11月15日、「no drink, no hack!」を合い言葉にセキュリティを熱く語り合うイベント「AVTOKYO 2014」が都内某所で開催された。「Black Hat Japan 2007」の裏番組(?)として始まった同イベントは、今回で8回目。ツイート/撮影禁止の濃厚なトークセッションから、はんだごて体験、パスワードクラックチャレンジまで、盛りだくさんの約5時間となった。その中から、パネルディスカッションの模様を中心にレポートする。
NO DRINK, NO HACK!なAVTOKYO 2014
すべてが止まった「AD200x事件」
パネルディスカッションのお題は、「日本のセキュリティ事件史」だ。学生向けのセキュリティ強化合宿「セキュリティ・キャンプ」やセキュリティコンテスト「SECCON」、AVTOKYOなどを開催し、日本の情報セキュリティの発展を支えてきた園田道夫氏、上野宣氏、tessy氏が登壇した。
そもそもこのお題を選んだ理由は、近頃一線を超えそうなバグハンティングをする人が増えた気がするからと園田氏は言う。たとえ正義感からくる行動であっても、ルールに反すれば即アウトになりかねない。新たな世代が育ちつつあり、セキュリティ業界が再び盛り上がりを見せる今だからこそ、過去の苦い経験を共有したいと園田氏は主旨を話す。
最近はセキュリティ系のイベントや勉強会も増え、全国各地で開催されているが、同様のムーブメントが2000年頃にもあった。だがその一方で、企業や一般の間ではセキュリティリスクに対する認識や危機感が低く、善意で企業に脆弱性を報告しても「セキュリティゴロ(ツキ)」と呼ばれ、相手にされないことが多かったという。「IPA(独立行政法人 情報処理推進機構)でも、Webサイトの脆弱性の修正で連絡したら、セキュリティは間に合ってますと電話を切られることもあった」(園田氏)。
(左から)tessy氏、園田道夫氏
真剣に問題を訴えても相手にされない。そんなやり場のない苛立ちを、報告者たちはセキュリティイベントの発表でぶつけるようになった。同時に、直接報告してトラブルになっている状況はIPAでも認識しており、吸収先となる脆弱性報告制度を検討し始めた。
そんな矢先に、事件は起きた。某セキュリティイベントで、個人情報を取得可能な脆弱性を某Webサイトで発見したという発表があった。「聞いたとき、これはヤバいかもと思ったし、会場もどよめいだ」(上野氏)。
正月明け、新聞の一面に警察が不正アクセス禁止法違反で同問題を捜査しているという記事が掲載された。結局これを発端に、ハッカーは犯罪者というイメージがつき、勉強会でセキュリティの話はできないと恐れる人が増え、次第に勉強会の数は減っていった。以降、園田氏たちはめげずにゲーム形式の技術コンテスト「CTF」(Capture the Flag)実施を試みるが、いろいろあって立ち消える。「あの時代に高校生や高専生でCTFやっていたら、セキュリティ人材不足なんて問題が持ち上がってなかったかもしれない」(園田氏)。
(左から)上野宣氏、Winnyと遠隔操作ウイルス事件の話で飛び入り参加した杉浦隆幸氏
それから苦節7年、世間一般でのリスク認識も徐々に高まり、AVTOKYOのようなイベントやCTFも開催できるようになった。米国の歴史あるハッカーイベント「DEFCON」のCTFで日本のsutegomaチームが活躍し、全国放送で取り上げられたのも良い刺激となった。現在、AVTOKYOでは発表者の予稿を事前に見て、違法性がないかチェックしているという。もちろん、過敏になりすぎることへの葛藤もある。「技術者の視点を大事にしたい気持ちも強い」(tessy氏)。
だが、同じ轍を踏み、また暗黒の時代に戻るわけにはいかない。「(そのためにも)物事にはルールがあることを知ってほしい。たとえば脆弱性調査をするときは法律を尊重し、寸止めでやめてほしい」と園田氏は言う。
XSSの方も黒歴史を乗り越えてきた一人
その後、P2PソフトのWinny事件や遠隔操作ウイルス事件など、さまざまなセキュリティ関連事件が発生し、レガシーのフォレンジック手法や捜査方法などの課題も浮き彫りになった。「課題があるということは、まだまだセキュリティ業界にはやることがあるという意味だ」。上野氏はそう述べ、こうして熱いパネルディスカッションは幕を閉じた。
