サイバーセキュリティの現状と人材育成

国立研究開発法人情報通信研究機構

ナショナルサイバートレーニングセンター

園田 道夫

自己紹介• 国立研究開発法人情報通信研究機構(NICT)ナショナルサイバートレーニングセンター長• 独立行政法人情報処理推進機構（IPA）研究員• NPO日本ネットワークセキュリティ協会（JNSA）研究員• 元サイバー大学IT総合学部専任教授（2017年まで）• 東京学芸大学非常勤講師• 大阪大学非常勤講師• 中央大学理工学研究所客員研究員• 経済産業省、IPAなど主催、セキュリティ（＆プログラミング）・キャンプ企画、講師、実行委員、トラックリーダー、プロデューサー等

• 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員• 2008年、経済産業省商務情報政局長表彰• 2012年、SecureAsia@Tokyo 2012にてAsia-Pacific Information Security

Leadership Achievements(ISLA) Senior Information Security Professional表彰• 2018年、情報セキュリティ文化賞を受賞• SECCON実行委員(事務局長）• SecHack365実行委員

• 主な関係書籍「ブラウザハック」「ファジング」「ハニーネットプロジェクト」「実践パケット解析第一版」「実用SSH第二版」「暗号技術大全」「Snort2.0侵入検知」「アクセス探偵IHARA」「アクセスガール明日香危機一髪」「企業情報ネットワークの保護管理」「Winnyはなぜ破られたのか」等 2

新種ウイルスパンデミック

3http://www.av-test.org/en/statistics/malware/

Mpackアウトブレイク

Mpack大安売り• 米シマンテックは2007年7月5日（米国時間）、ソフトウエアのぜい弱性を悪用する有料の攻撃ツール「MPack」が格安で販売されていることを、同社の公式ブログで明らかにした。通常は1000ドルのところを、150ドルで販売しているWebサイトがあるという。これにより、MPackを使った攻撃が今後さらに増える可能性があると予想する。

• MPackとは、WindowsやWindows Media Player、WinZip、Apple QuickTimeなどのぜい弱性を悪用するツールキットのこと。MPackが仕掛けられたサイトに、ぜい弱性を解消していないパソコンでアクセスすると、知らないうちにウイルスなどをインストールされてしまう。

http://itpro.nikkeibp.co.jp/article/NEWS/20070706/276930/より引用

4

ビジネスモデルの確立•パッケージ化＆サポートサービス•ウイルスを作れる技術者と知り合いにならなくてもウイルスを作成し、ばらまくことができる＝人のリスクを低減

•ばらまき自体もシステム化

• →自動化＝多品種大量生産によって検知システムとのパワーバランスを（悪い人にとって）圧倒的に有利に

5

被害事例

•南カリフォルニアの病院（2016年2月）•アクセス復旧のために40ビットコイン（およそ1万7000ドル相当）を支払った

• http://japan.zdnet.com/article/35078156/•北米は他にも多数の病院が被害に

•ドイツの2病院（2016年3月）•身代金支払いは拒否• http://japan.zdnet.com/article/35078708/

•支払は仮想通貨6

狙われるIoT

7

ブロードバンドルーターやデジタルビデオレコーダーなどがファームのアップデートのために開いている80/TCP（Webサーバ）を狙う攻撃の増加。脆弱性が発表されるとすぐScanが来る。これもMirai系。http://blog.nicter.jp/reports/2018-04/mirai-80/

総論：サイバー攻撃の現状

•サイバー攻撃の現状は、これまで開発、研究、試行されてきた攻撃すべてを繰り出す総攻撃状態＋ハイブリッド化やコンビネーション

•添付ファイル、罠のURL、罠のバナー広告、不正アクセスによる罠URL埋め込み等等

•その組織の誰か（のコンピューター）に感染できれば良い

• 一人は必ず「弱い」人間が居る• 組織に限らず、誰かに当たれば何かが使える

8

関わってきた人材育成イベント

セキュリティ・キャンプ

全国大会、ミニキャンプ、ジュニアキャンプ、フォーラム、その他

SECCON CTF、ワークショップ、カンファレンス

SecHack365 1年間のロングハッカソン

9

SECCON

• 2012年スタート• Capture The Flag（CTF）＋ワークショップ＋カンファレンス

• 2017オンライン予選は102ヶ国1028チーム4347人参加

•学生＋OBがコンテンツ作成、講義、CTF作問と企画運営をすべてやるSECCON beginners

•女性限定CTF for GIRLS10

世界のCTF（2014）形態 採用大会

攻防 DEF CON CTF、RuCTFE2014（online）、HITB2014KUL Capture the Flag: Age of Extinction、VolgaCTF Finals、Nuit du Hack CTF Finals、PHD Finals、RuCTF Finals（計7大会）

King of the hill SECCON Final、No cON Name CTF Finals

Hack quest NorthSec

クイズ 31C3、Ghost in the Shellcode Teaser 2015、SECCON、9447、CSCAMP Finals、Defcamp Finals、CSCAMP Quals、CSAW Final Round、QIWI、Hackfest、MalCon、Hack.lu、UConn CyberSEED Competition、Defcamp Qualification、ASIS Finals、MalCon Quals、if(is)、Sharif University Quals、CSAW Qualification Round、CSAW Qualification Round、WaspNestCTF - AppSecUSA、No cON Name CTF Quals、HITCON、APAIUT-CERT Quals、OpenCTF、SECUINSIDE Finals、Pwnium、HitbSecConf、DEF CON Qualifier、ASIS Quals、NotSoSecure、PlaidCTF、Nuit du Hack Quals、Codegate Finals、VolgaCTFQuals、backdoorCTF、Insomni‘hack、RuCTF Quals、DEFKTHON、Boston Key Party、Codegate Preliminary、RootedArena、Olympic Sochi、PHD Quals、HackIM、Ghost in the Shellcode2014、Break In、Ghost in the Shellcode Teaser 2014（計50大会）

11注：http://ctftime.orgに登録された大会で2014年開催のもの

各社で社内CTF

•富士通さん• NECさん• LACさん•マクニカさん•他多数•中には採用でも

12

CTF,コンテストの特長

•学校に無い刺激（リアルタイム全国（全世界）共通テスト）

•リアルな学校に居ない仲間、ライバル•コミュニティ内の情報共有•「サイバー攻撃」を試す場所

•そのイージーさと難しさを体感•買おうとするとお高い

13

SECCON開催実績年度 大会数 動員 トピック

2012 4（九州、つくば、奈良、横浜）＋決勝 学生向け

2013 10（横浜、長野、九州、四国、福島、北海山、大阪、名古屋、オンライン）＋決勝

同日ダブル開催オンライン予選

2014 6（オンライン×2、横浜、長野、札幌、大決勝

4183 連携大会拡充CTF for ビギナーズCTF for GIRLS

2015 6（横浜、広島、大阪、福島、九州、オンラ＋決勝

3279 サイバー甲子園、インレ、攻殻CTF（ASEAN、協力）

2016 5（九州、横浜、大阪、福島、オンライン） 4349 IoTハッカソン2万個の問題

2017 2（オンライン＋決勝） 4347 国内決勝大会の開催

14

競技企画

•アセンブラ短歌•バイナリかるた•早押しクイズ•ゲームチート• ARPスプーフィング• CSIRT演習•熱血シェルコード• DNSセキュリティ•

• x86 Remote Exploit• Wiresharkパケット・コンテスト品評会

• Shellcoder’sChallenge

•サイバー甲子園（U-18)

•攻殻CTF• IoTハッカソン• AVOsaka

15

16

17

活動から産まれた書籍群

18

最新刊＞https://book.mynavi.jp/ec/products/detail/id=7567319

SECCON2016決勝大会＆カンファレンス(1/27-29)

• 世界各国から強豪チーム続々参戦• マンガ「王様達のヴァイキング」コラボ企画• そのセキュリティ要らなくね？パネル• 人工知能の敵：最終章• 世代別！なぜセキュリティエンジニアはセキュリティを志す（した）のか？（セキュリティエンジニアの本音とキャリアパス）

• やってみよう！ NEC CTF 提供：NEC• JPRS杯・DNSセキュリティ早押しクイズ 提供：JPRS• 脆弱性報告珍プレー好プレー in "LINE Security Bug Bounty

Program" 提供：LINE• SECCONスペシャルワークショップ "IoT CTF"• CLASSIC CTF Games 提供：日立システムズ• 学生・社会人のためのキャリア相談会 提供：富士通

20

CTF for ビギナーズ改めSECCON beginners

•学生委員が運営、コンテンツ作成•「その技術を教えることが一番身につく」

日程 開催地

2017年5月27日（土） 長野

2017年6月24日（土） 盛岡

2017年7月1日（土） 名古屋

2017年8月26日（土） 広島

2017年9月23日（土） 仙台

2017年10月7日（土） 東京（2トラック）

2017年11月18日（土） 鹿児島

2017年12月2日（土） 長崎 21

http://girls.seccon.jp/index.html22

2017CTF for GIRLS

日程 内容 場所

2017年6月16日（金）

第7回ワークショッ IIJ

2017年8月19日（土）

CTF for SchoolGIRL 富士通ラーニグメディア

2017年11月 攻殻CTF CODEBLUE（国際大会）

2017年12月15日（金）

第8回ワークショッ 富士通ラーニグメディア

23

CTFで勝つには

• CTFやってばっかり（遊んでばっかり）ではなく•コンピュータ・サイエンスの素地を必要とする問題で差をつける傾向が出始めている

• 勝つチームはそこが強い• そこに応用力を求める• 出題側に回ると解く側より遥かに勉強になる

•自動化の知見や研究が必要

•大結論：結局ちゃんと勉強していると勝てる

24

セキュリティ・キャンプ

• 2014年スタート•夏休みには4泊5日の全国大会（お盆）＠東京

•各地でミニキャンプ（半日～2泊3日）•ジュニアキャンプ（中学生限定）•フォーラム（修了生CFPによる発表＋ゲスト講演、ホームカミングデー）

•などなどからなる事業25

2018全国大会はこんな内容• 選択コース4トラック

• 脆弱性・マルウェア解析• 開発と運用• バラエティ• フィジカル

• 集中開発コース9ゼミ• 言語自作ゼミ• TLS 1.3/暗号ゼミ• データベースゼミ• リバースエンジニアリングゼミ• ☆ジュニア限定ネットワークゼミ• OS開発ゼミ• Cコンパイラを自作してみよう！• BareMetalで遊ぼうゼミ• アンチウィルス実装ゼミ

26

2018全国大会はこんな内容• インシデントレスポンスで攻撃者を追いかけろ• クラウド・ホスティングサービスのセキュリティと運用技術の研究• 制御システムのセキュリティとShinoBOTによる攻防演習• ドローンシステムにおけるセキュリティーガイドラインを作ろう！• ビヨンドブロックチェーン• ROSロボットをハックせよ• Vulsとエクスプロイト演習で学ぶ、既知の脆弱性管理の重要性と効率的な対策方法

• チップレベルでカスタマイズができることで見える世界の体験• IN-DEPTH STATIC MALWARE ANALYSIS• ソースコード解析による検査自動化ツールの作成• 車載LAN上の仕組みとメッセージの取得・解析• 自走運転車両を攻撃せよ（自動運転車両の脅威分析）• Linux 故障解析入門

27

2018全国大会はこんな内容• 解析を妨害しよう ～自作パッカー入門～

• ブラウザ拡張機能の脆弱性を探そう!!• GPSをだましてみよう• JTAG(ジェイタグ)の原理と活用• Linuxカーネル脆弱性入門• マルウェアの暗号処理を解析しよう• 認証の課題とID連携の実装• パターン認識とセキュリティ• 組込みリアルタイムOSとIoTシステム演習 ～守って！攻めて！ロボット制御バトルで体験する組込みセキュリティ～

• フォレンジックス実務• 本当にわかる Spectre と Meltdown• サーバーレス時代のシステム設計ワークショップ• 攻防型CTFによるWebオンラインゲームのチート行為の体験• IoTのセキュリティを評価できるようにする• シリアル通信から学ぶBadUSB自作演習 28

ミニキャンプ開催実績

• 2017• 京都• 神戸• 福岡• 山梨• 広島• 札幌• 盛岡• 金沢• 沖縄

• 2018（予定も含む）• 徳島• 神戸• 高知• (以下続々)

29

キャンプ過去の卒業生• 講師、チューターとして活躍• DEFCON22決勝出場Binjaは7/8が卒業生

• CTF方面では多数活躍中• 海外CTFに単独参加→優勝• 16才で未踏、第10回高校生科学技術チャレンジ（JSEC）で文部科学大臣賞・富士通賞、Intel ISEF 2014特別賞など受賞歴多数

• 第34回U-20プログラミング・コンテスト経済産業大臣賞他• AT＆Ｔ、インテル主催loT Hackathon優勝• シマンテックサイバーセキュリティチャレンジ2012最優秀賞、優秀賞

• hardening二連覇、CTF for GIRLS主催• CTF for ビギナーズ開催・運営• SECCON実行委員• セキュリティ専門企業、研究所、メーカー系、IT関連有名企業、起業者も多数

• 技術書の原稿執筆監修（独自CPU開発で学ぶコンピュータのしくみ、CTF4b本他） 30

実施体制

事務局機能＋開催資金提供 セキュリティ・キャンプ実施協議会(スポンサー企業34社＋α)情報処理推進機構

企画・コンテンツ作成・講師 企業人、学校人による有志コミュニティ（講師WG、地域WG、講師育成WG等）

講師候補・演習サポートほか 修了生コミュニティ

有志コミュニティを中心とした人の循環とそのサポート

31

キャンプ事業の狙い

•発掘して刺激→セキュリティはおもしろい•学校ではできないようなことをやろう•修了後のチャレンジをサポート

•チューターになって講義をサポート＆聞けなかった講義を聞ける

•講師を目指す人を「発掘」してミニキャンプ等で喋ってもらう

•研究や開発を続ける人、コミュニティで活躍する人を称揚する（フォーラム等）

32

MVP

キャンプ講師陣

キャンプ修了生

次世代講師候補

ミニキャンプ、OSC、勉強会

等

キャンプ全国大会

トライ

33

参加して終わり、じゃない！

キャンプの特長

•要件に縛られないコンテンツをプロデューサー、講師の興味のままに組み上げる

•サイバーレンジをはじめとするソフトウエア、システム、ハードウエアの自作等による調達

•企業の中に居る人の経験値をリニアに反映したコンテンツを惜しみなく投入

34

SecHack365

• 1年間のイノベーション系人材育成事業• NICTが誇る世界最大級の観測網で採れた素材を料理するアイディアを出し、ハッカソンでシステムのプロトタイプを作っていく

•遠隔開発環境、データ閲覧環境も提供•全国数カ所でイベント開催予定•年間40名程度

•起業家、研究者、リサーチャー、先端的な技術者の輩出が目的

35

SecHack365の中身

•アイディアピッチ•マンダラート（フレームワーク）•久保田達也のくぼたつアイディア脳道場•ゲストハッカー講演•アイディアマインドを持つ企業訪問•「縁日」ワークショップ•イベントとイベントの間もオンラインで研究開発対話が絶え間なく（習慣化と趣味化）

36

成果こんな感じ上原瑛美 視て聴いて触るセキュリティ小野諒人 ダークウェブ統合分析プラットフォーム篠岡祐太 Mail Total - 分析・可視化で“わかる“スパムメール高岡奈央，三須剛史 OS実装の自動化安田昂樹 Secussion セキュリティについて議論するディスカッショントレーナー青木克憲 シンボリック実行エンジンTritonのマルチアーキテクチャ対応珊瑚彩主紀 サーバー管理をしてくれるLINE BOT彼女千葉裕也 Raspberry Pi組込みOS中村綾花 ネットワークカメラハニーポット小林滉河，仲地駿人 深層学習を用いたフィッシングサイト検知システム青池龍，市川友貴，小野輝也， 澤田拓弥，田中千尋，早坂彪流 IoTデバイス管理システム大平修慈，草野清重，手柴瑞基，室田雅貴 車の情報×クラウドを使って安全・快適なカーライフをしたい！酒井蓮耀 光を媒体とする電波を使わない無線通信の開発湯川大雅 レーザポインタを使って便利に/安全に`モノ`を操作しよう古謝秀人 機械学習を用いたマルウェア検知システム江川達翔 Intel-PTを用いたバイナリのトレース竹村太一，藤井翼 LOG VISUALIZATION ～攻撃の脅威度の分析と可視化～石黒健太 仮想環境検知プログラムの解析環境の構築榎本秀平 サンドボックス解析のための機能追加三嶋秀宗 American Fuzzy Lopのheap canaryランダム化の実装井上紘太朗，木下嵩裕 RasPiを用いたARM簡易プロトタイピング環境の構築中島千咲 カラフルちゃん ～あなたの暮らしに彩りを～澤佳祐，丸山泰史 分散Webプラットフォーム二ノ方理仁 プログラミング言語開発北村拓也，青木克憲，川島一記 Cyship：仮想空間でサイバー攻防を体験できるゲーム

37

38

2017年度 SecHack365 の成果

成果発表会(秋葉原) 3/24 成果発表会における優秀グループの発表タイトルと発表者

小林滉河，仲地駿人 深層学習を用いたフィッシングサイト検知システム

現在フィッシングサイトへの対策方法として，ブラックリスト方式，ホワイトリスト方式など様々なフィッシング検知方式が提案されている。本プロジェクトでは，リスト更新が不要になる新たな検知方法として，深層学習を用いたURLベースの検知方法を提唱し，実装，実験を行った。また多くのパソコン利用者が利用出来るようChrome拡張として公開している。

北村拓也，青木克憲，川島一記 Cyship：仮想空間でサイバー攻防を体験できるゲーム

ターゲットはプログラミングや情報科学の知識は無いが，セキュリティを学びたい中高生。CTFに代表されるように，プログラミング知識なしにセキュリティを学ぶのは難しい。仮想空間でサイバー攻防を体験できるゲームプラットフォームCyshipを提案する。ゲームを進行するAIの作成をビジュアルプログラミング言語により可能で，やりこみ要素とプログラミング要素を備える。

大平修慈，草野清重，手柴瑞基，室田雅貴 車の情報×クラウドを使って安全・快適なカーライフをしたい！

現在，自動運転車の普及が急速に高まっています。将来的にはゴーストカーと呼ばれる自動運転車が街を徘徊し，ゴーストカーが皆さんを行きたい場所へ連れていってくれる時代が予想されています。そういった時代には，現在の自動運転車の模範となる運転情報が明確でないという課題や，サイバー攻撃に対する安全性という課題が問題となります。そこで，私たちは自動車とクラウドを連携させた次世代型自動車サービスのプロトタイプを開発して，実際のデータを使った運転情報の定量的評価，ドライバーへのサイバー攻撃の通知・可視化を実現するシステムを開発しました。

39

2017年度 SecHack365 の成果

成果発表会(秋葉原) 3/24 成果発表会における優秀グループの発表タイトルと発表者

湯川大雅 レーザポインタを使って便利に/安全に`モノ`を操作しよう

近年，IoT技術の需要が高まるとともに，音声認識やスマートフォン/タブレットを利用して家電や情報を操作することが一般に広まりつつある。しかし，音声やスマートフォンを用いる操作方法は，使用する場面や人によって不都合な点がいくつかある。そこで，そのような不都合な場面で家電や情報を操作する方法として，レーザーポインタを用いる方法を提案する。また，付随するセキュリティ問題について考察し，解決策を提案する。

小野諒人 ダークウェブ統合分析プラットフォーム

ダークウェブとは，近年急速に拡大している犯罪色の強いネットワークのことで，主にTor秘匿サービスのことを指します。また，このネットワークは匿名性が高く，捜査機関の方も困っていると聞いています。そこで，このTor秘匿サービスの観測や捜査の困難さを解決するために，分析システムを開発しました。このシステムにより，ダークウェブのトレンドの観測と，セキュリティ強度の評価が可能になります。

青木克憲 シンボリック実行エンジンTritonのマルチアーキテクチャ対応

シンボリック実行エンジンが複数台頭する中で，扱いやすさと成果の観点において近年はangrが有力である。一方，シンボリック実行エンジンTritonは扱いやすく，拡張性が高いが，Intel以外のアーキテクチャに対応していなかった。本研究の目的は，Tritonをマルチアーキテクチャ対応することで，angrのライバルを立てることである。中間言語Vex IRベースのシンボリック実行に対応したところ，Vex IRに変換したIntelの機械語片のシンボリック実行に成功し，マルチアーキテクチャ対応の実現性が示された。

SecHack365の目標

•セキュリティはアイディが足りない？•アイディアを実装まで持って行きたい

• 研究→実装の隔絶•学校では採れないデータセットに触れさせたい•企業のマインドによってアイディアをブラッシュアップしたい

•外部連携のベースにしたい

40

41

2017年度 SecHack365 の成果

海外派遣SXSW 3/10～3/17

タイトル emShare

コンセプト

人間は言葉になる前の感情，言葉にできない感情を秘めている。emShare はそういう感情を人間がアップロードした動画から読み取り，それに相応しい音楽を選んで動画に差し込むシステム。選んだ音楽が流れる動画を共有することで感情を共有する。

受賞者 木下嵩裕，酒井蓮耀，澤田拓弥，早坂彪流

受講決定者：47名（内訳 成年30名/未成年17名・男性43名/女性4名）修了者 ：39名（８名は主に学業との兼ね合い等の理由により途中辞退）

訪問地 ：アメリカ合衆国 オースティン

参加者 ：木下嵩裕，酒井蓮耀，澤田 拓弥，早坂彪流，トレーナー3名，コーディネーター1名

海外派遣の目的：世界最大級のクリエイティブイベントに参加。海外トップクラスのイノベーター，

クリエーターとの意見交換等を実施。今後のキャリア，セキュリティイノベーター

に資するマインドセット・スキル習得を目指す。

2017年度 修了者数

スポンサーであるAmazonのAlexa ， Cloudinary ， Capitol Music Groupなどが提供する機能を用いてアイディアを24時間で実装するハッカソン。もともと音楽とテクノロジーの融合を目指して始まったイベントで，近年はエンタテインメントとテクノロジーの融合がテーマになっている。

SXSW（South by Southwest）

2017年度海外派遣SXSW Hackathon スポンサー賞を受賞

SXSW

•参加者7万人•町中SXSW（建物借り切りで企業が展示やイベントやってたり映画館で封切り前の特別上映あったりスピルバーグ来てたりイーロンマスク来てたり）

•音楽イベントがテクノロジーとベンチャー要素を採り入れて発展

•様子：https://www.houdoukyoku.jp/posts/27354他多数

42

事業の棲み分け

•試す場としてのCTF→SECCONやコンテスト

•発明出来るアタマ→SecHack365•セキュリティに取りこむ→セキュリティ・キャンプ

43

セキュリティをもの作りで何とかしたい•人間に努力を強いるセキュリティとか止めたい（根性論としてのリテラシー向上→NG）

•良いモノ作って悪いヤツラの攻撃コストを爆上げしてやりたい

•良いモノ作って防御側の労苦を激減させたい•もっと多くのもの作りの人にセキュリティ課題に取り組んで欲しい

•良いモノ、発明のためには何が必要なのか44

なぜAI対AI、AI対人間なのか

• AI対AI＝完全自動システム同士の戦い• AI対人間＝完全自動システムvs人間＋システム•大量データを解析、取り込むためのノウハウが世界的に蓄積されてきている

•個人のスキルや知見をもとに、解析をサポートする機械とシステムが必要とされている（より重要度が高くなっている）

• その力で「コスパが良い悪い人＆コスパがめっちゃ悪い守る人」を逆転させることができる？

求められる人材像

•今後セキュリティの「専門家」となるのは•いわゆるハッカー的な知見だけでは局所的•知見をシステムに活かせる人（モデル化、プログラム作成）

• AI的な学習データセットを設計・構築できる人

•セキュリティの発明が必要•コスパを逆転させる発明を作れる人

46

社会的コストの節約とパフォーマンスの最大化• 専門家に成り得ない（本来成る必要が無い）組織構成員全員の根性論的な教育に未来永劫投資し続けるよりも、セキュリティ専門家に投資して、組織構成員への教育投資を軽減してくれるシステムを作らせた方が良い

• セキュリティを専門とするわけではないが、IT関連のシステムをセキュアに開発できる、安全な構築運用ができる人たちを輩出し、かれらを新しい手口や攻撃手法から守るシステムや仕組みをセキュリティ専門家に投資して作らせた方が良い

• 人材育成を本気で考えるなら、良い研究する学生を輩出し続けてくれる先生に投資した方が良い

47

終48