2016年サイバーセキュリティ重大トピックス (8) 「セキュリティの自動化」を目指すDARPAサイバー・グランド・チャレンジが開催

西方望

January 24, 2017 08:30
by 西方望

AlphaGoの衝撃

2016年は、人工知能、機械学習、ディープラーニング、ニューラルネットワークなどといった言葉が、IT系メディアのみならず一般マスコミをも賑わせた。その主要因は何と言ってもGoogle DeepMindの開発した囲碁プログラム、AlphaGoにあるだろう。囲碁が論理だけで構成されるゲームである以上、コンピューターが人間を囲碁で打ち負かす日はいずれ必ず訪れる。だが、それはまだ少なくとも数年、おそらくは十数年以上先のことだろうと見る向きが大勢だった。

チェスではDeepBlueがカスパロフを破ったのもはるか昔、将棋でも今や普通のパソコンで動作する程度のプログラムがトップのプロ棋士と互角以上に渡り合っている。しかし囲碁の分岐の多さは将棋やチェスの比ではなく、まだ今のコンピューターでは太刀打ちできない…… という考えを、彗星のごとく現れたAlphaGoが打ち砕いたのだ。同様に、人間がコンピューターに及ばないと感じさせられる事例、できないと思われていた自動化が実現される事例は、さまざまな分野の思いもよらぬ側面で今後も数限りなく現れるだろう。

100万人いても足りない

では「ITセキュリティ」はどうだろうか。そもそもITセキュリティとはコンピューターについての話なのにコンピューターによる自動化というのは妙な感じもするが、セキュリティのボトルネックは「人間」なのだ。これは、人間こそがシステムの最大の脆弱点である、というお馴染みの話ではなく、ソフトウェアの脆弱性・問題点の発見やその修正においてという意味だ。

現在は、脆弱性を発見するのも、修正するのも、パッチを当てるのも人間の仕事。もちろんさまざまなツールなどでのある程度の自動化やアシストはあるものの、結局は技術者の人数×能力×時間が対応できる限界点だ。日本では将来セキュリティ技術者が十数万人とか何十万人とか不足する、などと言われているが、現在は前述のIoT関連など、セキュリティを必要とする境界面自体が爆発的に拡がっている。この状態が続けば、100万人いても足りるものではない。

こういった脆弱性の発見やパッチ当ての自動化を目指し、その能力を競うという、野心的なコンテストがアメリカで開催された。主催したのはDARPA(Defense Advanced Research Projects Agency:国防高等研究計画局)。アメリカ国防省の機関であり、インターネットの元となったARPANETの開発を主導した組織としてよく知られている。

DARPAはインターネットに限らずさまざまなテクノロジーの開発に寄与してきたが、民間から広くアイディアを募るコンペティションもたびたび開催している。その多くは参加者をアメリカ市民に限らず(限定するものもある)、上位入賞者には多額の賞金が出る。さらにその技術の商用利用が自由という場合も多い。このようにオープンな姿勢で積極的に技術を開発・利用することに国の機関が多額の予算を出せるというのは、アメリカを「偉大な国」たらしめている要因の1つだろう(トランプ氏によれば今は偉大ではないようだが)。日本の官公庁が同様のコンペティションを行うというのは想像もできない。

コンピューター同士のハッキングコンテスト

自動運転車が近年話題になっているが、DARPAは自動運転車の技術コンペティションである「グランド・チャレンジ」を2004年から開催している。このグランド・チャレンジとは全く別ものではあるが、自動化という意味では共通しているのが今年開催された「サイバー・グランド・チャレンジ(CGC)」だ。これは、ソフトウェアの脆弱性の発見とパッチの作成・適用を自動化するというもので、ハッカー競技であるキャプチャー・ザ・フラッグ(CTF)と似た形式で行われる。

競技用のネットワークに繋がれたコンピューターで、専用に開発されたプログラムを動作させる。プログラムには脆弱性があり、それを発見してエクスプロイトを作成しつつ、自分のサービスはなるべく停止させないように緩和・修正をしていかなければならない。このプロセスに人間の介入はいっさい許されず、すべてプログラムが自動的に行う必要があるのだ。

この難しいチャレンジの優勝賞金は実に200万ドル(1ドル117円換算で2億3400万円)。2位は100万ドル、3位は75万ドルだ。104チームがエントリーし、予選を勝ち抜いた7チームが2016年8月のDEF CON24で開催された本選に臨んだ。その結果優勝したのは、カーネギーメロン大学出身の研究者らのチームForAllSecureのMAYHEMシステム。さらにCGCで優勝したMAYHEMにはDEF CONのCTF本選に出場する権利が与えられ、人間対コンピューターのセキュリティ対決が実現したのだ。

結果は16チーム中最下位ではあったが、スコアはかなり肉迫しており、もはや自動システムでもここまでできるということに驚かされた。囲碁のように人間を超えるレベルになるのは、そう遠いことではないのかもしれない。もちろん「セキュリティ」は多岐にわたるので、それでセキュリティ技術者が不要になるわけではないが、脆弱性の発見や修正の多くが自動化できるのであれば、ITの安全性は大きく増進することだろう。

サイバー犯罪者は弱者を狙う

一方で、悪意を持ったハッカーにとっても自動化によって攻撃は容易になるが、結局は計算リソースの勝負ということになるので犯罪ハッカーは大きなターゲットに太刀打ちできず、やや分の悪い時代になる可能性は高い。必然的に、ランサムウェアやバンキングマルウェアのように「弱い者」を狙った攻撃がより盛んになるだろう。また、国家支援ハッカーや、多大な資金を持つ犯罪組織といったレベルになると、今よりさらに強力かつ巧妙な攻撃が可能になるという恐れもある。とはいえ、全体としてはやはり今よりはかなり安全になると考えていいのではないか。今後の研究の発展に期待したい。




ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

December 15, 2017 08:00

by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」とい…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

December 13, 2017 08:00

by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。 責任の所在が不明確…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

December 12, 2017 08:00

by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。 悪意の薄い「覗き見」 しゃ 覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイ…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (1) 感染機器は数十万台以上? IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00

by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低い…