2013年6月16日日曜日

ほこ×たて ハッカーvsセキュリティ 実際のところをまとめてみた

6月9日放送のほこ×たてに「世界一のハッカーvs最強セキュリティ」というテーマがあった。
自分の仕事にも関係するし、多少なり参考になるかと思って視聴していたのだが、実際の対決と放送内容に大きな差があったようだったので、セキュリティ側の人の個人のツイッターと会社のWebサイトからの情報を元にまとめてみた。
わかりやすく説明するために一部不正確な点があること、一部推測が含まれることご容赦ください。
また、以下のまとめのうち、【○】と表記した部分のみが実際に放送され、【×】と表記した部分は放送されていないようです。

    [ 対決条件 ]
○ 3台のパソコンにそれぞれ別の画像ファイルを保存し、ハッカー側が制限時間以内に全てのファイルを取得したらハッカー側の勝ち、それを阻止したらセキュリティ側の勝ち。
× セキュリティ側も設定する時間の制限があり、直前まで対策するパソコンの条件は知らされない。
× セキュリティ側は用意されたPCの機能を変更したりしてはならず、脆弱性を修復したりしてはいけない。
× パソコンの持ち主には容易に対象の画像ファイルを参照できるようにしなければならず、また、視聴者にも理解しやすく、視覚的に見栄えがあるように番組側に協力すること(防御側の完全試合にしてしまうと番組にならない→手加減)。

    [ 1台目のパソコン ]
× 1台目のパソコンのOSは Windows 2000 Server サービスパックなし。(13年前発売のOSで、脆弱性対策を含む大きなアップデートが4回提供されているが、どれも適用せずに300以上の脆弱性が残されたままの状態。Webサイトのサーバーとして利用。)これにセキュリティ側が対策を掛ける。
○ ハッカー側が開始30分時点でパソコンの脆弱性を突き止め、そこから攻撃を仕掛ける。(番組では「開始30分でパソコンに侵入中」と放送)
× しかし実際には設定によるシステム強化によってその攻撃は防がれており、表示されている画面上でも攻撃に失敗していることが見て取れる。(これを実際に突破したのは開始約3時間後。)
× セキュリティ側が用意したパーソナルファイアウォールをハッカー側が攻略。
× この時点でハッカー側がすでに2回心が折れかけていたが、番組のディレクター(セキュリティの内容を全て知っている人物)にソーシャルエンジニアリング(誘導尋問的な内部情報の聞き出し)を仕掛けて攻略のヒント(?)を得る。
○ セキュリティ側が用意した5万枚のニセファイルから本物のファイルを取得→1台目クリア。(この時点で開始3時間後からさらに数時間経過している。)

    [ 2台目のパソコン ]
× 2台目のパソコンのOSは Windows XP Professional サービスパックなし。(12年前発売のOSで、脆弱性対策を含む大きなアップデートが3回提供されているがどれも適用していない)これにセキュリティ側が対策を掛ける。
× 遠隔操作はパソコン初心者でも可能な状態にしてある。
○ ハッカー側は1台目のように脆弱性を突いてパソコンに侵入。
○ パソコンの中に目的の名前のファイルが見つからなかったため、ハッカー側はファイル名を変更しているのでは?と疑う。
○ パソコンの操作履歴を調査するが有力な情報は得られず。(セキュリティ側は操作履歴を部分的に消去していた。←未放送)
× しかし、目的の画像ファイルのファイル名は実際には変更されておらず、TrueCryptというソフトを利用して暗号化仮想ディスクに変換されていた。(解析困難なパスワード付Zipファイルのようなイメージ)
× ただし、超強力なパスワードを設定すると、現実的に解読不可能になってしまうので非常に推測しやすいパスワードを設定した。(手加減)
× さらに偽の暗号化ファイルも複数作成、そのほか目くらましのための暗号化ソフトも複数インストールし、目的の画像ファイルが入った暗号化ファイルがどれかわからなくしていた。
× ハッカー側は一発の勘でパスワードを特定したが、目的のファイルにはたどり着かなかった。
○ ハッカー側が制限時間を残してリタイア。ハッカー側のマラットさんは「このルールで勝てないから諦めた方がいいと思います」と発言。

    [ 3台目のパソコン ]
× 3台目は脆弱性なしのパソコンだったがハッカー側リタイアにより非公開。

    [ まとめ ]
・上記の通り、一応のセキュリティ側の勝利となったが、セキュリティとは言い難い戦略ばかり取り上げられたため、やや肩透かしの展開に。
・また上記のうち、【○】の部分だけを放送、それに合わせた編集を加えたため、「ハッカー側:目的を達成できなかったため敗北」という結果、「セキュリティ側:遠隔操作されてしまったけど勝利」という誤解、「番組側:視聴者に伝わるような編集ができず、低レベルなつまらない展開」な番組、という、三方良しでなく三方悪しの結果に。
・結果的に自分としては大変勉強になったが、もう少し何とかならんかったもんか、という感想を抱いている。
・そもそも対決条件がネットワークセキュリティと乖離しており、かといって厳密な対戦条件を作ると業界外の人には意味不明になってしまうという、負け戦的な題材だったように思う。
・ハッカー側のマラットさんは、今回の対戦自体とセキュリティ側の見解に対して不満(おそらく、ネットワークセキュリティの対決なのにファイル探しに始終した点)があるようなツイートをしており、ハッカー側の情報公開によって今後も動きがあるかもしれない。
・また、セキュリティ側のネットエージェント社は解説の文末で「全てのパッチが当たっている状態であればハッカーに容易には侵入されずに済みます。(意訳)」と呼びかけている。

<ほこたて「最強のハッカー VS 最強セキュリティ」でフジテレビ側の編集が酷いと話題に - NAVER まとめ>
<NetAgent Official Blog : 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について>