外部との情報共有の大切さ、ソーシャルエンジニアリングの威力など、競技を通じて体感
台湾初のセキュリティ防御コンテスト「HITCON DEFENSE」を観戦してきた
2019年01月21日 07時00分更新
会場内にまぎれ込む攻撃者!? ソーシャルエンジニアリングも展開
ちなみに競技中には、攻撃側のレッドチームがコミュニケーション能力を発揮し、参加者をソーシャルエンジニアリングで翻弄する一幕もあった。
会場内にはフライ菓子の箱を抱え、それをパクつきながらうろうろする女性が1人。スタッフバッジをつけた彼女は参加者に「調子はどうですかー?」などと声をかけつつ、お昼時にはお弁当やお菓子を配る。
そんな彼女、実はレッドチームのメンバーであり、スタッフバッジは偽物。菓子箱の中にはUSBケーブルに見せかけたRaspberry Piベースの“BadUSB”デバイス(USBキーボードとして認識され、不正コマンドを自動入力/実行する)が隠されており、参加者のPCに挿し込む機会を虎視眈々と狙っていたのだ。
参加者の警戒心が薄れてきたタイミングを見計らって、「ファームウェアのアップグレードができますよ。どうですか?」と声をかける彼女。結果、全チームが“アップグレード”を快諾。彼女のUSBケーブルをPCに挿した結果、10分おきにマイナス50ポイントを食らってしまった。うまく参加者をだました彼女のコミュニケーション能力に驚くと同時に、ソーシャルエンジニアリングが大変有効な攻撃手法であることを痛感させられるワンシーンだった。
* * *
6時間にわたって戦われたHITCON DEFENCEの最終結果は次のとおりだ。
●冠軍1位:418チーム
●亞軍2位:財政部資安團隊チーム
●季軍3位:菁英中心不收我チーム
競技としての盛り上がりもさることながら、攻撃を受けたり脆弱性を発見した場合の社外とのコミュニケーション、情報共有の意義など、サイバー対策における組織防御のあり方についてあらためて考えさせられたコンテストだった。