5日間の収穫は知識と技術、そして「きっかけ」- セキュリティ・キャンプ全国大会2017（前編）

技術を正義に生かせ! - サイバー犯罪捜査を講義で体験

サイバー攻撃の増加を背景に「サイバーセキュリティ人材の不足」が叫ばれるようになった昨今、セキュリティ・キャンプへの期待はいっそう高まっている。

開講式では、経済産業大臣政務官の平木大作氏が「先日猛威を振るったランサムウェア対策はもちろん、Industry 4.0やConnected Industryの実現のためにもサイバーセキュリティは不可欠であり、高いスキルを備えた人材が今ほど求められる時代はない。世界で活躍できる高いスキルと知識、倫理観を持つ情報セキュリティ人材として、日本を守るため活躍してほしい」と述べたほどだ。

だが実は、セキュリティ・キャンプやその前身に当たるイベントが始まった当初は、反発の声が存在した。しばしば言われることだが、守る方法を考えるには、相手がどのような方法で攻撃してくるかを知らなければならない。したがって、OSやアプリケーションの脆弱性とはどのようなもので、どんなかたちで悪用される可能性があるのかを理解する必要がある。それが、「サイバー犯罪を助長するのでは」という懸念につながった時代があったのだ。

しかし、サイバーセキュリティの重要性が高まるにつれ、「サイバー犯罪と戦うために、相手の手の内を知り、正しく力を使わなければならない」という理解が広がってきた。そんな変化を端的に表した講義が、3日目に行われた「サイバー犯罪捜査の現場」だろう。

ラックの伊原秀明氏と千葉県警の捜査官が講師を務めたこの講義では、受講者は「サイバー犯罪捜査官」となり、架空の事件を捜査する。設定は「あるIT企業が不正アクセスを受け、個人情報が漏えいした」というものだ。受講者は5人1組のチームで協力しながら不正アクセスの証拠を物理的に集め、コンピュータやメモリに残されたデータを解析し、犯人を特定して動機を明らかにするまでの一連のプロセスを体験した。

セキュリティ・キャンプの講義は基本的に机に向かいっぱなしとなるものが多いが、この講義では受講者がアクティブにならざるを得ない。捜査令状を手に、容疑者宅に模した会場内の一室を家宅捜索し、証拠品のノートPCやUSBメモリを押収するという、なかなかできない経験をするためだ。

講義には、「CTFを通じてフォレンジックに興味を持った」という学生など、10名が参加した。事前講義では、ファイルシステムの仕組みや「Autopsy」を用いたデジタルフォレンジックの方法などを学んでいるが、白手袋を身に着けての捜査活動はもちろん初めてのことである。

容疑者宅のドアをノックし、容疑者に扮したややコワモテの千葉県警の捜査官が顔を出すと、「あのー、すみません。こちら警察なんですけれど、ちょっと差し押さえさせていただきたいんですが……」と切り出し、妙に腰の低い家宅捜索が始まった。受講者らは引き出しの中や照明器具を覗き込み、ときに容疑者からの抵抗を受けながら、証拠品をマットレスの下などから見つけ出し、撮影などの手続きを経て押収するプロセスを体験。口々に「テレビドラマや映画で見たことはあったけれど、こんな体験は初めて」と感想を述べていた。

講義室に戻った後は、押収したPCやUSBメモリといった証拠品に加え、別捜査で得られた情報や手帳に記された足取りを組み合わせ、「いつ、誰が、何を、どのようにやったのか」の流れをたどる作業に取り組んだ。チームごとにホワイトボードに情報を書き出して共有し、アナログの証拠とデジタルの証拠を組み合わせ、動機は何か、また被疑者以外に犯人がいる可能性はないかを探っていった。

受講者らは限られた時間のなかで、スマートフォンで撮影された画像のメタデータや、SSHリモートアクセスのログ情報、個人情報が含まれたファイルのハッシュ値などを付き合わせ、「面接に落とされた犯人の恨みによる犯行」であることを突き止めた。

最後に講師陣から、「別人によるなりすましの可能性」を排除するためのポイントも説明された上で、裁判官役の許可を得て、無事、犯人は逮捕される大団円となった。

「セキュリティのスキルを世の中に役立てられる仕事」という意味で、将来の仕事の1つとしてサイバー犯罪捜査官に興味を持っていたという受講者の1人は、「実際に講義を受けてみて、パズルを解く感覚で真実に迫っていくのが面白かったし、自分の知識が役に立つことのうれしさを感じました」と感想を語った。

「目的」を持った解析作業を楽しみながら体験し、デジタルの情報だけでなく、アナログの情報を適切に組み合わせて効率的に解析を進めていく方法を学んだこの講義。受講者らが、倫理観を持って「善の世界」で活躍していく良いきっかけになったのではないだろうか。