Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート 第4回
人工知能はゼロデイ攻撃のない世界の夢を見るか――「Cyber Grand Challenge」決勝レポート
ソフト脆弱性を数分で自動修正するシステムの競技会、DARPAが開催
2016年09月06日 07時00分更新
競技会で得た知見をビジネスへ「3~5年後には自動化システムの商用利用が始まる」
「自動運転車レースの開催から実用化の可能性が見えるまで、およそ10年かかった。でも、それに比べてコンピューター分野は展開が速い。今回のセキュリティ自動化システムは、3~5年以内には商用利用が始まるだろう」。今回の競技会で2位に輝いたTECHxチームのメンバーで、GrammaTechのCMO(最高マーケティング責任者)を務めるマーク・ブラウン氏はこう断言する。
TECHxは、バージニア大学コンピューター科学専門のジャック・デビッドソン教授と、GrammaTechの研究所副所長デビッド・メルスキ氏が率いる産学連携のチームだ。GrammaTechでは、ソースコードとバイナリの解析でソフトウェアに内在するバグや脆弱性を検出する「CodeSonar」を始めとした、静的/動的解析技術のセキュリティソリューションを開発/提供している。米政府との研究開発にも積極的で、最近では米国防総省(DoD)や米国土安全保障省(DHS)の研究プログラムに参加し、オリジナルのソースコードなしで組み込みデバイスのファームウェアイメージにパッチを適用する技術や、マルウェアに共通する特徴を認識して進化/変化するマルウェアの早期検出を行う技術などの研究に携わっている。
バージニア大学とのコラボレーションのきっかけは、米知能高等研究計画局(IARPA)の研究プログラムに共同で取り組んだことだった。両者はこのプログラムを通じて、ソフトウェアの自動ハードニング(脆弱性排除による堅牢化)技術技術「PEASOUP」を開発しており、この技術とGrammaTechのパッチ技術とを組み合わせて、今回のXandraの推論技術を構築した。
「これまで3年間、Cyber Grand Challengeに関わってきたことで、GrammaTechの解析技術やパッチ技術の有用性を証明でき、技術開発や製品のロードマップが明確になった。この分野に取り組んできた長い年月が報われた瞬間でもあった」(ブラウン氏)
GrammaTechでは現在、パッチ適用技術や組み込みコード関連で顧客とPoC(概念実証)を進めており、12~15カ月後には発表できるとブラウン氏は言う。
「Cyber Grand Challengeは、自動化システムの可能性を示しただけではない。同コンテストで各チームの自動化システムが生成したコードはGithubで公開されており、誰でも自由にリバースエンジニアリングして学ぶことができる。また決勝が終わったいま、ShellphishチームがMechanical Phishのソースコードを公開するなど、各チームが積極的な情報公開を始めており、技術の飛躍的向上も期待できる。10年後には、あの巨大なサーバーラックに詰め込まれた機能が、スマートフォンでも利用できるようになっているかもしれない」。元組み込み系エンジニアでもあるブラウン氏はそう述べ、歴史的瞬間に立ち会えたことを喜んだ。
人間の想像力/創造力や戦略の可能性、その一方で生まれる「隙」
ブラウン氏はもう1つ、「Cyber Grand Challengeを通じて、自動化システムの進化には『技術』と『戦略』の両輪が重要であると再確認した」とも語った。今回の競技中、自動化されたシステムどうしが戦っているにもかかわらず、まるで人間どうしがCTFで戦っているように感じられた理由は、そこにある。
たとえばDeep Redチームの「RUBEUS」は、他チームに対してアグレッシブに脆弱性検証の通信を投げまくり、他チームの「可用性」ポイントを削ぐ作戦に出た。他方、ForAllSecureチームの「Mayhem」やShellphishチームの「Mechanical Phish」は、可用性の維持を重視して、他チームからの脆弱性検証を受けない場合はパッチを適用しない戦略をとった。
つまり、脆弱性を発見したあとの行動に、各チームの戦略という「色」が出て、それが“人間味”を感じさせたのだった。
「CTFのゲーム的な要素については、たとえばメモリとCPU使用率は5%以上のオーバーヘッド禁止といった非機能要件は初期の頃に伝えられており、開発を進めながらCTFへの準備を進められた」と明かすTECHxチームは、優勝したForAllSecureや3位のShellphishなど、豊富なCTF出場経験を持つチームの戦略は「とてもCTF的だった」と評価する。
ForAllSecureチームのMayhemは、競技会後半になって技術的問題が発生し、パッチが適用できない状態に陥った。あわや最下位かと思われたが、前半で十分得点を獲得していたことと、むしろ不安定なパッチを「適用しない」ことで可用性ポイントを稼いだ結果として、優勝をつかみ取った。
今回の競技ではこうした戦略の違い、すなわち“人間味”による戦略のゆらぎがゲームの見応えを生み出し、結果的には各チームの成績も左右したことになる。しかし、現実世界のサイバー攻撃に対抗するうえで、こうした“人間味”は有益に働くのだろうか。むしろ、攻撃の抜け道を生み出す可能性もあるのではないか。
実は今回の競技中、Shellphishチームが、スコア可視化システムのバグを発見して1時間ほどダウンさせる「いたずら」を仕掛け、運営側を大わらわにさせた(どちらかというと会場は「人間」の登場に大盛り上がりだったのだが)。もしも、このいたずらが自動化システムに干渉するものであれば、ルール違反になっていただろう。だが、現実世界のサイバー攻撃には“ルール”などなく、このバグが自動化システムを攻撃するための突破口になっていたかもしれない。
脆弱性を作ってしまうのも人間ならば、それを修正する自動化システムを設計するのも人間だ。そして、攻撃をするのもまた人間である。だからこそ生まれるゆらぎ、防御の「隙」をどう克服していくか。“人間味のない”人工知能を活用したシステムがその一助となるのではないだろうか。Cyber Grand Challenge決勝戦は、人工知能の完成を見据えたさらなる活発な議論や発展を促す一夜となった。
人工知能がゼロデイ攻撃のない世界を夢見る日は、そう遠くないのかもしれない。
この連載の記事
-
第3回
TECH
だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査 -
第2回
TECH
東京都庁の通信内容がダダ漏れ危機?「badWPAD」脆弱性とは -
第1回
TECH
95から10までの全Windowsに影響、「BadTunnel」脆弱性とは何か -
TECH
Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート - この連載の一覧へ