INTERNET Watch Title Click

【セキュリティ】

ファイアウォールを使わないハッキングコンテスト

■URL
http://www.gab.co.jp/attack2/yoko.html

 サイバーセキュリティ・コンソーシアムは、ハッキングコンテストを2月21日から3月20日まで開催する。インターネット上で仮設のEコマースサイトを公開し、そこに用意されたファイルからキーワードを読み出せるかどうかを競う。最初に成功した人には、サンフランシスコで6月に開催されるネットワークセキュリティの専門会議「NetSec2000」へ無料招待する。対象となるWebサイトのURLなど、詳細は21日に発表する。

 同コンソーシアムは、大学や民間のセキュリティ専門家を中心に設立された非営利の任意団体。セキュリティの啓蒙活動を展開しており、従来、メーリングリストなどを通じてセキュリティ技術についての情報交換を行なってきた。実際の不正アクセス手法を素材にして議論を行ないたいとして、コンテストを主催することにした。

 コンテスト用サーバーは、アズジェントの販売する高信頼性OS「AutoSecure ACX」(旧SeOS)上に構築。パケットを各社の不正侵入検知システムで監視・記録する。不正アクセスの手口を収集するため、今回はあえてファイアウォールを設置せず、ルータでのフィルタリングも行なわないのが特徴だという。採用する不正侵入検知システムは、アイ・エス・エスの「RealSecure」、アクセントテクノロジーズの「NetProwler」、エヌ・シー・エル・コミュニケーションの「Network Flight Recorder」、日本シスコシステムズの「NetRanger」の4製品。これらのツールは本来、不正アクセスを検知した時点で通信を遮断する機能を持っているが、今回はその機能を無効にして検知機能のみを作動させる。収集したデータは、不正アクセス手法の研究や不正侵入検知システムによるリスク低減効果を検証するために活用するほか、各社のデータベースへのフィードバックも考えているという。コンテストには、上記のセキュリティ製品各社のほか、東京海上火災保険がネットワークリスクの検証で協力する。

 コンテストの企画・運営を行なうギャブコンサルティングは、ネットワークセキュリティ専門のコンサルティング会社で、'98年にもハッキングコンテストを開催。全世界から10万件以上のアタックを受けたが、ネットワークは破られなかったという。ただし、この結果について、あるハッカーは「賞金がたった100万円」だったためではないかとしており、今回のコンテストについても、「営業効果や不正アクセスの予防効果があると思われるので評価するが、手口を無料で公開してまで挑戦するハッカーがいるかどうか疑問」だとしている。また、「不正アクセス禁止法が施行されている状況下では、挑戦者が利用しているプロバイダーによっては、不正アクセスと判断され、アカウントが抹消される危険もある」と指摘。このような実験を行なう場合は、主催者はそのような点を配慮する必要があるとしている。

◎関連記事
ギャブコンサルティングが、賞金100万円の公開アタックサイトを7月より開設

(2000/2/14)

[Reported by nagasawa@impress.co.jp]


INTERNET Watchホームページ

ウォッチ編集部INTERNET Watch担当internet-watch-info@impress.co.jp