専門学校・高専対象の脆弱性発見コンテスト、「ペンテスター」になって授業ではできない体験を 2ページ目 | ScanNetSecurity
2020.04.06(月)

専門学校・高専対象の脆弱性発見コンテスト、「ペンテスター」になって授業ではできない体験を

三井物産セキュアディレクション(MBSD)は、全国の専門学校生・高等専門学校生を対象にしたセキュリティコンテスト「MBSD Cybersecurity Challenges 2017」を実施した。

研修・セミナー・カンファレンス セミナー・イベント
堂々昨年のリベンジを果たした情報科学専門学校の IPFactory
堂々昨年のリベンジを果たした情報科学専門学校の IPFactory 全 14 枚 拡大写真
・セキュアマン’s 2.0.1 船橋情報ビジネス専門学校
・Prime 静岡産業技術専門学校
・なにわのシリコンバレー ECCコンピュータ専門学校
・陸のくまさん 東京電子専門学校
・HPS 北海道情報専門学校
・ヤマネコ 日本工学院専門学校
・SOTTISOTTI 情報科学専門学校
・IPFactory 情報科学専門学校
・AS01 麻生情報ビジネス専門学校
・WCDI 日本工学院八王子専門学校

 最終審査に残っただけあって、各チームとも参考情報として示された書籍やガイドラインを参照し、nmapやWireshark、Kali Linux、OWASP ZAP、Fiddler、Burp Suiteといったさまざまなツールを駆使して複数の脆弱性を発見していた。それだけにとどまらず、脆弱性がどの程度深刻かをCVSSに基づいて評価したり、不正振り込みといった悪用のシナリオを示しながら問題の深刻さをアピールするなど、さまざまなところに気を配りながらプレゼンテーションを行っていった点が印象的だ。中には、「緊張してデモを失敗しないように」とあらかじめ動画でデモを用意するチームもあった。

 一方、オンラインバンクを対象にしたからか、2017年にTwitterなどで流行した「5000兆円欲しい」のネタがあちこちでかぶったり、制限時間をオーバーして途中で打ち切られたりといったシーンが見られたのはご愛嬌だ。

 プレゼンテーション内容も評価に加えて審査を行った結果、第3位には昨年のリベンジを期して参加し、ソースコードとサーバの二手に分かれて診断を行った「AS01」が選ばれた。第2位となったのは「HPS」だ。セッションハイジャックと、APIの脆弱性を突いた認証回避を組み合わせることで不正な振り込み処理が行えることをデモで示し、「金銭的被害が生じるだけでなく、顧客に直接被害が生じ、企業の信頼を失うため直ちに修正の必要があると考えます」と明快に説明を行うなど、「想定顧客」への説明という視点を持ち、分かりやすくプレゼンテーションを行った点が高く評価された。

 最優秀賞に輝いたのは、やはり昨年のリベンジを目指した「IPFactory」だった。三位のAS01同様、Webアプリケーションの脆弱性だけでなく、プラットフォームに存在するOSコマンドインジェクションの脆弱性を指摘し、「OSコマンドの呼び出しを使わない」といった対策を提案。さらに、なぜこのような脆弱性が生まれたかについて踏み込んで考察し、「設計段階に問題があるのではないか。具体的には、要件定義が不十分だったのではないだろうか。結論として、安全なシステムを実現するには、設計段階からしっかり安全を考慮することが大切だ」と指摘していた。昨年の参加メンバーは一歩引いた立ち位置で後輩に発表を任せ、「世代交代や後進の育成を意識した」と述べていたことも印象的だ。

 審査員らは、「まだどのチームも見つけていない脆弱性は残っている」とニヤリとしながらも、「Webだけ、という風に専門領域に特化するのではなく、ネットワークやOSも含めバランスよく診断したチームが高い得点を得た。全体として想像以上にいろいろな脆弱性を見つけてくれた」と評価していた。

 最後に講評を行ったMBSD テクニカルサービス事業本部本部長の武井寿彦氏は、今回のコンテストを通じて「実践に即した形の診断業務を体験してもらえたのではないか」と述べた。今回の参加者のうち、明確にセキュリティ技術者としての仕事を志しているのは半数程度だったが、「ネットワークにしてもWebにしても、この先セキュリティとの関係は切っても切れないものになる。ぜひこの先の学業や仕事で頑張って、セキュリティホールのないサービスを作ってほしい」と呼び掛けた。

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《高橋 睦美》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA)

    ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA)

  2. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  3. 楽天市場・ヤフーショッピング用システムに不正アクセス、一部改ざん被害も(Ryuki Design)

    楽天市場・ヤフーショッピング用システムに不正アクセス、一部改ざん被害も(Ryuki Design)

  4. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  5. きみに読んでほしい3冊:セキュリティブックガイド 第3回 ソリトンシステムズ 荒木 粧子 「セキュリティ業界に飛び込んだきみへ」

    きみに読んでほしい3冊:セキュリティブックガイド 第3回 ソリトンシステムズ 荒木 粧子 「セキュリティ業界に飛び込んだきみへ」

  6. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  7. “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

    “情シス as a サービス”構想展開開始、第1弾はIT資産管理(バリオセキュア)

  8. セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

    セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

  9. セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

    セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

  10. 複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)

    複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)

ランキングをもっと見る