ほこ×たて ハッカーvsセキュリティ 実際のところをまとめてみた
6月9日放送のほこ×たてに「世界一のハッカーvs最強セキュリティ」というテーマがあった。 自分の仕事にも関係するし、多少なり参考になるかと思って視聴していたのだが、実際の対決と放送内容に大きな差があったようだったので、セキュリティ側の人の個人のツイッターと会社のWebサイトからの情報を元にまとめてみた。 わかりやすく説明するために一部不正確な点があること、一部推測が含まれることご容赦ください。 また、以下のまとめのうち、【○】と表記した部分のみが実際に放送され、【×】と表記した部分は放送されていないようです。 [ 対決条件 ] ○ 3台のパソコンにそれぞれ別の画像ファイルを保存し、ハッカー側が制限時間以内に全てのファイルを取得したらハッカー側の勝ち、それを阻止したらセキュリティ側の勝ち。 × セキュリティ側も設定する時間の制限があり、直前まで対策するパソコンの条件は知らされない。 × セキュリティ側は用意されたPCの機能を変更したりしてはならず、脆弱性を修復したりしてはいけない。 × パソコンの持ち主には容易に対象の画像ファイルを参照できるようにしなければならず、また、視聴者にも理解しやすく、視覚的に見栄えがあるように番組側に協力すること(防御側の完全試合にしてしまうと番組にならない→手加減)。 [ 1台目のパソコン ] × 1台目のパソコンのOSは Windows 2000 Server サービスパックなし。(13年前発売のOSで、脆弱性対策を含む大きなアップデートが4回提供されているが、どれも適用せずに300以上の脆弱性が残されたままの状態。Webサイトのサーバーとして利用。)これにセキュリティ側が対策を掛ける。 ○ ハッカー側が開始30分時点でパソコンの脆弱性を突き止め、そこから攻撃を仕掛ける。(番組では「開始30分でパソコンに侵入中」と放送) × しかし実際には設定によるシステム強化によってその攻撃は防がれており、表示されている画面上でも攻撃に失敗していることが見て取れる。(これを実際に突破したのは開始約3時間後。) × セキュリティ側が用意したパーソナルファイアウォールをハッカー側が攻略。 × この時点でハッカー側がすでに2回心が折れかけていたが、番組のディレクター(セキュリティの内容を全て知っている人物)に