大学生チーム参加の「第11回情報危機管理コンテスト」を南紀白浜で観戦してきた

電話が鳴る！上司に報告！まるで実務なセキュリティ競技

2016年06月07日 07時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

予選を勝ち抜いた各チームの個性が際立つ決勝戦

　それでは、決勝戦における各チームの奮闘ぶりを見てみよう。

　決勝戦は、1問目から波乱含みだった。「Webページが開かない」という障害報告を受けて、全チームは一斉に調査を開始したが、なかなか特定に至らない。実は、このとき実行された攻撃は「Slowloris HTTP DoS攻撃」だった。ApacheなどスレッドベースのWebサーバは、最後のヘッダが送られてくるまでセッションを維持する仕組みになっている。それを悪用し、セッションを維持し続け、最大接続数までセッションを増やしてサービス拒否状態を作り出すのが、Slowloris攻撃の特徴だ。

　「Slowlorisかもしれない」といち早く気付いたのは、東京電機大学のTDU-ISLだ。「差分管理が大好き」と話すメンバーは、正常時のApache設定情報やWebページのドキュメントルートなどをあらかじめ収集しており、攻撃が発生したらすぐに差分をチェックし、攻撃者の侵入による障害ではないことを確認した。あとはロードが遅くなる攻撃であること、セッション状況やnetstatなどの調査結果から、Slowlorisしかないと判断したという。その「あたりを付ける速さ」から、TDU-ISLは「グッドセンサー賞」を受賞した。

去年は2次予選で敗退したTDU-ISL（東京電機大学）。本戦進出の秘訣は「よく寝ること」だそうです

　気付くのも対処するのも早かったが、その前の工程を飛ばして突っ走った早稲田大学のTeam GOTO Loveは「アグレッシブ賞」を受賞した。メンバーは「やれることはすべてやったが、やりすぎだった……」と話す。同チームでは、1問目は攻撃を受ける前の状態に復旧することを目標に動いたが、“ある程度の復旧ラインで妥協する”という実務に近い対応ができず、それに思い至らなかったのが残念だと悔しがる。審査員は「手が早いということは、それだけ知識や技術力があることだ」と評価しており、来年の再チャレンジにも期待したいと語った。

Team GOTO Love（早稲田大学）は同じ研究室の仲間が集まり参戦

　実はこの「アグレッシブさ」を伝統としてきたのは、早稲田大学ではなく常連校の関西大学だった。関西大学KobaICのメンバーは、「今年は落ち着いて対応することを心掛けた」と話すが、同時に「初動が遅れ、悩んでいる間にサービスが止まっていた」ことを反省する。2問目のリダイレクト問題（バックドアを仕掛けられ、.htaccessファイルやhtmlファイルなどが改竄される）については「ちょうど勉強会で取り上げたテーマだったので、すぐに対策できた」。

　コンテスト常連の同研究室では、チームを編成するときは必ず「経験者1名と初参加3名」にすると決めている。理由は、次の世代に本戦経験を積ませて育てるためだ。研究室内でも勉強会のほか、コンテストの疑似環境を作ってインシデントレスポンス大会を開催するなど、「知の継承」を実践している。次世代を育てながら一歩ずつ前進するKobaICには「プログレス賞」が贈られた。

KobaIC（関西大学）のメンバーは、将来はCSIRTなど、セキュリティ関連の仕事に就きたいと目を輝かせていました

優勝の決め手は各メンバーの得意分野を生かした“完全分業制”

　「被害の鎮静化に向けて着実に対応した。現場で一番信頼できるチーム」と評されたのは、「ダメージコントロール賞」を受賞した岡山大学のセキュリティ讃歌だ。チームリーダーの赤尾洋平氏はその統率力が評価され、MVPに贈られる「JPCERT賞」を受賞している。

^{訂正とお詫び：掲載当初、「JPCERT賞」の表記に誤記がありましたので訂正いたしました。（2016年6月7日）}

　赤尾氏は、「WordPress問題では、競技前日に配られた資料を読み込んだときにパスワードが脆弱だと気付き、予習と対策を考えた」と語り、入念な準備のうえで決勝戦に臨んだことを明かす。「最後に作成するトラブルチケットも、どこに障害があるかを説明する図のテンプレートを用意していた。でも今年は図をアップロードできない仕様に変わっていて、すごく残念」。優勝を目指して万全の準備を整えてきただけに、悔しさも大きい。来年こそは優勝したいと、意気込みを見せた。