自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト
CGC は用意されたプログラムの脆弱性を探し、それを修正するためのパッチを書く、そして敵チームのプログラムを攻撃するための攻撃コードを書き攻撃を行うという一連の行動をすべて自動化されたプログラムによって行うというものだ。
研修・セミナー・カンファレンス
セミナー・イベント
2016 年 8 月 4 日(太平洋夏時間)にアメリカ・ラスベガスにて、自動化されたプログラム同士の攻防戦「CGC(Cyber Grand Challenge)」が、DARPA(国防高等研究計画局)主催で世界最大のハッカーカンファレンス DEFCON 24 とともに併催された。
CGC は用意されたプログラムの脆弱性を探し、それを修正するためのパッチを書く、そして敵チームのプログラムを攻撃するための攻撃コードを書き攻撃を行うという一連の行動をすべて自動化されたプログラムによって行うというものだ。
8 月 4 日の決勝戦は、100 チーム以上の予選参加者の中から勝ち上がった 7 チームによって行われた。各チームは Intel Xeon を搭載したサーバーを詰め込んだ水冷式ラック 1 台分の環境を駆使して競技を行う。さらに、この 7 チームの決勝戦参加者には 75 万ドル(約 7,600 万円)が資金として提供されている。
決勝戦では、カーネギーメロン大学の ForAllSecure チームの「Mayhem」というシステムが優勝し、優勝賞金 200 万ドル(約 2 億円)を手に入れた。他にも上位入賞のチームには 2 位 100 万ドル(約 1 億円)、3 位 75 万ドルが支払われている。
さらに驚くべきことに、DARPA はこの CGC の競技環境などを準備するために 3 年の歳月と 5,500 万ドル(約 56 億円)の資金を投じている。
何もかもが桁外れのこの競技は、これまでのセキュリティコンテストの CTF(Capture The Flag)と大きく違っている点がある。競技が開始すると各チームはプログラムを実行し、あとは競技が終わるまで見ているだけとなるのだ。過去に世界最高峰の DEFCON CTF も運営していた Kenshoto (見性戸)の VISI 氏自身も従来の CTF を「Traditional CTF」と呼ぶほどである。
● セキュリティ・ライフサイクル全体の自動化が目標
DARPA はアメリカの軍隊で使用する新技術の研究や開発を行う機関であるが、なぜこういったセキュリティコンテストを行っているのだろうか。
CGC のプログラムマネージャーのマイク・ウォーカーは「私たちはセキュリティ・ライフサイクルの全体を自動化することができることを証明している。」と語っている。セキュリティ監視を自動化し、より強いネットワークを作るための 10 年計画の最初の一手なのだと。
DARPA がこういった自動化の競技を開催するのは初めてではない。2004 年から DARPA Grand Challenge として、自動運転の自動車レースを開催していて、2007 年には優勝賞金 100 万ドルが提供されている。
DARPA は無人の軍用車の比率を上げるという目標を掲げている。無人軍用車を実現するための問題点を洗い出し、解決するという流れを、従来通りの企業や組織での研究や開発の速度に比べて、競技を開催することによって加速しているのだ。
実際、この競技が行われた後に車の自動運転に関するさまざまな研究開発が行われ、今では完全に自動運転で走る車もそう遠い未来の話ではなくなっている。
DARPA は技術を軍のためだけに使用しているわけではない。それらの技術を世の中に公開することも行っている。その代表的な例がインターネットだ。後の DARPA となるアメリカ国防総省の高等研究計画局(Advanced Research Projects Agency:ARPA)は、世界で初めてのパケット通信ネットワーク ARPANET を開発し、これが現在のインターネットの起源となっている。
今回のCGCでも、すべてのプログラムはオープンソースとして公開される。
● セキュリティ・ライフサイクル自動化の時代の幕が開けた
セキュリティ・ライフサイクルの全体を自動化するといっても、今のところまだ人間ができることと変わりがない。シンプルな脆弱性を自動的に見つけてはいるが、複雑な脆弱性にはまだ対応できていない。参加者の1人のコメントでは「競技の間中クラッシュせずに動き続けるプログラムを組むことが一番難しかった」と言っているほどだ。
CGC の後に行われた DEFCON CTF 2016 では、CGC とほぼ同じ競技システムを使って人間対コンピュータでの CTF が行われた。今回の優勝チームの「Mayhem」システムも参加者として加わっている。
CTF の結果として「Mayhem」システムは何組かのチームに競り勝っているが、結果は 13 位だった(本稿執筆2016年8月7日午後時点)。
しかし、コンピュータは囲碁ではプロ棋士に勝てないと言われていたが、Google DeepMind によって開発されたコンピュータ囲碁プログラムである「AlphaGo」が最高峰のプロ棋士である李氏との勝負に競り勝ったのも記憶に新しい。
CGC によってセキュリティ・ライフサイクルの自動化という時代の幕が開けた。これからこの流れが加速していくことは間違いがない。
日本ではセキュリティ従事者の人数を増やそうとしているが、そう遠くないいつの日か、セキュリティの問題を解決しているのは人間ではないかもしれない。
《》
関連記事
![[緊急寄稿] 電脳コイルとポケモンGO の誘う AR 犯罪新時代 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/20681.jpg)
![[DEF CON 23] 正しい標的型攻撃メール訓練の運用法、ソーシャルエンジニアリングの国際的権威クリス・ハドナジーに聞く 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/16881.jpg)
![[DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/16829.jpg)
![[DEF CON 22 レポート] SECTF 競技レポート 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/11457.jpg)
この記事の写真
/
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
-
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
-
RoamWiFi R10 に複数の脆弱性
-
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供