ビジネスとセキュリティの両側面から争う競技会「Hardening One Remix」 - 次回は海外チームを招待予定

堅牢化技術を争うセキュリティ競技会「Hardening One Remix」が都内で開催された。3回目を迎えた今大会では、経験者と未経験者のコラボレーションなど、あたらしいアイデアを導入。8チームが熱戦を繰り広げた。

表彰式の様子。実行委員長の門林氏（画面左）と優勝に輝いた「Team EJ」のメンバー

同コンテストは、WASForum Hardening Projectが企画した競技会。すぐれた技術を備える人材の発掘や顕彰を目的に企画し、7月6日、13日の2日間にわたり開催した。

大会初日の「Hardening Day」に競技を行い、大会2日目の「Softening Day」には、運営者と参加者で、大会の結果を振り返り、優秀チームや参加者の表彰が行われた。

同コンテストは、単純に技術力だけで競うものではないのがポイント。脆弱性が存在するeコマースサイトの問題解決や、事業継続性の確保といった観点から争われる。

仮想ネットワーク上に設置されたネットワーク上でオンラインショップを運営し、サイトのダウンタイムを最小限にしつつ、いかに多くの売上を確保するかが勝敗の鍵となる。

各チームごとに用意された環境。実行委員が業務の合間に準備、大会直前まで徹夜で作業し、用意したという。多数サーバと端末で構成されており、端末やサーバごとにメモリ量やCPUを変化させた。脆弱性やウイルスなどが潜んでいる

参加者の前に立ちはだかる難題の数々

高得点を獲得するには、サーバの堅牢化はもちろん、顧客のクレーム、不正アクセス、情報漏洩事故など次々と発生するイベントに対し、適切に対応していかなければならない。

用意されたインシデントは実に多彩。具体的に見ていくと、技術的な対応が必要となる代表的なものとして、ウェブアプリのログイン画面に存在する脆弱性がある。

放置しておけば、SQLインジェクションによる不正アクセスで、ウェブページが繰り返し改ざんされるため、脆弱性の修正や管理画面へのアクセス制御など、適切に対応を講じる必要がある。

繰り返し発生するサーバの再起動も参加者を苦しめた。不正なファイルがウェブサイトに存在し、読み込まれるたびに再起動が繰り返されるもので、ショップの売上げ減少を引き起こした。

競技者に送信された質問メール。高得点を稼ぐためには、利用規約や管理権限を正しく理解し、オーナーと調整を図ることが必要

利用規約の内容に誤りがあるといった問題も潜む。クレームのメールが届けば、社内規定に従ってショップのオーナーに変更についてメールで確認を取り、修正が必要だ。オーナーに許可なく変更すれば減点となる。

さらに個人情報を含むバックアップファイルが、外部から閲覧可能となっており、メールで指摘を受けるといったイベントも用意。サーバ上からデータを削除することはもちろん、顧客に対するアナウンスや注意喚起、メールによる事情説明といった対応も得点に結びつく。

競技時間中に発生する問題はこれだけではない。社会情勢を反映した攻撃や脅威が盛りだくさんだ。オーナーを装った標的型攻撃メール、遠隔操作ウイルスの感染、他サイトで漏洩したIDやパスワードによる不正ログイン、DNSのオープンリゾルバ問題など、参加チームを次々とトラブルが襲う。

（武山知裕/Security NEXT - 2013/07/25 ）ツイート