちがともに学ぶ意義は計り知れない。

●各国セキュリティ機関・団体からの精鋭が揃う

 参加者は、各国のセキュリティ関連団体やコミュニティが、それぞれの方法で選抜した精鋭たちだ。日本は、セキュリティ・キャンプ協議会が選んだ 6 名。選考はセキュリティ・キャンプと同様に課題選考したという。しかしキャンプ出身生が優遇された訳ではまったくない。「気をつけたのはニュートラルとフェア。キャンプ出身生に絞ることはせずに外部に窓口を設けた(篠田氏)」

 オーストラリアチームはクイーンズランド大学内の情報技術および電気工学のカレッジ、ITEE のセキュリティ研究チームから、面接とチーム貢献度で選ばれた 4 名。

 マレーシアは産学連携のセキュリティグループ NanoSec から 2 名が参加した。選考は大学からの推薦と面接で決定した。

 シンガポールはボランティアベースのセキュリティコミュニティ Division Zero の 3 名。シンガポールでは各大学に公募をかけ、書類選考と試験を実施して選抜した。試験には 100 ワードほどの論文(エッセイ)もあったそうだ。

 タイは NECTEC とマヒドゥ大学から 5 名の混成チームだ。メンバーは、コンペティション方式で、プロポーザルの中から選んだ。NECTEC は、日本の NICT などと共同研究も行うタイ政府機関だ。

 台湾チームは AIS3 の5名。AIS3(行動情報セキュリティサマースクール)は、台湾教育省の情報セキュリティ人材育成プログラムとして運営されるプロジェクト。選考は、サマースクールの参加者のうち成績の良かった者と、貢献したいという意思を尊重したそうだ。

 最後のベトナムは VNSECURITY から、公募とコンペによって選ばれた 4 名が参加した。VNSECURITY は 1998 年から続く同国を代表するセキュリティ研究グループのひとつだ。

●難問に苦戦しながらもトレーニングを楽しむ受講生たち

 トレーニングや CTF が始まると、受講者は完全に「ハッカーモード」だ。記者が気軽に声をかけられる雰囲気では到底ないが、休憩時間を利用して、参加者数名のコメントがとれた。

「GCC には、スキルとナレッジの修得が目的で参加しました。友だちも作りたいと思っています。 CTF はベトナムでも人気で自分も 10 回以上国内の大会に参加しています。トレーニングは難しいですが、がんばっています。」(ホーチミン大学でコンピュータサイエンスを学ぶドン君 19 歳)

「タイのサイバー空間は安全とはいえません。むしろ危険といっていいくらい。セキュリティは、自分を守るために勉強をしています。このトレーニングもそのために参加しました。でも、タイでは CTF 競技はあまり盛んではないので、GCC のような取り組みはとてもいいと思いました。じつは、日本に留学していたこともあるんです。趣味はゲームで、ポケモンが好きです。」(マヒドゥ大学で情報学を学ぶタッソン君 20 歳)

 女性参加者の声も聞けた。

「トレーニングはレベル高いですが、こういう雰囲気は私は好きです。タイの若い人は、たしかに会場に集まってやる CTF とか馴染みが薄いですが、オンラインのハッキング競技や CTF にはときどき参加してます。今回 GCC に参加して思ったのは、きっとタイでも(オンサイトの CTF は)流行るだろうということ。趣味は読書で、伝記とか天文学とかいろいろです。」(タイ王室警察士官学校 ラウィニットさん 20 歳)

「参加目的は、違ったバックグラウンドを持つ他の学生との交流を通じて知識と経験をつむことです。GCC は台湾の AIS3 に似ていると思います。AIS3 のサマースクールでも、みんなとてもパッションを持って CTF やトレーニングに臨んでますよ。でも、台湾の人って少しシャイなところがあって質問がヘタだったり… 初日の CTF は、フォレンジクスが専門ではないのでちょっと苦労しました。周りのみんなと協力して、簡単な問題でした、ひとつ解けてみんなに貢献できてうれしかったです。みなさん、とても積極的で見習いたいなと思いました。」(台湾国際大学のハンさん 19 歳)

●スキルと規範、それぞれの楽しみ方

 サイバー攻撃者自身はたとえ仲間やグループという意識はなくとも、地理的な枠組みを超えた連携をしてくる。攻撃機能を最大化するため、いわば自律的に、ときには動的に発生するネットワークであり、一種のコミュニティだ。このような攻撃に対して、企業や組織ごと、ましてや国ごとの対策には限界がある。近代セキュリティで、協働と情報共有が重要視される所以だ。

 セキュリティは、どこか防御に弱いところがあれば、他がいくら強固なシステムであっても、全体のセキュリティレベルは低いところに引きずられてしまう。APT や組織的なサイバー攻撃、犯罪グループへの対策は、国を超えたセキュリティレベルの底上げが欠かせない。2020 年冒頭に世間を騒がせた三菱電機のインシデントは、国をまたいだサプライチェーン攻撃だった。GCC の取り組みは始まったばかりで、まずはアジア太平洋地域の連携からとなっているが、すでに EU の ENISA が GCC に興味を示しているという。

 前述したように、トレーニングの講師は、Blackhat や FIRST TC でも実績があるプロフェッショナルたちだ。学生向けとはいえ、解析アルゴリズムからツールの操作、 CTF と極めて実践的でもある。集まった学生も、各国の大学や研究機関が認めた、いわば国のエリートたちだ。

 日本、韓国、オーストラリア、マレーシア、シンガポール、タイ、台湾、ベトナム。GCC に参加した若者たちは、将来必ずや高度なプロフェッショナルとして企業や研究機関、政府や防衛の仕事などに携わっていくことだろう。

 世界中どこを見ても近隣国家同士はしがらみや政治的葛藤を抱える。アジア圏だけに限った話ではない。GCC のような、国のしがらみにしばられないまだ若い時期に、互いの国を知る GCC のような機会に恵まれることの未来への意義は計り知れないだろう。そして、その青春の 1 ページをともに共有した舞台が日本であったことも。セキュリティ・キャンプがまた、サイバーセキュリティの歴史の新しいページを開いた。
《中尾 真二( Shinji Nakao )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN) 画像

自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN)
産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN) 画像

産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN)
複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN) 画像

複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)
Vertiv製システム管理アプライアンス製品に複数の脆弱性(JVN) 画像

Vertiv製システム管理アプライアンス製品に複数の脆弱性(JVN)
海上コンテナターミナル向けWebアプリにスクリプト実行の脆弱性(JVN) 画像

海上コンテナターミナル向けWebアプリにスクリプト実行の脆弱性(JVN)
macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report) 画像

macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック) 画像

オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)
セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS) 画像

セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)
iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学) 画像

iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)
全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局) 画像

全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)
放射線技師が電子カルテ閲覧、20名の電話番号抜き出し懲戒処分に(大阪市、大阪市民病院機構) 画像

放射線技師が電子カルテ閲覧、20名の電話番号抜き出し懲戒処分に(大阪市、大阪市民病院機構)
同じ社名だが別法人、廃棄物処理に関する文書誤送付(大阪市) 画像

同じ社名だが別法人、廃棄物処理に関する文書誤送付(大阪市)

調査・レポート・白書 記事一覧へ

日本国内のサイバー犯罪被害者数は年間2,460万人、2019年調査(ノートンライフロック) 画像

日本国内のサイバー犯罪被害者数は年間2,460万人、2019年調査(ノートンライフロック)
「2019年度情報セキュリティに対する意識調査」公開(IPA) 画像

「2019年度情報セキュリティに対する意識調査」公開(IPA)
JPドメインが1年で約2万5千件増加、約7割が汎用(JPRS) 画像

JPドメインが1年で約2万5千件増加、約7割が汎用(JPRS)
BEC実態調査公開、もっとも多い攻撃アプローチは(JPCERT/CC) 画像

BEC実態調査公開、もっとも多い攻撃アプローチは(JPCERT/CC)
脆弱性情報の取り扱いに関する研究会、活動成果を報告(IPA) 画像

脆弱性情報の取り扱いに関する研究会、活動成果を報告(IPA)
CISO に求める役割ベスト3とこれから求める役割(IPA) 画像

CISO に求める役割ベスト3とこれから求める役割(IPA)

研修・セミナー・カンファレンス 記事一覧へ

サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ 画像

サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020 画像

サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ) 画像

工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実 画像

ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ) 画像

動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ)
サイバー攻撃で信頼を失うとはどういうことか、Equifax CISO 語る 画像

サイバー攻撃で信頼を失うとはどういうことか、Equifax CISO 語る

製品・サービス・業界動向 記事一覧へ

“情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア) 画像

“情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)
セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack) 画像

セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)
倫理と技術そしてハードニング、情報セキュリティ教育プログラム開発(香川大学、ネットワンシステムズ) 画像

倫理と技術そしてハードニング、情報セキュリティ教育プログラム開発(香川大学、ネットワンシステムズ)
ECサイト向けに「オンラインスキミング」解説動画を無償公開(fjコンサルティング、DataSign) 画像

ECサイト向けに「オンラインスキミング」解説動画を無償公開(fjコンサルティング、DataSign)
最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出 画像

最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出
EDRのフルマネージメントサービスを提供開始(大塚商会) 画像

EDRのフルマネージメントサービスを提供開始(大塚商会)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×