2019年8月8~11日に米国ラスベガスで開催されたハッカー向けのセキュリティーイベント「DEF CON 27」。毎年8月にラスベガスで開催される「Black Hat」の打ち上げパーティーとして始まったともいわれ、Black Hatと双璧をなす「ハッカーの祭典」である。パーティーだけではなく、講演やワークショップ、コンテストなど様々なイベントを通じてハッキングやコンピューターに関する最先端の情報や知見が交換される。2019年のDEF CON 27には約3万人が参加した。

 4カ所のホテルで100件の講演が開催されるほか、テーマごとに専門家が集まる40件の「ビレッジ」があった。「キャプチャー・ザ・フラッグ(CTF)」も40件開催された。

 CTFとは「旗をつかめ」という名の通り、そもそもは相手陣地の旗を奪い合う野外ゲームを意味する。ここではセキュリティー技術の競技を指す。クイズ形式や実験サーバーを使った他チームとの攻防戦など形式は様々だが、クイズ形式であれば、参加者がセキュリティーの知識やスキルを駆使して「フラッグ」と呼ばれる答えを探求し、得点を競い合う。サイバー攻撃を攻撃者側から疑似体験し、現実に世界で発見されたサイバー攻撃への対処を学ぶ。参加者が自分のサイバー攻撃に対する実務能力のレベルを客観視し、状況把握力や現場での実践的な知を養う。

 PwCコンサルティングはDEF CON 27で産業制御システム(ICS)に特化したクイズ形式のCTFを開催した。ICSは工場や発電所、製油所、水処理施設、送電網、スマートビル、スマートシティーなどといった産業インフラを制御するのに欠かせないシステムだ。

「BadUSB」を自作し機密情報を窃取せよ

 同社はスマートシティーを模して無線通信機能を備えたICSのシミュレーターを攻撃対象として設定し、実際に起こった攻撃事例などに基づいて、無線機器に対する攻撃、USBを用いた機密情報の窃取などを出題した。コンテストの参加者は「攻撃者」として、同社が貸し出した無線通信モジュールやアンテナ、USB開発キットなどを使いながら合計28問の問題に答えた。

 例えば「ICSのシミュレーターに接続されたクレーンを攻撃せよ」という問題。参加者自身に無線通信を傍受・分析し、同じ電波を再送信する「リプレイ攻撃」を経験してもらうことが狙いだ。

ソフトウエア無線を用いた無線機器に対する攻撃に関する出題例
(出所:PwCコンサルティング)
[画像のクリックで拡大表示]

 USBに接続可能なマイコンボードを用いて、参加者に独自プログラムを用いた「BadUSB(ユーザーが気づかないうちに悪質なプログラムを組み込まれたUSBデバイス)」を自作してもらい、攻撃対象の端末に挿入することで機密情報を窃取するという問題も出題した。

BadUSBを用いた機密情報を窃取するという出題例
(出所:PwCコンサルティング)
[画像のクリックで拡大表示]

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。