はじめに
こんにちは、MooseLoveです。
先月、脅威クラスとしてセキュリティ・キャンプ2026コネクトに参加させていただきました!
皆さん優しく、技術力もつよつよで大変充実した4日間でした。
コネクトワークのプレゼンテーションで優勝(!?)したため、もしかすれば全国大会に少しお邪魔するかもしれません。
前置きはこのくらいにして、今回は脅威クラスへ応募する際に指定された課題を、運営側から許可を貰った上で晒していきたいと思います。
おまえだれ
- 20歳 情報系の大学に通っている大学3年生
- 情報処理安全確保支援士試験 合格(登録セキスペには未登録)
- Python Java HTML CSS PHPくらいならなんとかギリわかる
最近は低レイヤとHackTheBoxに取り組んでます。
脅威クラス or AIクラス
はじめは脅威ではなく、AIクラスに参加しようと考えていました。
最近何かと(脆弱すぎて)ホットなAIエージェントといった分野について学んだり、面白いプロンプトインジェクションについてのお話を聞けたら良いなあと感じていました。
しかし、残念なことに私は数学がからっきしであり、ニューラルネットワークやアルゴリズムに関する知識だけでなく高校数学・大学数学すら怪しいレベルにいます。
また、AIクラスは特に参加者が多そうであると考えたため、攻撃者の視点や近年のサイバー攻撃手法といったものを学べる脅威クラスへ挑戦することにしました。
問題 1
・ 国家主体型攻撃グループとして知られている攻撃アクター(攻撃者)を一つ選び、選定理由、攻撃者の動機、攻撃手法を示してください。
・ 動機については、技術的な観点、非技術的な観点(攻撃当時の国際情勢)を踏まえ、解答してください。
問題 1 回答
【攻撃アクター】
APT-C-60
【概要】
APT-C-60は、2021年頃から活動が確認されている攻撃アクターである。JPCERT/CCなどのセキュリティベンダーによる分析では「朝鮮半島に関連している攻撃アクターである」と言及されている。また、KnownsecやPositive Technologiesは「DarkHotel」と呼ばれる韓国関連のアクターとのTTPs(戦術・技術・手順)の類似性を示唆しているが、帰属の特定には至っておらず、現在でも議論が続いている。※参照1
【選定理由】
選定理由は3つある。
1つ目は、APT-C-60が日本を含む東アジアを標的としてスパイ活動を行っている点である。私は日本で生活・活動しており、これからもAPT-C-60は攻撃を続ける可能性があるため、当事者として今後の動向を無視できないと考えたからだ。
2つ目は、他の攻撃アクターと比較して、検知回避の工夫が高度だと感じた点だ。私は普段、CTFなどでPCAPを解析する際、まず不審なIPアドレスやドメインを手掛かりに攻撃の痕跡を追う。しかしAPT-C-60は、通信や配布にStatCounterやBitbucketといった正規サービスを活用しており、通信経路もXORなどで暗号化を行っている。これにより、攻撃の大まかな流れは分かっても、その全貌やC2との通信を特定するには難易度が高いと感じ、この「追跡や検知を困難にする設計思想」そのものに強い興味を持ったからである。
3つ目は、求職者を装ったスピアフィッシングという導入手口が現実的で、被害者心理を鋭く突いている点だ。私は、これまでセキュリティ意識がめっぽう高い方であると自負しており、迷惑メールを見ても「これは怪しい」と見破ることができていた。しかし、採用窓口に対して求職者を装い、自然な文脈でリンクを提示されると、仮に自身が採用担当といった立場であれば迷わずクリックしていただろうと、調査していて直感的に恐怖すら感じてしまった。攻撃の起点として非常に巧妙であり、この手口に対する対策を深く考えてみたいと感じたからである。※参照2
【攻撃者の動機 技術的観点】
APT-C-60は破壊や金銭ではなく、「諜報」を動機としていると考えられる。なぜなら、解析されたバックドアはスクリーンショットの送信やディレクトリ探索といった遠隔操作・情報窃取を主機能としており、ランサムウェアを用いた破壊活動や金銭要求などは確認されていないからだ。また、正規サービスの利用やCOMハイジャッキングによる永続化など、「検知されるリスク」を徹底して排除し、長期潜伏を行うことで、被害者の目から身を隠し情報を長期的に収集している点も、諜報活動である有力な根拠として考えられる。※参照2
【攻撃者の動機 非技術的観点】
当時の国際情勢とAPT-C-60の動向、これらの相関関係について考察する。なお、攻撃活動と国際情勢の同時発生は必ずしも因果関係を証明するものではない。
そして、APT-C-60は現状不明な点が多く、公開されている情報が少ないため、考察に関しては私の推測が多く含まれることをご理解いただきたい。
<2021年 APT-C-60>
APT-C-60が活動を開始。おとり文書に「missile defense.doc」「armydefense system.doc」といった軍事関連の内容が用いられた。あくまでもファイル名ベースであるため断定はできないが、防衛・軍事インテリジェンス関連の機関(またはその周辺のサプライチェーンや関係者)に向けて攻撃を行い、諜報活動を行っていた可能性が考えられる。また、「Exploring ways to cooperate with North Korea」といったおとり文書も存在したことから、政治や外交に関する諜報活動も行っていたともとれる。※参照3
<2021年 国際情勢>
・バイデン大統領が就任(2021年1月)
・北朝鮮が軍事パレードで新型SLBM(潜水艦発射弾道ミサイル)を公開(2021年1月)
・ソウル中央地裁が元慰安婦訴訟で日本政府に賠償命令(2021年1月)
・中国海警法の施行による日中摩擦の懸念(2021年2月)※参照4
<2021年 考察>
日韓関係や日中関係が悪化しており、またバイデン大統領の就任により国際情勢が大きく動いた時期である。上記の国際情勢として挙げた例を結び付ける場合、ミサイルの運用構想や要件、調達やサプライチェーンのインテリジェンス、外交交渉の内容などを収集する目的があったのではないかと考えられる。
したがって、国際情勢が動いた時期、というわけではなく方針や整備、外交などが更新・考案される情報の価値が高い意思決定が発生する時期に、政府機関だけでなく防衛・軍事に関連する周辺組織(防衛産業・研究機関)に向けて攻撃が活発に行われたと考えられる。
<2024年 APT-C-60>
WPS Office脆弱性を悪用したキャンペーンを中国で開始。セキュリティベンダーのレポートでは、主に中韓関係のインテリジェンス取得が狙いであると推測されており、2021年とは違い製造業などターゲットを拡大している。
<2024年 国際情勢>
・台湾総統選を巡り台湾と中国の関係が悪化(2024年1月)
・日中韓サミットの再開(2024年5月)※参照5
<2024年 考察>
当時発見されていなかったWPS OfficeのRCE(CVE-2024-7262)という強力なゼロデイ脆弱性を武器化した点が特筆される。既知の脆弱性ではなくゼロデイを用いたことは、コストを掛けてでも侵入面を広げる意図が示唆される。
非技術的観点から考えると、日中韓サミットといったイベントにより「東アジアの外交」における意思決定が発生する時期を狙った可能性がある。この時期の情報としては外交の方針や安全保障の運用、サプライチェーン上の提携情報といったものがあるだろう。
また、2021年と比べて製造業などにターゲットを拡大している点から、産業の情報も狙った可能性がある。ターゲットの拡大には、ゼロデイの武器化に加えて、中国でWPS Officeの利用者が多いとされる点も要因として考えられ、前述した外交・安全保障・サプライチェーンの提携情報・産業といった幅広い情報を狙って諜報活動を行った可能性がある。※参照6
<2024~2025年 APT-C-60>
VHDXを配布するキャンペーンを日本で開始。メールに直接添付する手法、Google Driveを用いて添付する手法で2度キャンペーンが起きている。
<2024~2025年 国際情勢>
・中国公船による尖閣諸島周辺の接続水域入域が過去最長を更新
・日本の防衛白書にて中国・北朝鮮・ロシアへの警戒を強調(2024年7月)
・G7サミットの開催(2023年広島、2024年イタリア)
・日韓関係の改善(岸田首相が訪韓、シャトル外交の再開)※参照7
<2024~2025年 考察>
JPCERT/CC等の公開情報では、被害に遭ったのは日本の組織と書かれており、具体的な組織名は不明であるため、目的の完全な特定は困難である。よって、日本が標的になり得る情報について考察する。
国際情勢として、防衛白書での対中・対北・対露の警戒強調、G7サミットの開催、日韓関係の改善といった要素があり、どれも日本の安全保障や外交などの意思決定に関わる情報の価値が高まる時期である。例えばサミット参加国との連携情報や防衛施策、およびそれに関連するサプライチェーン(技術、研究組織)との提携情報といったものが考えられる。
総合的に、非技術的観点から見るAPT-C-60の活動動機は、東アジア3国(中国、日本、韓国)の関係が悪化した時期や国際情勢が大きく動くイベントに合わせて活動を行い、各国の政策決定や外交交渉に関する情報をはじめ、それに関連する産業・サプライチェーンといった幅広い情報を収集することにあると考えられる。
しかし、それ以外にも「強力な脆弱性の入手」という技術的要因が攻撃開始のトリガーになるパターンもあると考えており、非技術的観点(情勢)のみから攻撃を予測するのは難しく、技術・非技術の両面からの分析が不可欠であると考える。
【攻撃手法】
攻撃手法は主に2つある。
- Windows版WPS Officeの任意コード実行脆弱性であるCVE-2024-7262を武器化
CVE-2024-7262を用いた具体的な手口としては、次の手順が使われる。
手順1(配送):MHTML形式で作られた悪意のあるスプレッドシートを被害者に送る。
手順2(攻撃):被害者がそれを開くと、MHTMLの特性が働いて外部参照が取得され、攻撃者が実行したいDLLが被害者の端末に保存される。
手順3(攻撃):被害者がその中の隠しハイパーリンクをクリックする。
手順4(攻撃):promecefpluginhost.exe(WPS Officeに同梱されているプラグインを読み込む機能)のパス検証不備により、攻撃者が指定したパスのDLLを読み込ませる。
手順5(目的遂行):RCEが成立。攻撃者による遠隔操作が可能になり、情報の偵察が始まる。
- 特定の企業を狙ったスピアフィッシングにより、マルウェア実行
具体的な手口として、Google Driveを使う手法と、直接悪意のあるファイルをメールに添付する2つのパターンがある。
手順1(配送):攻撃者が求職者を装って、Google Drive(もしくはメールに直接)に悪意のあるVHDXファイルを添付する。
手順2(攻撃):VHDXファイルは仮想ディスクであり、中にはLNKファイルやおとり文書が含まれている。被害者がこのLNKファイルをクリックすると、攻撃が始まる。
手順3(インストール):LNKファイルは、正規実行ファイルであるgit.exeを用いてIPML.txtを実行する。これによっておとり文書が開封・ダウンローダー機能を持つSecureBootUEFI.datが作成され、COMハイジャッキングにより永続化される。
手順4(C2):SecureBootUEFI.datは、攻撃者が感染端末を確認するために、Refererに感染端末の情報を載せてStatCounterへ送信する。
手順5(攻撃):確認後、BitbucketへアクセスしてService.datをダウンロードし、復号の後実行する。なお、StatCounterとBitbucketは、どちらも正規サービスである。
手順6(インストール):Service.datは新たに2つのBitbucketリポジトリからcbmp.txtとicon.txtを取得し、復号してcn.datとsp.datとして保存する。その後、cn.datは同じくCOMハイジャッキングにて永続化され、cn.datがsp.datを実行する。
手順7(C2/目的遂行):sp.datはバックドア(SpyGlaceと呼ばれる)であり、C2サーバを通じて攻撃者が任意のコマンドを実行可能である。
コマンド一覧の例として次の5つがある。
・ddel:ファイル・ディレクトリの削除
・attach:DLLの読み込み
・proclist:プロセス一覧取得
・cmd:リモートシェル
・diskinfo:ディスク情報の取得
C2サーバとして用いられていたURLは次の通りだ。
(ごめんなさい、流石に載せるのはまずいので割愛します)
問題 1 振り返り
はじめにこの課題を見た時に考えたのは「アクターってなんだ」「当時の国際情勢と絡めるの大変そうだな」の2つでした。
攻撃アクターなんてアノニマスぐらいしか知りませんし、動機なんて分かるのか、などと色々考えさせられ、結果的に30時間以上この問題に費やしたと思います。
しかし、多くの学びがあったためこの問題にはとても感謝してます。
流石に何時間も使ったので、かなりボリューミーな内容になりました。
APT-C-60についての海外記事に関しては、ChatGPTなどを用いて日本語に要約させました。
レポートは今回「です・ます」口調ではなく「だ・である」口調にしました。
直観的にこの問題は「脅威アクターについて、どれだけ調べ・考えることが出来るのか」といった考察力・分析力を計っているように思えたので、そのどちらの要望も満たせるような文章を、AIに推敲させながら作成しました。
ですが脅威クラスでの学習を終えて改めて見ると、少々国際情勢との絡め方が雑であり、バイアス丸出しで危険な感じがしますね。
あとは、少し一次情報が少ない点も気になります。他セキュリティベンダーからの情報ばかりで、肝心なIOCなどをあまり参照しておりませんでした。
問題 2
・偽情報の流布について、偽情報の定義、偽情報の分析手法、対策手法について調査をして自分の考えを述べてください。
問題 2 回答
EUでは、有害な意図なしに共有される、虚偽の、又は誤解を招くコンテンツであって、その影響が依然として有害であるものを誤情報(Misinformation)といい、人を欺き、又は経済的若しくは政治的な利益を確保する意図で拡散される、虚偽の、又は誤解を招くコンテンツであって、公共の害を引き起こしかねないものを偽情報(Disinformation)として定義されている。※参照8
これを踏まえ、私は本課題において検知対象を「事実ではない情報」全体とし、後述するシステムによる判定後、以下のように分類する定義を採用する。
-
Disinformation(偽情報):政治的な理由やインプレッション稼ぎといった明確な意図を持って作成・拡散される情報。
-
Misinformation(誤情報):悪意はなく、勘違いや知識不足によって拡散される情報。
今回は特に、生成AIを悪用した偽情報が現在流行しているため、こちらに着目して分析手法、対策手法について述べていく。
まず、最近私が見かけた例として「生成AIを用いて作成された、疲弊したウクライナ軍の映像」がある。この中で代表的なものとして、ポクロフスク近郊で降伏したウクライナ兵士の姿や泣き叫ぶ様子を映したAI生成動画があり、X(旧Twitter)やTikTok、InstagramといったSNSで爆発的に拡散されてしまった事例がある。
これらの動画について、ロシアがプロパガンダ目的で発信したという報道もあるが、政治的な理由やインプレッション稼ぎといった何らかの意図で発信された可能性が高いと考えられる。※参照9
これらが多くの人間に拡散され、信じられているのはやはり「生成AI動画、画像のクオリティの高さ」が原因であると考える。Sora(OpenAI)やNanobanana(Google)といった高クオリティで画像を生成するAIの登場や、著作権や肖像権を無視したコンテンツがブロックされず、そのまま生成されてしまう現状の法整備や対策の甘さがそれに拍車をかけていると私は感じている。よて、今回は「AIが生成した画像や動画を用いた偽情報の拡散」を解決するための分析手法・対策手法を提示する。
【分析手法】
分析手法の提案として、まずは私の原案を紹介する。その後、同じ大学に通う複数の友人から指摘された欠点を分析した後、最終的な分析手法の手順を述べる。
<原案>
発信されたテキスト、画像や動画、それらを組み合わせた関連性、そしてその情報を見たSNSユーザーの反応を参考にした「AIを悪用した偽情報・誤情報であるかを判断するAI」を導入する分析手法を提案する。
具体的な例として、とあるユーザーが「昨日岐阜市内で紛争があり、1000人もの市民が犠牲になった」といった情報と共に「AIが生成した荒野となった岐阜の画像」を添付した状態で発信した場合を想定する。無論、文章は偽情報である。
まず、画像がAIによって生成されたかどうかのチェックをAIが行う。前述した例であると陽性になり、その時点で黄色信号となる。次に文章のファクトチェックを、信頼できる情報源をもとに行う。例えば岐阜県でそのような事態があった場合、間違いなくNHKといったメディアが速報を流すはずだ。しかし、そのようなニュースは流れるはずもないため、こちらも陽性となる。そして、画像チェック、文章チェックのどちらかが陽性であった場合、文章と画像の関連性と悪意度を調査する。紛争、荒野、岐阜といった関連性から、「AIを悪用した偽情報の可能性あり」と判定される。
関連性調査のプロセスを最後に入れる理由は、以下のような場合があるからだ。
例えば、とあるユーザーが「チーターは時速120kmで走る」といった情報と共に「AIが生成したナポレオンの画像」を添付した状態で発信したとしよう。
この場合、まず文章のチェックは陰性となる。チーターが時速120kmで走るというのは事実であるからだ。しかし、画像のチェックはAIが生成したものであるため、陽性となる。
ここで関連性調査の出番だ。今回はナポレオンとチーターは全くと言ってよいほど関連性がないため、陰性となる。現に多くの人はその情報を見ても「何を言ってるんだ?」となり、文脈の不一致からジョークだと判断できる。
しかし仮に、画像がナポレオンではなく、チーターに容姿が良く似ているヒョウであるとしよう。この場合、ヒョウの容姿をした動物が時速120kmで走ると勘違いするユーザーが多く現れる。ヒョウは時速70kmほどでしか走れないため、これは先ほどとは打って変わって「AIを用いた偽情報」へと様変わりする。
つまり、「文章と画像の関連性が高く、かつ事実と異なる場合」にこそ、偽情報としてのリスクが高まる。これが、関連性調査が必要な理由だ。
その後、ユーザーの反応を元に、その情報やコンテンツに対する懐疑的な反応があるかを分析する。「これは間違っていないか?」「これはAIが生成した画像じゃないか?」といった反応をもとに、さらに精度を高めていくのだ。
以上が原案である。次に、客観的な意見を求めるため、私の友人数名にこの分析手法のデメリットを聞いた。彼らが思う欠点と、それを改善するためのプランを書き出した結果は次の通りだ。
欠点1:トークンの消費が激しく、資金の関係により性能の低いAIを使わざるを得ない
こちらは、すべての発信にこのシステムを適用した場合だ。現状の技術力では、検索エンジンが表示する性能の悪いAIしか使えないだろう。よって、今すぐこの対策を施行する場合は、ある程度の拡散力を持つアカウント、もしくは急速に拡散されている情報のみに絞る、もしくはSNSを課金制にすることで、トークン消費の資金源の確保が必要だ。
欠点2:AIがファクトチェックに用いる情報源に対する不安
例えば、先ほど述べたNHKを信頼する情報源として活用していた場合だ。仮にこのような組織が国家主体の活動、もしくは手違いによって偽情報・誤情報を正しいものとして報道してしまった場合、AIがそれを正しいものとして判断してしまう。これに対しては、国家主体の活動は抑止できないが、手違いで拡散された誤情報は、複数の信頼元から総合的に判断することである程度防ぐことが可能であると考える。
欠点3:スパムアカウントによる民意データの汚染
「これはAIだ」「これは信頼できる」という民意の意見をデータとして活用するため、このような事態は必ず起こり得る。よって、SNSでの収益化制度を廃止することである程度スパムアカウントの投稿を抑えることができるだろう。現に、「インプレゾンビ」が騒がれ出したのはイーロン・マスク氏によるインプレッション数による収益化システムが施行されてからだ。よって、国家主体のアカウントによるデータ汚染は防ぐことは難しいが、個人のスパムアカウントはある程度抑制可能だ。
欠点4:検知システムの回避やモデルへの攻撃
判定を行うAI自体が攻撃対象となるリスクである。例えば、AIの検知をすり抜けるようなノイズを加えた画像の使用や、学習データを汚染(ポイズニング)させることで判定精度を下げる攻撃が考えられる。これに対しては、単にAIの判定に頼るだけでなく、C2PAのようなコンテンツ来歴や信頼性を高める技術を併用し、「誰が作成したか」というメタデータを検証する仕組みが必要となると考える。
欠点5:ユーモアのあるSNSが失われる
「バナナのナス、バナナス」という有名なミームがある。「〇〇の〇〇、〇〇」(最後にダジャレを言う)といった俗に言うネタ投稿などはSNSの魅力であり、活気づく理由の1つであると考えている。例えば、このようなネタツイートに、AIが生成したユーモアのある画像を添付したとしよう。
「AIを用いた偽情報の可能性あり」
このようなものを見てしまうと、ギャグとして白けてしまうと私は考える。ジョーク交じりな例として紹介したが、人を騙す目的でないのに、偽情報とレッテルを貼られてしまうのはユーザーにとって多大なストレスであり、利便性を損なう要因にもなり得る。よって、偽情報の中でも「悪意を持った偽情報」を見分けるプロセスを入れる必要性があると考える。
これらを総合的に考え、私が最終的に考えたシステムは以下の通りだ。
-
ある程度の拡散力を持つユーザーに限定して、発信したタイミングで「AIを悪用した偽情報」であるかをチェックするAIを用いる。
-
投稿された文章が偽情報であるか、信頼できる情報源を複数用いてファクトチェックを行い、真偽の信頼度(0~100)を返す。なお、高いほど信頼できるものとする。75以上を事実情報の可能性が高いとし、75を下回った場合「誤りの可能性がある」とする。
-
添付された画像や動画がAIによって生成されたものであるか分析し、AI生成でない確信度(0~100)を返す。なお、2に同じく数値が高いほどAI生成ではないと信頼できるものとする。こちらも75未満は、AI生成の可能性があるとする。
-
文章と添付された画像や動画の「文脈的関連性」を分析し、人々を騙す意図(または騙されうるリスク)を持ったものであるか、否かを判定する。
-
2,3,4の結果を踏まえ、0~100までのスコアで判定する。数値が低いほど危険となる。なお、総合的な数値は4 > 3 = 2 の順番で優先される。
-
7,8,9,10のどれかに分類される。分類は、3(AI生成でない確信度)でAI使用の有無(7/8か9/10)を判定し、2と4の結果で真偽と悪意の可能性を評価して7/8/9/10を確定する。
-
AIを用いた悪意が疑われる偽情報(Disinformation)と定義される。
-
AIを用いた悪意が明確でない誤情報(Misinformation)と定義される。
-
AIを用いていない偽情報・誤情報と定義される。
-
AIを用いていない事実情報と定義される。
以上が、分析(検知・分類)の手順である。
次に、この判定結果に基づく対策を述べる。
【対策手法】
本システムでは、7~9に該当する可能性が一定のスコアを下回った(危険度が高い)場合、表示前の注意喚起や追加確認(根拠となるソースの提示など)を行い、拡散の抑制につなげる。あわせて、AIの判定根拠(出典不明、文脈不一致、AI生成の可能性など)を利用者に提示し、人手判断と併用することで誤検知時の影響を低減する。スコアがあまりに低い場合は、人間によるレビューの後、拡散抑制や表示の規制などを行い、先ほどよりも強い拡散抑制を実施する。
しきい値の設計は以下の通りである。
0~25 : 人手レビュー承認後、表示規制
25~50 : 拡散抑制を実施
50~75 : 根拠不明、文脈不足の可能性ありと表示
75~100 : 何もしない
なお、数値が低いほど危険であり、数値が高いほど安全であると判断される。
誤検知を引き起こした場合は、以下の救済措置がとられる。
1.投稿者や情報を見たユーザーからの指摘を参考に、制限や抑制の解除を行う。
2.制限前の状態(タイムラインに復帰させるなど)に戻す。
その他、改善が可能な点
1.投稿と判定結果をデータベースに格納。似たような情報があればその判定結果を参考にすることで分析を高速化する。
2.システムの誤検知にある程度のパターンが観測された場合、改めてルールを学習させる。
3.異議申し立ての窓口を設置する。当事者が「誤検知である理由」を提示し、そのレビューを行う。
問題 2 振り返り
偽情報、つまりデマとかフェイクニュース...みたいな感じですね。
分析手法に対するイメージがあまり掴めず、教授に突撃して意見を頂いたり、AIに聞いてみたり色々と試行錯誤をしました。教授ガチでありがとう!
全体的にそうですが、当レポートで特に意識したことは「選考してくださる方にとって、読んでて退屈しないものにする」です。
個人的に、自分は他の脅威クラス応募者と比べて知識がないと感じていたので、この初々しさを敢えて武器にした構成(草案→改善点→最終的な手法の提案)を目指しました。
改めてこの文章を見ると、ネタツイの例はかなり冷笑筋が動きます。
よくこれ提出しようと思ったなあと思ってます。
ですが、こんぐらいチャランポランな文章でも通ってしまうので、バカみたいな事を言っていたら落ちる...という訳ではないという、先輩風を吹かせたアドバイスです。
こちらは現地で行ったコネクトワークと少し共通する部分もあったので、この課題で得た知識をグループディスカッションに活かすことが出来て良かったです。
問題 3
・ 脅威クラスに応募するにあたっての、①志望動機、②現在注力している分野、③脅威クラスで学びたいこと、について説明してください。
問題 3 回答
【志望動機】
私は将来、脆弱性に関連する職業を目指しています。脆弱性を研究する立場なのか、それとも診断し、修正する立場になるのかは現状決めかねていますが、そのどちらにも「攻撃者がどのような思考で何を狙い、どのような背景や環境に応じてどのような手法を使うのか」といった攻撃者視点の思考を持ち合わせることが必ず必要になると考えています。
2025年、アサヒ飲料を含むアサヒグループがサイバー攻撃を受け、その侵入経路として「ネットワーク機器の脆弱性が突かれた」という報道をニュースで耳にしました。しかし、「なぜ数ある企業の中でアサヒが狙われたのか」「犯人(ロシアのRaaS集団Qilinとされる報道あり)がなぜこの時期に攻撃を行ったのか」という背景が自分の中で消化できませんでした。単なるばらまき攻撃だったのか、それとも明確な意図があったのか。また、なぜこのような事態になるまでEDRに検知されず被害が拡大してしまったのか。
他のニュースを見ても「機器の脆弱性放置」といった表面的な記事ばかりで、攻撃者の真の動機やTTPs(戦術・技術・手順)の深層まで解決することができず、とても悔しい思いをしました。
私には現状、これらを自力で理解する「脅威情報の収集・分析力」が足りていません。この力を身に付けることができれば、インシデント発生時に単に脆弱性を塞ぐだけでなく、攻撃の性質(無差別か標的型か)を即座に判断し、適切な被害抑制策を講じることができるようになると考えています。
現在の私は、バグバウンティやHackTheBoxといった経験を通じて、脆弱性に関する技術的な面での知識を持ち合わせています。しかし、先ほど述べたように私は非技術的な観点(特に情報心理学、偽情報、情報作戦)やEDR・WAF回避といった複雑な技術に関する知識を全く持ち合わせていないため、脅威クラスへの志望が今の自分に不可欠であると考えました。
特に、先ほどの課題で取り組ませてもらった「偽情報」に興味があり、私が前述した課題で提案させてもらった分析手法を見てもらえば分かる通り、国家主体でのアクションに対する有効な解決策が思い浮かばず、力不足を痛感してしまいました。
よって、この機会に是非とも新たな知識をインプットさせてもらい、身に付けた脅威情報の収集・分析力と偽情報に対する新たな考え方を得ることで、急速に進化を続けるAIによる偽情報の進化についてさらに深く考えていきたいと思います。
将来的には、偽情報に対する新しい検知方法を研究し、その成果を国内外で発信できるようになりたいです。また、APT-C-60などの事例を題材に、メール文面や永続化、C2といった攻撃の各段階で「どの痕跡を、どのような視点で見れば検知・追跡できるか」を考察することで、SOCやインシデント対応に活用できる検知観点の整理や分析(チェックリスト化など)を自力で行えるようになりたいです。
【現在注力している分野】
現在は、主にWordPress Pluginの脆弱性調査に注力しています。
具体的には、発見した脆弱性の概念実証(PoC)をローカルで再現した後、プラットフォームに報告し、CVE公開後にGitHubでその脆弱性を解説するという活動を行っています。概念実証、影響範囲の調査、修正方針の検討を行うことで、脆弱性に対する理解をさらに深めています。SQLiやXSSといった外部入力のエスケープ不足から生まれるシンプルなバグだけでなく、認証の不備やコードの細かなミスから生まれる情報漏洩、CSRF、任意ファイルアップロードといった複雑な脆弱性を発見することで、脆弱性を発見するためのスキルを育てています。
また、攻撃的な思考や実際の攻撃フェーズを身に付けるために、HackTheBoxやPurple Flareでマシンを実際にハッキングし、シェルを奪取した後、権限昇格をしてフラグを取得するといった一連の攻撃の流れを自ら体験しています。不明瞭だった実際の攻撃の流れを鮮明にしたり、新たな知識をインプットすることで、攻撃的な思考を育てています。
その中でも、私はWindowsマシンへの侵入に苦手意識があり、Linuxとは勝手が違うため、現在はWindowsマシンへの侵入手口や代表的な脆弱性について積極的に学習しています。
参考のため、ポートフォリオとGitHubリンクを貼っておきます。
自身の詳しい実績などの確認は以下のリンクからお願いします。
https://mooselove0308.com
ポートフォリオ
https://github.com/MooseLoveti
GitHub
【脅威クラスで学びたいこと】
前述した偽情報以外にも、「人間を狙った脅威」の対応方法について知りたいと考えています。
個人の考えとして、人々のセキュリティ意識や技術が向上したことで認証システムは堅牢になり、さらに生成AIがセキュリティチェックを担えるようになった結果、それを突く攻撃の難易度は格段に上がっているように感じます。しかし近年のセキュリティ動向を見ると、ClickFixのような「人間の脆弱性」を突く攻撃手法が流行しているように感じられます。
ここでいう人間の脆弱性とは、「騙されやすい仕組み」や「興味を引き、クリックしたくなる文章」といった心理を利用するものに限りません。生成AIを用いたセキュアコーディングが普及する一方で、それに頼り切ることで生成AI側のミスを見抜けなくなったり、コーディング力の低下によって「本当に最適なセキュアコードなのか」を判断できなくなるリスクもあると考えています。これは人間側の怠慢や論理的思考力の低下といった要因にも関係しており、私が挙げた例以外にも、人間の脆弱性は数多く存在していると感じます。したがって私は、攻撃者の理解や非技術的要素(情報心理学、偽情報、情報作戦)を学ぶと同時に、現在の自身の考えがどの程度一致しているのかを講義や交流を通じて吟味しつつ、今後増えていくと考えられる「人間を狙った脅威」に対して、どのように対応すべきかを学んでいきたいと考えています。
問3 振り返り
この問題を一番最初に終わらせましたね。他が難しすぎるから仕方ない。
先ほど言った通り、私は「まだ全然知識ないよ、もっと脅威について知りたいよ」という初々しさで勝負(実際そう)したいと考えていたので、でっちあげて全国大会に出場したり実績を盛ったりせずに、ありのままの自分の気持ちを書きました。
こちらはそこまでお堅い文章を求めているようには感じなかったので「です・ます」口調で書きました。自分の実績を大っぴらな表現を用いて書いている際、就活のような気分になりました。
嘘は言ってないですのでセーフとさせてください。
まとめ
今回の脅威クラスはかなり倍率が高かったみたいです...!
次のコネクトはどうなるのかは分かりませんが、自分のような訳の分からないレポートが通ったので、自分自身が書きやすい自由な書き方をした方が、堅苦しい文章で表現に縛られるよりかは良いのかもしれません。
...勿論、常識の範囲内ですが。
AIでも友人でも、使えるものは何でも使って、なんとしてでも選考を通過しましょう!
それだけ頑張る価値のある、忘れられない経験になると思います!