原点回帰した「MBSD Cybersecurity Challenges 2022」～ 現実さながらの環境に診断を実施 ハイレベルの発表揃い

　Webアプリケーションの脆弱性を狙った攻撃は後を絶たない。たびたび被害が報じられ、そのたびに専門家が対策を呼びかけてきたにもかかわらず、なかなか改善されない状況だ。背景には予算や意識の不足などさまざまな要因があるが、脆弱性診断に関するスキルを持ったエンジニアの不足も一因として挙げられるだろう。

　そんな中、将来有望な全国の専門学校生たちに実践的な課題を課し、実際に近い業務に触れてもらうことでセキュリティへの興味・関心を高めてもらう取り組みが「MBSD Cybersecurity Challenges」だ。

●セキュリティに興味・関心を抱く専門学校生を発掘し、力を発揮してもらう場に

　2016年に開催された第一回以来、Webサイトの脆弱性診断のほか、WAFの作成、eラーニングコンテンツの作成、診断ツールの開発といった具合に毎年趣向を変えながらコンテストを行い、技術面はもちろん、レポートやプレゼンテーション面でスキルを競ってもらう取り組みが続けられてきた。最大4人で1チームを構成するが、時には2人、あるいは1人チームでの参加も少なくない。

　第7回目となる「MBSD Cybersecurity Challenges 2022」は原点回帰となり、あらためてWebアプリケーションの脆弱性診断がテーマとなった。一次予選は「MBSD塾」という学習塾のWebサービスを模した仮想マシンを配布し、どんな脆弱性が存在するかをレポートする課題で、過去最多となる全国27校、105チームがエントリした。

　うち89チームが課題を提出し、MBSDの現役セキュリティエンジニアによる審査を経て、10チームが2022年12月13日に行われた最終審査会に進出した。「一次予選で指摘された脆弱性を修正した」というMBSD塾のWebサービスを再診断し、どのような問題が残っているか（あるいは新たに見つかったか）を、オンラインでプレゼンテーションしていった。

　冒頭、コンテストを主催する三井物産セキュアディレクション（MBSD）の代表取締役社長、鈴木大山氏は、ロシアのウクライナ侵攻といった世界情勢の不透明化やランサムウェア被害の多発によって、「サイバーセキュリティ業界のアテンションは高まるばかりで、お客様からのニーズや需要はどんどん増えています」と述べた。特にMBSDのようなセキュリティ専門会社には、新たな脅威への対応が求められているという。

　その上で「新たな脅威に対応するのはやはり人です。それも好奇心が旺盛で、自分のアタマで考えられる人たちになるでしょう」とし、その意味で、コンテストを通じて参加各チームの好奇心や工夫が発揮されるのが非常に楽しみだとした。そして、セキュリティという業態に興味を持つ学生たちに、遠慮なくこの分野にチャレンジしてほしいと呼びかけた。

●テーマは脆弱性診断に原点回帰、しかし対象は「診断士があまり診断したくないWebサイト」？

　MBSD Cybersecurity Challenges 2022の課題として用意されたのは、前述の通り、MBSD塾という塾のサイトだ。eラーニングや理解度テストといった機能が中心だが、入室記録やチャット機能なども提供されている。しかも「生徒」のほか、教材コンテンツを用意する「先生」、連絡事項を受け取る「保護者」など、複数の異なるロールを持ったユーザーがアクセスする。当然ながら、他の生徒のプロファイル情報を変更したり、何度もテストを受けたりといったことはあってはならない、複雑な構成のシステムだ。

　審査員を務めたMBSDの洲崎俊氏によると、今回の課題の裏テーマは、ずばり「診断士があまり診断したくないサイト」だったという。

　過去のMBSD Cybersecurity Challengesでも何度かWebサイトの脆弱性診断がテーマとなったことがある。ただ対象はSNSサービスを提供するサイトで、権限管理も含め比較的わかりやすい構造となっていた。これに対し今回の課題であるMBSD塾は、「利用形態が特殊で、そもそもどのように操作するかという仕様を理解するのが難しく、権限管理も非常に複雑なサイトを用意しました」（洲崎氏）

　実は、現実世界において業務として脆弱性診断を行う際、「テスターは脆弱性を探すサイトを選べない」というジレンマを抱いているという。課題にはそんな現実が反映されていたという。

　「過去には、何百ページもあるサイトの仕様書を読み込んで試行錯誤しても、どうしてもある特定のステータスになる方法がわからないサイトもありました」（洲崎氏）という。結局、あまりにシステムが複雑過ぎ、何年も運用してきたにもかかわらずそのステータスになったことはなかった、つまりリリース当初から存在していたバグが判明したというオチだった。だが現場ではこのように、複雑な仕様や権限を読み解くところからスタートし、そこに多くの時間が取られるケースが多い。

　また、現実のWebサービス開発においては、一度脆弱性診断を受けた企業が報告を受けて修正を実施し、再検査した上でリリースすることが多いが、時にはその修正が不十分なこともある。最終報告会ではそんな現実によくあるケースも再現した。「たとえばSSRFでは、スキーマは封鎖しつつも、リダイレクトが処理されてしまうためfileスキーマは閲覧できるといった具合に不完全な修正も織り交ぜながら、どういう評価を行うかを見ていきました」（洲崎氏）という具合に、一次予選で報告された脆弱性の大半をつぶしつつ、一部については不完全な形で修正し、まさに現場で起きているさまざまな事象をリアルに反映した課題となった。

●問題点を羅列するだけでなく、リスクベースで相手に伝える努力を払った各チーム

　そんな手強い課題に対しても、最終選考会に進出しただけのことはあり、各チームとも堂々とプレゼンテーションしていった。過去数回参加してきた「伝統校」もあれば、「最近セキュリティについて学び始めました」というメンバーで構成されたチームもある。大雪の影響で急遽参加できなくなったメンバーがいたといったアクシデントに見舞われながらもしっかりと発表を行ったチームもあった。

　それも、「CSRFのリスクがある」といった実装面での問題や、「暗号化通信が不十分」「パスワードポリシーが徹底されていない」といった設計面での問題をただ羅列して終わるチームはなかった。OWASP TOP 10やIPAのドキュメント、CVSSなどの標準的な脆弱性スコアを参照しながら、プレゼン対象を意識し、「塾」という事業にどのようなインパクトが生じるか、リスクベースでわかりやすく説明しようという意欲が伝わる内容ばかりだった。