セキュリティキャンプ2018の応募用紙

セキュリティキャンプ2018の応募用紙を晒します。

私はセキュキャンに応募するにあたって、初めに過去の参加者の応募用紙を見てみました。そのときは正直、こんな高度なことを書くのは自分には無理だ...

となって応募用紙を出すのをやめようかとも思いましたが、まぁ書いてみるだけ書いてみるかと思って応募しました。そしたら結果的には通っていました。

参加してみたいという気持ちがある人はとりあえず出してみたほうがいいと思います。私の場合は、応募用紙を書く過程で学べることもたくさんありました。

そして、決して高度な内容の応募用紙を書かなければ通らないわけではない、ということが伝わればいいなと思います。


問1

問題文

今の(コンピューター、マルウェア、メモリ、etc.)フォレンジックスにはどんな課題があるでしょうか?

解答

フォレンジックス調査の遂行には各種ソフトウェアやハードウェア、またセキュリティに関する技術的知識だけでなく、調査内容をいかに法律関係者の判断材料となるような伝え方をするかや、そもそも裁判においてどのようなデータが証拠として妥当なものなのか、といった法律に関連した知識が必要となることがある。しかし、フォレンジックス調査の重要性は近年の急激な情報化社会の発展に伴って生起したもので、決して昔から注目されていたわけではない。そのため、技術と法律という複合的な専門知識を持つ人材が乏しく、かつそのような人材を育成する環境の整備がまだ整っていないという課題があると考える。

フォレンジックス調査を外部機関に依頼したとして、その機関が調査を遂行するために十分な情報を収集できないケースがあると考える。例えば、フォレンジックス調査を外部に依頼した人(または依頼した会社)が、外部のクラウドサービスなどにデータの保存をしていた場合、そのデータを調査しようとすることでクラウドサービスの他の利用者にまで影響を与え、結果としてクラウドサービスの事業者にも被害をもたらしてしまう可能性が考えられる。またクラウドだけでなく、スマートフォンのようなデバイスフォレンジックス調査をする際にも、デバイスを分解して解析しようとした内部のプログラムが、特許法著作権法などの法律によって保護されていて調査ができないという可能性がある。そのようなリバースエンジニアリングにおける課題と似た側面も含め、フォレンジックス調査をしようとしても十分な情報を得られないことがあるという課題があると考える。

フォレンジックス調査は本来何らかの事件や事故が起こった際に必要になるものである。そういった有事の際には、改ざんや不正な証拠隠滅のないことを合理的に説明できるような証拠を提出する必要があり、そのためには平時からの電磁的記録の保全が、徹底的に管理される情報システムを構築する必要があるだろう。しかし、それはコスト的に、また実務上での工数の増加につながるために、積極的に行われていない組織が多く存在すると考える。 また、平時におけるフォレンジックス調査に備えた対策は重要であるが、従業員のWebアクセスやメールの閲覧のログなどを過度に取得することは、プライバシーの侵害やイキすぎた業務管理などの問題にもつながるだろう。そのため、監視の対象者と監視を行う側の間で、どのような情報をどれくらいの粒度で、またどれくらいの期間残しておくのかや、収集された情報の「機密性」、「安全性」、「可用性」をいかに担保するかといったことについて、双方の理解と同意が明示的にとられる仕組みや環境を整えなくてはならないという課題があると考える。

問2

問題文

匿名化通信を利用することによって犯罪者が特定しにくくなっています。匿名化通信の利用を認めつつ、犯罪者を特定するにはどうしたらよいですか?

解答

匿名化通信には、多段階のノードをランダムに接続して使用することで、通信者のIPアドレスの特定を非常に困難なものとするTorなどがよく使われる。そのため、匿名通信を利用した犯罪者を特定するには、通信ログから特定の時間にTorを使用していた者を絞る、または、Torの通信に使う多段階のサーバのうち通常のインターネットに接続する出口のサーバの通信ログを解析する、などの方法が有効だと考える。そして、それらの情報に加えて、他の様々なメタデータを紐付けて徹底的に捜査を進めていく必要があるだろう。特に、メタデータの内容としては、匿名通信のネットワーク上以外で得られる情報も重要だと考える。例えば、日本においてTorを利用して起こった犯罪では、犯人と思しき人物のSNSでの発信をたどったり、犯人と思しき人物が携帯電話を埋める現場を警察に確認されたりしたことが、犯人の特定のきっかけとなっているからだ。IPアドレスの特定が困難である以上、犯罪者の特定は非匿名通信における場合と比べて、より多くのコストや時間がかかってしまうのは仕方がないことだと考える。それゆえに、匿名通信での犯罪を調べる材料となる通信ログの保存期間を長期化したり、プロバイダが保存するべき通信記録をIPアドレスとタイムスタンプだけなく接続先などについても保存するようにする、といったことを法で定めるなどして、社会として、より匿名通信を利用した犯罪者の特定を行いやすくする仕組みづくりをすることが大切だと考える。

問3

問題文

管理しているネットワーク内にウイルスに感染した端末が存在するかどうか、そしてその端末はどれなのか、あなたならどうやって突き止めますか?

解答

ネットワーク内にウイルスに感染した端末があるか、またそのような端末をどう特定するかには複数の手段がある。その中でどのような策を講じるべきかは、まずウイルス感染の疑いがある対象端末に、ウイルス対策ソフトがインストールされているかを考慮した上で判断するべきだと考える。対象端末にウイルス対策ソフトが事前にインストールされていて、かつそれが最新の状態にアップデート済みならば、ウイルススキャンをすることで、いち早くウイルスに感染した端末の存在を明らかにできると考える。また、ウイルス対策ソフトがインストールされていない、またはウイルス対策ソフトが何らかの原因で機能しないといった場合もあるだろう。そのような場合は、ネットワーク内の特定の端末の通信速度が急激に変化していたり、意図していない周期的な通信が行われている端末がある(端末がC&Cサーバとのやり取りに利用されている可能性がある)など、ログを解析することでウイルスに感染した端末の特定が可能だと考える。また、端末内でデジタル署名を保存していたり、チェックサムの計算がなされているプログラムがある場合には、それらの情報を基に現在のものと比べることで、その差分から異常のある端末を検知することも可能だろう。さらに、ウイルスに感染した端末には何らかの実行ファイルがダウンロードされる場合もある。そのような時には、ダウンロードされた実行ファイルのハッシュ値を脅威データベースで検索し、それがウイルスに関連するものかをパターンマッチングによって判定する、といったことでもウイルス感染した端末の特定ができると考える。

問4

問題文

あなたは、とある取引先のシステムを保守契約に基づいて保守しています。そして、取引先のシステムに重大な脆弱性があることが分かりました。このまま放置すると、顧客情報の流出など、甚大な被害が想定されます。しかし、その旨を取引先に説明しても、「1万円でなんとかしろ」と無理を言われます。あなたは、相手に対する説明責任は果たしているものとし、こちらに法的な非はない状態とします。しかし、何かあったときに被害をうけるのは、先方だけではなく、多くのシステムの利用者も含まれます。あなたなら、どうしますか

解答

取引先には「1万円でシステムの脆弱性に対応することはできない」ということをはっきり伝える。人間できることとできないことがあり、無理なことは無理であるからだ。何かしらのインシデントが発生する前に、取引先の脆弱性について第三者より早く気づけたのはまだ運の良い方であり、システムの保守契約をしている以上、たとえ先方への説明責任を果たしていたとしても、その脆弱性を放置しておくのはあってはならないことだと考える。仮に脆弱性が原因となって先方やシステム利用者が被害を受けても、説明責任を果たしているため、自分(そして自分の属している会社)には直接的な被害はないかもしれない。しかし、世間的に見れば自分の会社は「脆弱性を放置した会社のシステムを保守していた会社」という位置づけであり、いくら説明責任を果たしていたとはいえ、自分の会社の社会的な信用の失墜は免れられないと考えられる。 このような事態を未然に防ぐために、先方には重大な脆弱性を放置しておくことのリスクを理解してもらう必要がある。具体的には、まず「1万円でシステムの脆弱性に対応するのはできない」旨を伝えた後、万が一何かしらのインシデントが発生した際には、復旧コストや業務の一時停止による金銭的な損失のみならず、顧客や取引先への信頼ダウンにもつながるということを、実際に脆弱性を狙われて被害を受けた企業の事例などを基に説明することを試みる。それでも先方が「1万円でなんとかしろ」という主張を曲げないような場合には、JPCERTなどに脆弱性情報を申告して、外部機関からの依頼も加えた上で、脆弱性の対応のために適切な金額を出すように促していく必要もあると考える。


応募用紙に書いたそのままの文章を載せたのですが、誤字が多少あって、「いき過ぎた業務管理」というところを「イキすぎた業務管理」とか書いてしまっています\(^o^)/

また、文章を書くのが苦手で日本語がおかしくなっているところがあるかもしれません。技術的なことをもっと勉強していく必要がありますが、文章を上手く書けるようにもなりたいです。