[DEF CON 22 レポート] SECTF 競技レポート

人々がソーシャルエンジニアリングのスキルを競い合う SECTF は、世界でも年に一度だけ、DEF CON でしか見ることのできない競技だ。

「一般の挑戦者が、実在の大企業から情報を訊き出す」という競技の性質上、その様子を動画などで配信することは困難だろう。そして人間を相手にリアルタイムでソーシャルエンジニアリングを行う緊張感は、現場でしか味わうことができない。

今年の DEF CON 22 でも 2 日間にわたって開催された 5 回目の SECTF。その会場の様子を、SECTF の創始者Christopher Hadnagy 氏とパートナー関係を持つ日本のセキュリティ企業、株式会社アズジェントの協力のもとScan 編集部がお伝えする。

●競技の概要

SECTF の出場希望者は事前にウェブから申し込みを行う。選考を通過した挑戦者たちには、競技の数週間前に「あなたの攻撃先となる米国の有名大手企業」一社の名前が告げられる。ちなみに昨年は Apple、Boeing、Johnson & Johnson、Walt Disney などが標的となった。

まず挑戦者たちは、その企業の公式サイトや Facebook、LinkedIn などで得られるオープンソースの情報のみを利用して、その企業に関するリサーチを行い、その情報をレポートにまとめる（競技前にメールや電話で問い合わせることはできない）。

そしてイベント当日、挑戦者は観客の前で攻撃先の企業へ電話をかけ、制限時間30分以内にできるだけ多くの情報を聞き出せるよう、ソーシャルエンジニアリングのスキルを駆使する。

この競技では、あらかじめ「聞き出す情報」が指定されている。職場のカフェテリアに設置されるベンディングマシンや運送業者に関する質問から、利用している OS の種類、そのバージョン、Wi-Fi 利用の有無、アンチウイルスソフトの種類など。それらはソーシャルエンジニアが次の一手を決める重要な情報となるため、内容も幅広い。

それぞれの質問にはポイント（Flag）が設定されており、最も高い合計ポイントを得た挑戦者が優勝となる。なお SECTF の優勝者には黒バッジ（※）が授与される。

※黒バッジ…DEF CON の各種コンテストに優勝した者だけが得られるバッジ。所有者は永久に無料で DEF CON に参加できる。数万人規模の来場者がいる中、毎年ほんのわずかな人数しか手に入れることができないため、極めてレア。ちなみにSECTFの主催者であるChris氏も、毎年評判の高い講師ということで会期中に受賞が行われた。

●競技の様子

今年、選考を通過して出場した挑戦者は 18 人。今回は男女 1 人ずつのタッグを組み、2 人がかりで攻撃するスタイルでの競技だった。

SECTF の会場にはガラス張りの防音ブースが設置されている。挑戦者は、そのブースの中から攻撃先へ電話をかける。挑戦者には客席の反応が聞こえないが、ブース内の会話はスピーカーを通して客席に届けられる。

挑戦者たちは、全米で 8,000 以上の店舗を持つ大手薬局チェーン W 社や、26 か国に支店を持つ有名文具チェーン S 社など、米国人なら誰もが知っている大手企業へと電話をかけ、そこで利用されているインターネットの接続環境やパートタイムの雇用状況、セキュリティトレーニングの実施状況などについて、「もっともらしい架空の理由を述べながら」次々と尋ねていく。
2 人 1 組であるため、各々の役作りが不可欠になる。ソーシャルエンジニアリングを成功させる手法に「質問が多いと拒絶される」「質問が少なすぎると相手は不快になる」などの原理がある。そこで、ある程度の質問を行い、ターゲットが疲れた頃、相手が気楽に感じるように「ここから先の分野は別の者が担当になります、彼に電話をつなぎますので話していただけますか」といったやりとりを展開する。役作りについては、様々な工夫をしており、ある者は監査人に扮したり、プエルトリコ出身で英語が上手くないから、別の者と共同で調査している、などと言って２人１組の不自然を巧みにかわすもの、自分が大手リサーチ業者であるかのように信じさせようとするチームなどが存在した。

一部の情報は意外とあっさり教えてもらえるが、いくつかの質問は「お答えできません」と断られる。断られた場合は、うまく雑談を挟んだり、その情報が必要な理由を話したり、別の質問を絡めたりしながら再びアタックする挑戦者もいる。

タイムアップのブザーで試合終了。挑戦者が挨拶をして電話を切ると、観客からは惜しみない拍手が送られる。

●会場の様子

まず SECTF で驚いたのは、観客の態度が非常に成熟していることだった。そこには大企業の失態を笑い飛ばそうとする空気がない。むしろ「なるほど、うまくやるなあ」「そういうかわし方があるのか」というような小さな感嘆をあげながら、真剣に見入っている観客が多い。

一般の CTF 競技は、いま挑戦者たちが何をしているのかが分かりづらいため、「実際に見てみたら意外と地味だった」という感想も多く聞かれる。しかし、SECTF はショーとしての完成度が非常に高い。緊張した面持ちの挑戦者の姿をガラス越しに見ているだけで、こちらまでドキドキさせられる。

残り時間は客席にも見えるよう、大きくデジタル表示されている。そのため、試合終了間際には、「いま質問している答えが、あと 10 秒でポロっと出ますように……」と祈るような気持ちで眺めてしまう自分に気づく。企業名や回答の一部を NG 音で伏せれば、そのままテレビ番組になりそうな面白さだ。

また、客もスタッフも非常にキビキビと動いているのが印象的だった。会場の外で待っている客のため、隣の席が空いた客はさっと手を挙げてスタッフに知らせる。そして面倒くさがる様子もなく、皆が自主的に席を詰めていく。録音している客がいると、他の客が優しく注意する。それはイベントの成功を望む人々が、全員で協力しあっているような光景だった。

●出場者インタビュー

今回の SECTF には、ちょっとした番狂わせがあった。出場者の 1 人が体調不良で参加できなくなったため、客席から 1 人の男性が選ばれ、充分な準備ができないまま試合に出場することとなった。それでも彼は見事に質問をこなし、多くの情報を引き出すことができた。
その男性、Black Knight 氏（ご本人の希望でハンドル名）にお話を伺ってみた。

──出場の感想を聞かせていただけますか？

「怖かった……本当に怖かった！　見るのと出るのは大違いだ。あのブースに入ったら本気で緊張して、指がこんなになっちゃって（両手の指を震わせながら）。みんなが、ガラスの向こうから僕をじっと見てるんだ、当たり前だけど！　やっとブースから出られたときは『神様ありがとう！』って思ったよ」

──あまり準備する時間がありませんでしたよね？

「もともと出場する予定だった挑戦者が、事前に資料を作っていたから、その点は助かった。だけど自分でも調査をしたかったから、パートナーとは大急ぎで打ち合わせをしたよ」

──どのような戦略を立てましたか？

「僕が攻撃する L 社（住宅リフォームや家電等を扱う大手米国チェーン）のことを調べてみたら、ハワイにも支店があることが分かった。いま、ちょうどハワイを大きなハリケーンが直撃してる。だから、ハワイ支店の様子を真剣に尋ねるリサーチの人間を装おうと決めた。ソーシャルエンジニアリングっていうのは、俳優の仕事みたいだなと思ったね。あとは、『はい／いいえ』で答えられるような質問を増やして、怪しまれる時間を与えないようにしたよ」

──あなたのタッグが優勝するのではないかと噂している人もいました。どう思われますか？

「そりゃ勝てたら嬉しいね、本当に黒バッジが貰えたらどうしよう。見たことあるかい？　あのバッジには『UBER』って書いてあるんだよ」

──単刀直入に訊きます。あなたはハッカーですか？

「うーん。僕が初めて PC に触ったのは 9 歳のとき。ハッカーと呼ばれるようになったのは 11 歳のときだった。だけど当時、ハッカーという言葉にネガティブな意味はなかったんだ。『本来の意図とは違う行動を起こすように、システムを操る人間』がハッカーだった。そこに善悪はない。そういう意味で言うなら、僕は何十年も前からハッカーだね」

●Kevin Mitnick氏来場

SECTF の会場では、常に SECTF の競技だけが続けられているわけではない。ソーシャルエンジニアリングに関するプレゼンテーションや、ゲストを交えたトークショーなども開かれている。

2014 年 8 月 9 日の夜には、伝説のハッカー Kevin Mitnickが会場に現れてスピーチを行った。彼は「いまここで、社会的な個人情報を晒しても構わない協力者」を客席から募ると、オープンソースのサービスを利用して、その協力者の氏名と居住している州から、様々な個人情報（住所、電話番号、誕生日、SSN、母親の名前など）を簡単に割り出す方法を実演してみせた。ちなみに、Kevin Mitnick氏は昨年5月に日本で開催された「進化する標的型攻撃。ヒューマンハッキングの実態」セミナー（主催：株式会社アズジェント）においても、衛星中継でソーシャルエンジニアリングの講演を行っている。

最後の Q&A で、「典型的なハッキングとソーシャルエンジニアリング、どちらが効果的か、その比率はどれぐらいだと思うか」と尋ねられた Kevin は、「通常、技術的なエクスプロイトを行う前に、そのドアを開くのがソーシャルエンジニアリングだ。どちらが何％と表現することはできない」と答えた。

●おわりに

レポートの最後に、SECTF の観覧で体験した個人的なエピソードをお伝えしたい。
SECTF では、挑戦者がうまくポイントを得られたときに客席から拍手が起こる。しかし挑戦者がまったく相手にされず、「何もお答えできません」と断られた場合にも、やはり同様の拍手が起こる。
「これは結果の良し悪しにかかわらず、挑戦者の健闘を讃える拍手ですか？」と隣の席の方に話しかけてみたところ、意外な答えが返ってきた。
「違うよ。これは、相手の企業がソーシャルエンジニアリングに惑わされず、正しい対応をしたことを讃える拍手なんだ」

観客の一人一人がソーシャルエンジニアリングを学ぶ意義を理解し、他人にも親切に伝えることができる。そんな SECTF に集まる観客の認識レベルの高さを、改めて思い知らされたような気がした。

(江添佳代子／協力：株式会社アズジェント)