2016年サイバーセキュリティ重大トピックス (8) 「セキュリティの自動化」を目指すDARPAサイバー・グランド・チャレンジが開催

西方望

January 24, 2017 08:30
by 西方望

AlphaGoの衝撃

2016年は、人工知能、機械学習、ディープラーニング、ニューラルネットワークなどといった言葉が、IT系メディアのみならず一般マスコミをも賑わせた。その主要因は何と言ってもGoogle DeepMindの開発した囲碁プログラム、AlphaGoにあるだろう。囲碁が論理だけで構成されるゲームである以上、コンピューターが人間を囲碁で打ち負かす日はいずれ必ず訪れる。だが、それはまだ少なくとも数年、おそらくは十数年以上先のことだろうと見る向きが大勢だった。

チェスではDeepBlueがカスパロフを破ったのもはるか昔、将棋でも今や普通のパソコンで動作する程度のプログラムがトップのプロ棋士と互角以上に渡り合っている。しかし囲碁の分岐の多さは将棋やチェスの比ではなく、まだ今のコンピューターでは太刀打ちできない…… という考えを、彗星のごとく現れたAlphaGoが打ち砕いたのだ。同様に、人間がコンピューターに及ばないと感じさせられる事例、できないと思われていた自動化が実現される事例は、さまざまな分野の思いもよらぬ側面で今後も数限りなく現れるだろう。

100万人いても足りない

では「ITセキュリティ」はどうだろうか。そもそもITセキュリティとはコンピューターについての話なのにコンピューターによる自動化というのは妙な感じもするが、セキュリティのボトルネックは「人間」なのだ。これは、人間こそがシステムの最大の脆弱点である、というお馴染みの話ではなく、ソフトウェアの脆弱性・問題点の発見やその修正においてという意味だ。

現在は、脆弱性を発見するのも、修正するのも、パッチを当てるのも人間の仕事。もちろんさまざまなツールなどでのある程度の自動化やアシストはあるものの、結局は技術者の人数×能力×時間が対応できる限界点だ。日本では将来セキュリティ技術者が十数万人とか何十万人とか不足する、などと言われているが、現在は前述のIoT関連など、セキュリティを必要とする境界面自体が爆発的に拡がっている。この状態が続けば、100万人いても足りるものではない。

こういった脆弱性の発見やパッチ当ての自動化を目指し、その能力を競うという、野心的なコンテストがアメリカで開催された。主催したのはDARPA(Defense Advanced Research Projects Agency:国防高等研究計画局)。アメリカ国防省の機関であり、インターネットの元となったARPANETの開発を主導した組織としてよく知られている。

DARPAはインターネットに限らずさまざまなテクノロジーの開発に寄与してきたが、民間から広くアイディアを募るコンペティションもたびたび開催している。その多くは参加者をアメリカ市民に限らず(限定するものもある)、上位入賞者には多額の賞金が出る。さらにその技術の商用利用が自由という場合も多い。このようにオープンな姿勢で積極的に技術を開発・利用することに国の機関が多額の予算を出せるというのは、アメリカを「偉大な国」たらしめている要因の1つだろう(トランプ氏によれば今は偉大ではないようだが)。日本の官公庁が同様のコンペティションを行うというのは想像もできない。

コンピューター同士のハッキングコンテスト

自動運転車が近年話題になっているが、DARPAは自動運転車の技術コンペティションである「グランド・チャレンジ」を2004年から開催している。このグランド・チャレンジとは全く別ものではあるが、自動化という意味では共通しているのが今年開催された「サイバー・グランド・チャレンジ(CGC)」だ。これは、ソフトウェアの脆弱性の発見とパッチの作成・適用を自動化するというもので、ハッカー競技であるキャプチャー・ザ・フラッグ(CTF)と似た形式で行われる。

競技用のネットワークに繋がれたコンピューターで、専用に開発されたプログラムを動作させる。プログラムには脆弱性があり、それを発見してエクスプロイトを作成しつつ、自分のサービスはなるべく停止させないように緩和・修正をしていかなければならない。このプロセスに人間の介入はいっさい許されず、すべてプログラムが自動的に行う必要があるのだ。

この難しいチャレンジの優勝賞金は実に200万ドル(1ドル117円換算で2億3400万円)。2位は100万ドル、3位は75万ドルだ。104チームがエントリーし、予選を勝ち抜いた7チームが2016年8月のDEF CON24で開催された本選に臨んだ。その結果優勝したのは、カーネギーメロン大学出身の研究者らのチームForAllSecureのMAYHEMシステム。さらにCGCで優勝したMAYHEMにはDEF CONのCTF本選に出場する権利が与えられ、人間対コンピューターのセキュリティ対決が実現したのだ。

結果は16チーム中最下位ではあったが、スコアはかなり肉迫しており、もはや自動システムでもここまでできるということに驚かされた。囲碁のように人間を超えるレベルになるのは、そう遠いことではないのかもしれない。もちろん「セキュリティ」は多岐にわたるので、それでセキュリティ技術者が不要になるわけではないが、脆弱性の発見や修正の多くが自動化できるのであれば、ITの安全性は大きく増進することだろう。

サイバー犯罪者は弱者を狙う

一方で、悪意を持ったハッカーにとっても自動化によって攻撃は容易になるが、結局は計算リソースの勝負ということになるので犯罪ハッカーは大きなターゲットに太刀打ちできず、やや分の悪い時代になる可能性は高い。必然的に、ランサムウェアやバンキングマルウェアのように「弱い者」を狙った攻撃がより盛んになるだろう。また、国家支援ハッカーや、多大な資金を持つ犯罪組織といったレベルになると、今よりさらに強力かつ巧妙な攻撃が可能になるという恐れもある。とはいえ、全体としてはやはり今よりはかなり安全になると考えていいのではないか。今後の研究の発展に期待したい。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…