「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.22(木)

「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

三井物産セキュアディレクション株式会社( MBSD )は、同社が今年初めて開催した、専門学校生対象のセキュリティコンテスト「MBSD Cybersecurity Challenges」の最終審査会と入賞チームの表彰式を12月13日、都内で行った。

研修・セミナー・カンファレンス セミナー・イベント
MBSD Cybersecurity Challenges 最優秀賞に選ばれた日本工学院八王子専門学校のチーム「WCDI」 の 3 名 ( 1 名のメンバーは当日参加できず)
MBSD Cybersecurity Challenges 最優秀賞に選ばれた日本工学院八王子専門学校のチーム「WCDI」 の 3 名 ( 1 名のメンバーは当日参加できず) 全 15 枚 拡大写真
三井物産セキュアディレクション株式会社( MBSD )は、同社が今年初めて開催した、専門学校生対象のセキュリティコンテスト「MBSD Cybersecurity Challenges」の最終審査会と入賞チームの表彰式を12月13日、都内で行った。

合計 272 名(78 チーム)の専門学校生が応募し、課題用として準備された仮想の Web サービスと、そのソースコードに潜んだ脆弱性をレポートするという「報告書審査形式」の競技を勝ち残った全国の 10 チームが最終審査会に出場し、日本工学院八王子専門学校のチーム「WCDI」の 4 名が最優秀賞に選ばれた。

最終審査会に出場した入賞 10 チームとそれぞれの所属専門学校は下記の通り。

・「入賞10チーム名」所属専門学校
--
・「友利奈緒になりたい!!」 名古屋工学院専門学校
・「パドロック」 トライデントコンピュータ専門学校
・「へたれsec」 ECCコンピュータ専門学校
・「Script kiddies」 東京電子専門学校 ( 2 位)
・「セキュアマン's」 船橋情報ビジネス専門学校
・「team Champion」 アルスコンピュータ専門学校 ( 3 位)
・「WCDI」 日本工学院八王子専門学校 (最優秀賞)
・「techtech」 東京工学院専門学校
・「HPS」 北海道情報専門学校
・「IPFactory(一年生)」 情報科学専門学校
※記載はエントリー順

三井物産セキュアディレクション株式会社 代表取締役社長 神吉 敏雄 氏は、最終審査会の開会式冒頭で、セキュリティ技術者の職業としての高い将来性に言及し若い参加者たちへの期待を表明した。神吉氏は、攻撃側は一点突破である一方、セキュリティを守る側は全てを知っている必要があると前置きしたうえで、一生勉強を続けることが求められるセキュリティ技術者の資質として「好きであること」が最も重要であると結んだ。

全 10 チームはそれぞれ 15分 の持ち時間の中で、各チームが発見した脆弱性について、さまざまな形式でプレゼンを行った。発見した脆弱性の種類と数や、脆弱性の再現方法や対策案はもちろん、報告書の完成度、最終審査会での脆弱性再現、プレゼンテーションの出来不出来も審査対象となった。

プレゼンが終了するたびに MBSD の 4 名の審査員はチームメンバーに対して、脆弱性の発見方法、検証方法、危険度の判断基準、チーム運営等々に関する具体的な質問を行った。「ソフトウェアのバージョン数を変えずにパッチをあてる場合もあるのでバージョン数だけを見て脆弱性を報告すると存在しない脆弱性を顧客に伝える場合もあるため、報告項目に加える際は、攻撃実証を行う必要がある(MBSD プロフェッショナルサービス事業部 国分 裕 氏)」など、現場で活躍する第一級の技術者でもある審査員が、具体的かつ実効性の高いアドバイスを行った。

最優秀賞を受賞した日本工学院八王子専門学校のチーム「WCDI」は、件数が多く漏れの少ない脆弱性発見能力、200 ページに及ぶレポートの作成、課題となった Web サービスのシェルをとり、そこから脆弱性を発見するなどの高い技術力が評価された。

2位に選ばれたのは、HEARTBLEED の脆弱性を用いて秘密鍵を取得した、東京電子専門学校の 2 人のチーム「Script kiddies」、3位は、SQL インジェクションによる登録ユーザ全流出の危険性などを報告した、アルスコンピュータ専門学校のチーム「team Champion」が選ばれた。

なお、最終審査会に出場した複数のチームによって、課題となった Web サービスのキッティング時点で存在しなかった脆弱性である Dirtycow が報告される結果に、MBSD プロフェッショナルサービス事業部 部長 武井 寿彦 氏は「予想を遥かに超える技術力に感動した」と、閉会挨拶で目を潤ませた。

セキュリティ人材不足が叫ばれて久しく、SECCON 、セキュリティ・キャンプなど、さまざまな人材育成イベントが開催されているなか、専門学校生だけを対象とした人材育成イベントは過去に例がない。神吉氏に参加者についてのコメントを求めると「彼らは本気度合いが違う」と語った。

本コンテストは第一回の開催ながら、セキュリティキャンプを超える応募者数を記録しており(セキュリティ・キャンプ全国大会2016 応募者 231 名、MBSD Cybersecurity Challenges 応募者 272 名)、すでに来年 2017 年の第 2 回開催を予定しているという。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

    不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

  2. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  3. サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

    サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

  4. Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

    Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

  5. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  6. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  7. 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

    6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

  8. 「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

    「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

  9. 毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか

    毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したかPR

  10. マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

ランキングをもっと見る