Hardening II SecurEachに参加しました
JPCERT/CC 早期警戒グループの輿石と川居です。11月21日から22日の2日間、沖縄県宮古島市にあるJTAドーム宮古島で行われたHardening II SecurEachに参加してきました。
今回は、その競技内容と競技でのJPCERT/CCの役割を紹介いたします。
競技会場のJTAドーム宮古島
Hardening Projectとは?
Hardening Projectは最高の「衛る」技術を持つトップエンジニアを発掘し、顕彰することを目的として、年に二回開催されているセキュリティイベントです。このイベントでは脆弱性のあるECサイトへのハードニング(堅牢化)力の強さをチーム対抗のコンペティション形式で競うのですが、単純なセキュリティ対応の技術力だけでなく、顧客対応力、経営判断力など、チームとしての総合的な”力”が問われます。例えば、競技中には技術的な対応だけではなく、情報漏えいの謝罪会見、インシデントの幹部報告など、現実には起きてほしくない対応が求められることもあります。
詳しく知りたい方はぜひ、公式ページの詳細もご覧ください。
Hardening Project 2018
競技中でのJPCERT/CCの役割
JPCERT/CCは競技環境下で起こるインシデントや脅威情報の収集と発信を行い、あの手この手で行われるサイバー攻撃を防ぐために役立てていただくサービスを提供するMP(マーケットプレイス)[1] として参加しました。サービスは希望すればどのチームにも提供され、今回はなんと全参加チームにJPCERT/CCサービスをご購入いただきました(といっても現実と同じく無償なんですが)。
今回JPCERT/CCからは、様々な情報源から情報を収集、分析し、サイバー攻撃の被害が発生/拡大する可能性が高い事象に関する注意喚起や、サイバー攻撃の通信先を特定して防御に役立てていただくためのインディケータ情報を提供しました。これらはJPCERT/CCが実際に行っているサービスであり、この競技経験はそのまま、現実のJPCERT/CCとの連携に生かすことができます。
競技内では例えばこんな感じで競技者や他のMPの皆さんから情報共有をいただき、競技環境も加味して脅威判断をして情報を発信[2]していました。
ケース1
- チームA:
- JPCERTさん。サーバのファイルが暗号化されました。
- チームB:
- JPCERTさん。WebサイトのトップページにEncryptedという表示がされました。
- JPCERT/CC:
- ランサムウエアの被害報告が多いな!感染拡大する可能性が高いので被害を防ぐために注意喚起をしてバックアップ等の復旧策を早期に取ってもらおう。
→「ランサムウエアに関する情報」として発信
ケース2
- MP1:
- JPCERTさん。10.X.X.Xから脆弱性を突くような不正なリクエストが投げられてきて来ていることを製品で検知しました。
- JPCERT/CC:
- このリクエストはおそらく過去のApache Struts2の脆弱性を狙った通信だな。脆弱性の修正は競技中では難しいだろうから、とりあえず、攻撃元のIPアドレスからの通信に関する情報を発信して、FWなどで遮断してもらおう。
→「標的型攻撃に関する情報」として発信
[1] MP(マーケットプレイス)とは、競技者の環境へのサイバー攻撃を防ぐためのセキュリティサービスを提供するベンダのこと。なお、競技者は自身の資産を利用して各ベンダが提供するサービスを購入し利用することができる
[2]競技中はスピード感も必要であるため、情報発信までの判断を簡略化しています。実際では、JPCERT/CC内で検証等の確認を行い、その正確さを判断して情報を配信しています。
競技中の様子
たくさんのインシデントが発生し、対応に追われる中でも、JPCERT/CCへ情報共有をしっかりしてくださった皆さん、ありがとうございました。競技者の皆さん等、提供してくださった情報がほかの皆さんの被害を防ぐ役に立ち、結果として競技者全体にサイバー攻撃の被害を防ぐ、強固な情報網が形成されたのだと思っています。
JPCERT/CCとの情報連携の活用の仕方
競技だけでなくJPCERT/CCでは、実際にセキュリティインシデントに関する様々な情報を収集、分析して皆様にサイバー攻撃を防ぐための情報を発信しています。そして受信組織では、JPCERT/CCからの情報を基に、攻撃活動を行っていると思われるIPアドレスからの防御や悪用が懸念される脆弱性の早期の対応に役立てていただいております。
また、この情報提供は、皆様からの実際の攻撃検知などの情報をいただけることでより有効的な情報として発信することが可能となります。JPCERT/CCから情報を受け取られる方は、皆様の環境を加味しながらご対応を検討していただければ幸いです。
このブログを読まれている皆様、ぜひ何かサイバー攻撃を検知した際は、JPCERT/CCまで情報共有のご協力をよろしくお願いします。
インシデントの報告(Webフォーム)
https://form.jpcert.or.jp/
競技に参加してみて
Hardening II SecurEachの非常に濃い2日間の感想です。
JPCERT/CCも情報連携のやり方を見直す良い機会
競技者はもちろん、JPCERT/CCを含めた全てのMPも攻撃シナリオは一切伝えられない形で、競技が行われます。実際に攻撃に遭っている競技者やサポートを行っている他MPと連携し、有用な情報を素早く収集し、防御に役立ててもらう情報を展開するといった現実に即した対応をしっかりできるか、既存のやり方で競技者の役に立っているのか等、やり方を見直す良い機会でした。
多種多様な人と交流を行える
Hardening Projectに参加する人は、企業のシステム管理者/セキュリティ担当だけとは限りません。法律関係の方、自営業の方、学生等と多種多様、そして年齢層もばらばら。そんな皆さんが競技中はチーム一丸となり、さらにはMPも入って、kuromame6[3] という攻撃者からの攻撃への対応に奔走し、二日目のSoftening Dayの振り返りではチームを超えて意見交換。Hardening Projectという一つの輪から新たな交流の場が生まれるいい機会と感じました。
[3]kuromame6とは、Hardening Projectの運営者で構成された、競技環境にサイバー攻撃を行う攻撃者集団のこと
参加者写真
謝辞
最後に今回「Hardening II SecurEach」に参加させていただき、Hardening Project実行委員会の方々をはじめ、競技参加の皆様、マーケットプレイスの皆様、関係者の皆様に深くお礼申し上げます。
