海の向こうの“セキュリティ”

第56回:韓国で「CODEGATE 2011」開催 ほか


 4月は、iPhoneやAndroid端末が「こっそり」位置情報を記録していたという話題や、ソニーのPlayStation Networkから史上最大規模の個人情報が流出した事件が注目を集めました。また、Stuxnetの再来とも言われる、イランの政府システムをスパイするマルウェア「Stars」も話題になりました。

URL
 guardian.co.uk(2011年4月20日付記事)
 iPhone keeps record of everywhere you go
 http://www.guardian.co.uk/technology/2011/apr/20/iphone-tracking-prompts-privacy-fears
 O'Reilly Radar(2011年4月20日付記事)
 Got an iPhone or 3G iPad? Apple is recording your moves
 http://radar.oreilly.com/2011/04/apple-location-tracking.html
 The Wall Street Journal(2011年4月22日付記事)
 Apple, Google Collect User Data
 http://online.wsj.com/article/SB10001424052748703983704576277101723453610.html
 エフセキュアブログ(2011年4月25日付記事)
 イランに対するサイバー攻撃の第2ラウンドが進行中?
 http://blog.f-secure.jp/archives/50593829.html
 Sophos:Naked Security(2011年4月25日付記事)
 Stars virus: Iran claims to intercept second cyberwarfare attack
 http://nakedsecurity.sophos.com/2011/04/25/stars-virus-iran-second-cyberwarfare-attack/
 PlayStation Blog(2011年4月26日付記事)
 Update on PlayStation Network and Qriocity
 http://blog.us.playstation.com/2011/04/26/update-on-playstation-network-and-qriocity/

 その一方で、韓国でも2つの大きな事件がありました。1つは自動車ローン大手の現代キャピタルのシステムが何者かに侵入され、42万人分の顧客データが流出した事件。もう1つは農協のシステムが何者かに侵入・改ざんされ、数日間に渡り、預金の引き出しや送金などができなくなった事件。どちらも被害が大きく、また内部犯行の可能性が示唆されていたこともあって、韓国ではさまざまな観点から大きく報道されていました。さらにその後、農協の事件が北朝鮮によるテロであると検察が断定したことに対し、国内の専門家らが異議を唱えるなどいまだに混乱している状況です。

URL
 ZDNet Korea(2011年5月3日付記事)
 農協事件は北朝鮮の仕業?……3つの疑問点
 http://www.zdnet.co.kr/news/news_view.asp?artice_id=20110503151956

 今回はそんな韓国の話題から紹介します。

韓国で「CODEGATE 2011」開催

 韓国で4月4日・5日の2日間に渡り、毎年恒例のセキュリティ関連のイベント「CODEGATE 2011」が開催されました。このイベントで毎年注目を集めるのはクラッキング技術などを競うコンテストです。

URL
 CODEGATE
 http://www.codegate.org/
 CODEGATEブログ
 http://blog.naver.com/codegate
 CODEGATE 2011 YUT
 http://yut.codegate.org/

関連記事
 連載 海の向こうのセキュリティ 第44回
 韓国で「CODEGATE 2010」開催
 http://internet.watch.impress.co.jp/docs/column/security/20100513_366552.html

 予選は3月4日から6日まで行なわれ、400を超えるチームが参加する中、昨年も参加した日本のsutegoma2チームが予選1位で通過しました。

 予選を通過したのは以下の8チーム。

 ・sutegoma2(日本)
 ・PPP_CMU(米国) ※昨年2位
 ・disekt(米国)
 ・kaist_gon(韓国)
 ・HackingForSoju(スウェーデン) ※昨年の優勝チーム
 ・One-Eyed Jack(韓国)
 ・PLUS(韓国)
 ・Unemployed(韓国)

 また、次点(補欠)通過は以下のチーム。

 ・backdo(韓国)
 ・Leet More(ロシア)

 コンテスト本戦は、4月4日の朝10時から翌5日朝10時までの24時間に渡って行なわれました。

 結果から紹介すると、今年で4回目となる今大会で優勝したのは、昨年2位だった米国のPPP_CMUチームでした。また、2位は韓国浦項(ポハン)工科大学のセキュリティサークルによるPLUSチームで、このチームは、2008年の第1回大会では優勝、翌2009年には3位だったチームです。3位はOne-Eyed Jackチーム。これは韓国国内のセキュリティベンダー社員らによるチームです。なお、予選1位で通過したsutegoma2は4位でした。最終順位は以下の通り。

 1位 PPP_CMU(米国) 賞金2000万ウォン
 2位 PLUS (韓国) 賞金1000万ウォン
 3位 One-Eyed Jack(韓国) 賞金500万ウォン
 4位 sutegoma2(日本)
 5位 HackingForSoju(スウェーデン)
 6位 kaist_gon(韓国)
 7位 disekt(米国)
 8位 Unemployed(韓国)

 今大会の特徴は、コンテストのルールに、韓国の伝統的な遊びで日本の双六に似た「ユンノリ」を組み合わせている点でしょう。

URL
 ユンノリ(ウィキペディア)
 http://ja.wikipedia.org/wiki/%E3%83%A6%E3%83%B3%E3%83%8E%E3%83%AA

 YUT Challenge(YUT=ユッとはユンノリで用いられる木の棒で、双六のサイコロに当たるもの)と名付けられた今回の方式は、コマを動かす盤や何をもって「上がり」とするかは本来のユンノリと同じですが、コマを進める数を決めるユッの代わりに問題を解くというもの。

 グループ1の問題を解けば、1か2のどちらか好きな数だけコマを進められます。グループ2の問題なら3または4、グループ3なら5だけ進められます。これ以外にも1から5の好きな数だけコマを進められる「タイムアタック問題」もあります。

 コンテストの様子(流れ)は次のようなものだったようです。

 コンテスト開始から2時間あまり、まず昨年の優勝チームHackingForSojuが最初に問題を解いて戦いの火ぶたが切られましたが、すぐにPLUSが追いつきました。しかしその後、PPP_CMUが猛烈な勢いで追い上げ、熾烈なトップ争いを繰り広げた後、最終的には逆転チャンス問題でもある「タイムアタック問題」を解いたPPP_CMUが優勝しました。

 また、3位、4位争いもし烈だったようです。点数では同じでしたが先に記録を達成したOne-Eyed Jackが日本のsutegoma2を破って3位を獲得しました。

 ところで、YUT Challenge自体は面白いルールだと思うのですが、さほど国際的に一般的でないゲームを国際イベントの主要ルールに導入する「韓国的独善」には、「最も韓国らしいものが最も国際的」と考えている韓国人らしさを感じつつも、不快感を抱かざるを得ません。ユンノリに不慣れな外国人には不利ですし、フェアではないでしょう。もちろん、しょせんは「お祭り」なので、目くじらを立てるほどのことではないのも分かりますが、すっきりはしません。そんな不公平感に対しては、米国のチームが優勝したことで溜飲を下げることはできましたが。

 その一方で、これまでこの手の国際的なコンテストで名前の挙がることがほとんどなかった日本が予選1位、本戦でも4位につけるなど善戦したことは注目に値しますし、日本人として賞賛すべきことだと思います。

 さて、このようなイベントが開催されるなど、若者のクラッキング技術の育成に対して積極的な韓国ですが、そのような技術を身に付けた若者たちの就職が甚だ厳しい状況であるとの報道がありました。

 もともと韓国では10年以上前から若者の就職難が深刻な状況にあるのですが、その中でもクラッキング技術を身に付けた若者が、その事実を就職活動の際に明らかにすると、かえって敬遠されてしまうのだそうです。また、クラッキングコンテストなどで名を知られると、それが就職の際には足かせになってしまう例もあるようです。「内部犯行」を恐れてのことのようですが、非常に残念な話です。

 このため、優れた技術を持っている若者が「生活のために仕方なく」その技術を悪用して犯罪に走らざるを得ない状況になっており、すでにそのような若者が摘発された例もあるようです。

 若者の育成も大事ですが、それを受け入れる企業側の「育成」も(当たり前ですが)必要だということがよく分かる話です。

URL
 etnews.co.kr(2011年4月5日付記事)
 [コードゲート2011]ハッカーら“ユンノリ盤”置いて世紀の知略対決
 http://www.etnews.co.kr/201104040165
 etnews.co.kr(2011年4月6日付記事)
 [コードゲート2011]ユンノリ、世界ハッキング大会新しい代案浮上
 http://www.etnews.co.kr/201104050178
 アイニュース24(2011年4月5日付記事)
 米PPP_CMUチーム、世界最高のホワイトハッカーに選定
 国際ハッキング防御大会コードゲート2011で優勝
 http://news.inews24.com/php/news_view.php?g_serial=562977&g_menu=020200
 etnews.co.kr(2011年4月18日付記事)
 保安事故防ぐ“ホワイトハッカー”がいない
 http://www.etnews.co.kr/201104150121

マカフィー「サイバー攻撃にさらされる重要インフラ」レポート発表

 マカフィーが米戦略国際問題研究所(Center for Strategic and International Studies:CSIS)に依頼して実施した調査結果をまとめたレポート「サイバー攻撃にさらされる重要インフラ(In the Dark:Crucial Industries Confront Cyberattacks)」が公開されました。

 これは日本を含む世界14カ国の重要インフラ(電気、石油、ガス、水道など)企業のITセキュリティ担当責任者200名を対象とし、重要インフラへのサイバー攻撃の脅威について調査したものです。

URL
 マカフィー、「サイバー攻撃にさらされる重要インフラ」レポートを発表
 http://www.mcafee.com/japan/about/prelease/pr_11a.asp?pr=11/04/20-1
 In the Dark:Crucial Industries Confront Cyberattacks(PDF)
 http://www.mcafee.com/us/resources/reports/rp-critical-infrastructure-protection.pdf

 注目すべきは回答の約80%が攻撃を受けた経験があるとしている点。これは前回2009年の調査に比べて飛躍的な増加を示しています(図1)。

図1

 図1では見るべきは一番右の「No occurrences」の割合です。2009年は攻撃未経験が約45%と半数近かったのに対し、2010年は20%しかなかった、つまり80%が攻撃を受けたことがあるというわけです。

 また、サイバー攻撃に際して恐喝の被害を受けたケースが、2009年の約20%から25%に増加しました。つまり、2010年は回答者の4分の1が恐喝を受けたということになります(図2)。

図2

 このように重要インフラへの脅威が現実のものとして増えているのです。

 一方、重要インフラへの脅威としては昨年発生したStuxnetについても調査しています。回答の約40%が自社のシステムにStuxnetが発見されたとしています。また、電力に限れば回答の46%に達しています。これに対し、回答の57%がStuxnetへの懸念から特別なセキュリティ監査を実施したそうです。

 他にも官民の連携が日本では特に強いといった結果や、日本のセキュリティ面での信頼性の高さを示す結果などもあり、興味深く読むことができます。

 しかし、レポート全体の中で最もインパクトがあるのは、サイバー攻撃にいずれかの国の政府が関与しているかどうかについての調査結果でしょう。回答の半数以上が、政府が関与した可能性のあるサイバー攻撃を受けたことがあると回答し、そのサイバー攻撃を仕掛けた国として、回答の30%が中国、16%がロシア、12%が米国を挙げています(図3)。

図3

 明確な根拠があって、それらの国の名前を挙げているかどうかは甚だ疑問ですが、中国を挙げた割合が他を圧倒しているのは印象的です。

 このように、なかなか興味深い内容の調査レポートではありますが、図の見せ方が本文の内容とうまくリンクしておらず、非常に「分かりにくい」のが難点。もう少し直感的に分かりやすい図で紹介して欲しいところです。

URL
 BBC News(2011年4月18日付記事)
 Internet-based attacks on critical systems rise
 http://www.bbc.co.uk/news/technology-13122339


2011/5/9 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。