サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る～ GCC Tokyo 2020

　国内では定着した感のある「セキュリティ・キャンプ」のグローバルバージョンが存在するのをご存じだろうか。2 月 10 日、アジア太平洋地域 7 か国（日本含む）の優秀な若手エンジニアやハッカーが集い、その技を磨いた。

●若手セキュリティ技術者のグローバルコミュニティ：GCC

　参加国は日本、オーストラリア、マレーシア、シンガポール、タイ、台湾、ベトナム。残念ながら韓国は COVID-19（コロナウイルス）の影響で不参加となった。参加者は、各国のセキュリティコミュ二ティから選抜された17歳から21歳の若手エンジニアたち、総勢29名。各国2～6名のチームを組み、各種の専門セッションや CTF を 4 日間でこなす。

　国内のセキュリティ・キャンプは、全国から選抜された高校生や大学生を対象に、メンターやコーチをつけながら、きわめて高度なセミナー、演習を行うことで有名だ。本格的な CTF をはじめ、自動車 ECU のハッキング（解析）まで行う。この活動を通じて、若手エンジニア、ホワイトハットハッカーを育成する。

　グローバル・セキュリティ・キャンプ（ GCC ）（コンパイラではない）は、この枠組みを海外にまで広げたものだ。もともとは、台湾 Telecom Technology Center（ TTC ：電信技術センター）理事長呉宗成博士の発案で始まった。呉博士の「アジアの若い研究者のコミュニティをつくり、人材育成に貢献したい」との想いを、博士に「 2 年間にわたって依頼された」セキュリティ・キャンプや CODE BLUE の運営で尽力する篠田佳奈氏が GCC として形にした。今年で 2 回目の開催となる。

●技術とともに身につくホワイトハッカーとしての規範

　GCC Tokyo 2020 のオープニングスピーチは、株式会社ラック西本逸郎氏が登壇した。西本氏は、2019 年に日本で開催されたラグビーワールドカップの話から始めた。ラグビーは、もともとメジャーではなく危険で野蛮とも言われていた。しかし、現在のようにメジャーなスポーツになったのは「ラグビー憲章」という規範ができたからだという。

　同様に、サイバーセキュリティの現状も、一部では、ハッカーは何をやっているかわからないという認識もある。西本氏は「もちろん、セキュリティ（技術）は危険である」ともいう。しかし、続けて「（ラグビー憲章にあるように）「品位、情熱、結束、規律、尊重」の念をもって GCC を楽しんでほしい」と、学生たちを激励した。

　このあとトレーニングコースが始まった。すべてのコースが終日のセッションとなり、どのテーマもかなり深い内容まで学べるようになっている。初日は 1 トラックだが、2 日目と 3 日目は 1 日セッションが 2 トラック走る。4 日目は再び 1 トラックにもどり半日セッションを 2 つこなす。

　セキュリティ・キャンプ協議会竹迫良範氏によれば、今回のトレーニングは「 Call for Training 」を採用し、各国から演習課題を募集し、その中から厳選されたものだという。U21 の学生向けとはいえ、レベルは高く、Blackhat USA の Arsenal や FIRST TC（テクニカルクロキア）といったプロフェッショナル向けのトレーニングの実績を持つ講師が集結した。

●公募によって選出された高度なトレーニングプログラム

　例えば初日のトレーニングは、実際に攻撃を受けたシステムを想定したストレージが渡され、インシデント対応の手順を踏みながら、 CTF 形式で攻撃の解析、フォレンジックス、マルウェア解析を行うというもの。

　2 日目は、機械学習を使ったセキュリティアプリケーションの開発を演習形式でこなし、機械学習アルゴリズムと、その評価方法を学ぶトレーニングと、脆弱性の自動解析（ファジング）とエクスプロイトの自動生成を学ぶトレーニングが用意されていた。機械学習は、シグネチャなし、動的評価（サンドボックスなど）なしのマルウェア検出として、近年ソリューションが増えている領域だ。ファジング技術は、攻撃者視点のエクスプロイト作成を体験できる、きわめて実践的なものだ。

　3 日目のトレーニングは、バイナリ難読化と IoT ファームウェアのリバースエンジニアリングとなっている。バイナリの難読化は、地味だがマルウェア解析には避けて通れない。この原理と手法を学び、難読化されたコードの解除、解析までを行う。IoT のリバースエンジニアリングでは、エミュレータ上で MIPS プロセッサを動かし脆弱性を探るというもの。ツールとしては Qiling Framework を使う。

　4 日の半日コースは、攻撃ベクターごとの挙動解析とソーシャルメディアオペレーションのトレーニング。攻撃ベクターの解析は、複数のログファイル、情報をベースに攻撃者の挙動を解き明かしていくという演習。ソーシャルメディアオペレーションは、情報の真偽の確認方法、OSINT による発信者の特定作業について学ぶというもの。

　以上のように、どれも第一線のセキュリティエンジニアが受けたくなるようなトレーニングばかりだ。こうした高水準のコンテンツを、社会に出る前の若者たち、それもアジア圏の異国同士の若者たちがともに学ぶ意義は計り知れない。

●各国セキュリティ機関・団体からの精鋭が揃う

　参加者は、各国のセキュリティ関連団体やコミュニティが、それぞれの方法で選抜した精鋭たちだ。日本は、セキュリティ・キャンプ協議会が選んだ 6 名。選考はセキュリティ・キャンプと同様に課題選考したという。しかしキャンプ出身生が優遇された訳ではまったくない。「気をつけたのはニュートラルとフェア。キャンプ出身生に絞ることはせずに外部に窓口を設けた（篠田氏）」

　オーストラリアチームはクイーンズランド大学内の情報技術および電気工学のカレッジ、ITEE のセキュリティ研究チームから、面接とチーム貢献度で選ばれた 4 名。

　マレーシアは産学連携のセキュリティグループ NanoSec から 2 名が参加した。選考は大学からの推薦と面接で決定した。

　シンガポールはボランティアベースのセキュリティコミュニティ Division Zero の 3 名。シンガポールでは各大学に公募をかけ、書類選考と試験を実施して選抜した。試験には 100 ワードほどの論文（エッセイ）もあったそうだ。

　タイは NECTEC とマヒドゥ大学から 5 名の混成チームだ。メンバーは、コンペティション方式で、プロポーザルの中から選んだ。NECTEC は、日本の NICT などと共同研究も行うタイ政府機関だ。

　台湾チームは AIS3 の5名。AIS3（行動情報セキュリティサマースクール）は、台湾教育省の情報セキュリティ人材育成プログラムとして運営されるプロジェクト。選考は、サマースクールの参加者のうち成績の良かった者と、貢献したいという意思を尊重したそうだ。

　最後のベトナムは VNSECURITY から、公募とコンペによって選ばれた 4 名が参加した。VNSECURITY は 1998 年から続く同国を代表するセキュリティ研究グループのひとつだ。

●難問に苦戦しながらもトレーニングを楽しむ受講生たち

　トレーニングや CTF が始まると、受講者は完全に「ハッカーモード」だ。記者が気軽に声をかけられる雰囲気では到底ないが、休憩時間を利用して、参加者数名のコメントがとれた。

「GCC には、スキルとナレッジの修得が目的で参加しました。友だちも作りたいと思っています。 CTF はベトナムでも人気で自分も 10 回以上国内の大会に参加しています。トレーニングは難しいですが、がんばっています。」（ホーチミン大学でコンピュータサイエンスを学ぶドン君 19 歳）

「タイのサイバー空間は安全とはいえません。むしろ危険といっていいくらい。セキュリティは、自分を守るために勉強をしています。このトレーニングもそのために参加しました。でも、タイでは CTF 競技はあまり盛んではないので、GCC のような取り組みはとてもいいと思いました。じつは、日本に留学していたこともあるんです。趣味はゲームで、ポケモンが好きです。」（マヒドゥ大学で情報学を学ぶタッソン君 20 歳）

　女性参加者の声も聞けた。

「トレーニングはレベル高いですが、こういう雰囲気は私は好きです。タイの若い人は、たしかに会場に集まってやる CTF とか馴染みが薄いですが、オンラインのハッキング競技や CTF にはときどき参加してます。今回 GCC に参加して思ったのは、きっとタイでも（オンサイトの CTF は）流行るだろうということ。趣味は読書で、伝記とか天文学とかいろいろです。」（タイ王室警察士官学校ラウィニットさん 20 歳）

「参加目的は、違ったバックグラウンドを持つ他の学生との交流を通じて知識と経験をつむことです。GCC は台湾の AIS3 に似ていると思います。AIS3 のサマースクールでも、みんなとてもパッションを持って CTF やトレーニングに臨んでますよ。でも、台湾の人って少しシャイなところがあって質問がヘタだったり…　初日の CTF は、フォレンジクスが専門ではないのでちょっと苦労しました。周りのみんなと協力して、簡単な問題でした、ひとつ解けてみんなに貢献できてうれしかったです。みなさん、とても積極的で見習いたいなと思いました。」（台湾国際大学のハンさん 19 歳）

●スキルと規範、それぞれの楽しみ方

　サイバー攻撃者自身はたとえ仲間やグループという意識はなくとも、地理的な枠組みを超えた連携をしてくる。攻撃機能を最大化するため、いわば自律的に、ときには動的に発生するネットワークであり、一種のコミュニティだ。このような攻撃に対して、企業や組織ごと、ましてや国ごとの対策には限界がある。近代セキュリティで、協働と情報共有が重要視される所以だ。

　セキュリティは、どこか防御に弱いところがあれば、他がいくら強固なシステムであっても、全体のセキュリティレベルは低いところに引きずられてしまう。APT や組織的なサイバー攻撃、犯罪グループへの対策は、国を超えたセキュリティレベルの底上げが欠かせない。2020 年冒頭に世間を騒がせた三菱電機のインシデントは、国をまたいだサプライチェーン攻撃だった。GCC の取り組みは始まったばかりで、まずはアジア太平洋地域の連携からとなっているが、すでに EU の ENISA が GCC に興味を示しているという。

　前述したように、トレーニングの講師は、Blackhat や FIRST TC でも実績があるプロフェッショナルたちだ。学生向けとはいえ、解析アルゴリズムからツールの操作、 CTF と極めて実践的でもある。集まった学生も、各国の大学や研究機関が認めた、いわば国のエリートたちだ。

　日本、韓国、オーストラリア、マレーシア、シンガポール、タイ、台湾、ベトナム。GCC に参加した若者たちは、将来必ずや高度なプロフェッショナルとして企業や研究機関、政府や防衛の仕事などに携わっていくことだろう。

　世界中どこを見ても近隣国家同士はしがらみや政治的葛藤を抱える。アジア圏だけに限った話ではない。GCC のような、国のしがらみにしばられないまだ若い時期に、互いの国を知る GCC のような機会に恵まれることの未来への意義は計り知れないだろう。そして、その青春の 1 ページをともに共有した舞台が日本であったことも。セキュリティ・キャンプがまた、サイバーセキュリティの歴史の新しいページを開いた。