セキュリティ被害発生！　「調べてよ」と言われたときの準備は大丈夫？

　サイバー攻撃への解析手法を学ぶためのものとして知られるCTF（キャプチャー・ザ・フラッグ）。入門用の無料のコンテンツを活用すると、自分が、会社が、実際にセキュリティ被害に遭ったときにどうやって解析すればいいのかを手軽に学ぶことができる。企業向けの簡単な問題にチャレンジしてみよう。

おことわり

　はじめに断っておきたいのだが、筆者はマクニカネットワークスとは無関係の人間だ。

　最近、取り扱う機会が増えたセキュリティ関連のネタを探していると、必ずと言っていいほど同社や関係者のウェブページに行き着くことが多いだけで、実は同社関係者とは面識すらない。

　筆者としても、できれば広くネタを求めたいところではあるのだが、難しいセキュリティの話題を、誰もが自分事として、具体的にイメージできて、しかも面白い（これが重要）情報を探すと、自然と同社の関連ウェブページに行き当たる。

　今回も、「実際にマルウェアに感染したとしたら、何が盗まれたとか、どうやって調べたらいいだろうか？」と、疑問に思っていろいろ調べていたところ、同社が7月8日（金）に開催する予定のコンファレンス（Macnica Networks DAY）のウェブページ（http://www.macnica.net/mnd/mnd2016/greeting.html/）へと行き着き、「情シス担当のためのセキュリティコンテスト MNCTF（https://evt-web.jp/mnd_reg/enq/mail_reg/mnd_reg/seminar_session_info.cgi?course_id=4&session_id=1）」などという興味深いコンテストが開催される情報が得られ、そこからさらに去年の問題と解答が公開されていることをたまたま知ったに過ぎない。

　セキュリティ関連のセミナーや教育サービスは数あれど、有料だったり、内容が難しすぎたり、敷居がたかかったりと、なかなか足を運ぶ機会がないという人が多い中、昨年のものとは言え、手軽にチャレンジできて、解答からすぐにノウハウを学ぶことができるCTFのコンテンツが公開されていることは、大変ありがたいことだ。

　実際に試してみると、キャプチャしたパケットからファイルを取り出す方法や一部の情報しか与えられていなログから感染端末を探す方法など、実戦で役立つ情報がかなり詰め込まれている。

　今年開催されるイベントにもぜひ参加してみたいところだが、時間のない人は、オンラインで挑戦できる昨年のコンテンツにぜひチャレンジしてみてほしい。

一般的な企業の話として作成された問題

　過去問も含めCTFにチャレンジしたことがある人の中には、要求される知識の広さと深さに、ギブアップしたという人も少なくないことだろう。

　「http://mnctf.info/mnctf/」で公開されているMNCTF2015の問題は、すっかり敷居が高くなってしまった最新の問題とは異なり、一般的な企業のセキュリティ運用で求められるスキルが出題の中心となっている。

　上記ウェブサイトにアクセス後、ユーザー名を登録してログインすると、全部で11のタスクが表示される。

MNCTF2015の問題

　最初は、ウォーミングアップというか、動作チェックというか、表示されるフラグを入力するだけの簡単な問題からスタート。

　続いて、基本中の基本となるマルウェアの検索に関する問題が出題される。与えられたハッシュからマルウェアの情報を得る問題で、よく知られた検索サイトを使えば解答が得られるのだが、問題では、マルウェアの名前のような簡単なものではなく、そのマルウェアが外部と通信する際のあて先が問われる。

　インターネット上で公開されている解答を見ると、調べ方も詳しく解説されているが、ぜひ試行錯誤してほしい、「こんなサイトのここに情報があるのか！」という驚きや達成感は、必ず貴重な体験となるはずだ。

　ウォーミングアップは、ここまで。次の問題からは、各種ツールを駆使して与えられた情報から正解を導き出すものとなっている。

　たとえば、「漏洩情報 NETWORK」と題された問題はこんな感じで、PCAPのデータが与えられる。

ネットワークの問題

　この問題を解くには、PCAPが何なのか？　そのファイルを読み込むには何が必要なのか？　読み込んだデータをどう理解すればいいのか？　理解したデータからファイルをどう取り出せばいいのか？　という周辺を含めた広い知識が要求される。

　さっぱり見当もつかない、もしくはパケット解析はかじったことがあるけどファイルってどうやって取り出すんだろう？　という方は、ぜひ解答を入手して、その方法を確認してみてほしい。

パケット解析の一端を体験できる

　実際の業務でどこまで使う機会があるかはわからないが、いざというときの自分の「引き出し」の1つとして役立つときが必ずあるはずだ。

　これ以上は、一種のネタバレになってしまう部分もあるので、紹介は控えたいが、簡単に説明しておくと以下のような問題が用意されている。

　筆者が試したところデータベースサーバーへの接続に問題があるようで、データベースの問題は試せなかったが、いずれもセキュリティの基本やマルウェアの動作、悪意を持った第三者の行動を知り、しかもその具体的な対策として、何を使って、どのように解析すればいいのかを具体的に知ることができる。

　ちなみに筆者は、最初の3問くらいですぐにお手上げ。解答を見ながら、SQLインジェクションってこういう手口なのかとか、ただただ感心するばかりだった。自分の身を守るには、相手や手口を知ることが大切だが、それを身をもって体験できる非常に良質のコンテンツだ。

予防だけでなく事後対応の訓練も

　以上、今回はマクニカネットワークスが毎年開催しているコンファレンスのコンテンツの一部を紹介した。

　セキュリティ対策というと、どうしてもセキュリティ関連のソフトウェアや機器の導入にばかり目が行きがちだ。最近になってようやく組織づくりや教育についての重要性が叫ばれるようになってきたが、現場レベルで求められるのは、むしろ事後の対応や調査の能力となる。

　もちろん、会社から学習の機会が与えられるなら、それに越したことはないが、そんな機会を得られない中小の現場や個人事業の人は、こういったコンテンツを活用して最低限の知識を身に着けておくことをおすすめしたいところだ。