サイト内の現在位置

Hardening 2021 Active Fault参加記

NECセキュリティブログ

2021年12月10日

NECサイバーセキュリティ戦略本部セキュリティ技術センターの森本です。
2021年11月にオンライン開催されたHardening 2021 Active Fault[new window1]に参加しました。今回はこの参加結果についてお伝えします。

Hardening競技の概要

Hardening競技は、様々な攻撃からサービスをまもり、サーバの堅牢化や外部への報告・サービスの広報などの様々なスキルをチームで競うイベントです。
Hardening競技では、6名から8名で編成されたチームが参加し、仮想環境に構築されたECサイトの運営に取り組みます。商品の購入はクローラ(Webサイトの情報を収集する自動化プログラム)によって行われ、ECサイトが正常に稼働していれば時間経過で売上(得点)が加算される仕組みとなっています。売上はチームの基本得点となるため、攻撃や設定ミスによってECサイトの運営に支障が発生すると、得点の減少につながります。競技ではECサイト運営に加えて、サーバの堅牢化やインシデント対応などの技術的な取組みや、問い合わせメールや会見などのビジネスイベントの対応も評価されます。

Hardening競技では、参加チームがECサイトの運営やビジネスイベントの対応をするためのサービス・製品を調達できるマーケットプレイス(MP)が用意されています。これにより、競技に必要と思われる商用製品を仮想的に購入し、役立てることができます。この際、購入費用はECサイトの売上から支払われるため、チームの状況をよく確認して決断する必要があります。さらに、マーケットプレイスはサービス・製品の購入可能なチーム数に上限が設定されてものがあり、他チームの金額を予想してオークション形式で購入金額を決定しなくてはならないこともあります。

Hardeningイベントの全体的なスケジュールは、表1のようになっています。競技当日の約一か月前にチームメンバが確定し、顔合わせや事前準備に取り組みます。競技当日に近づくにつれ、マーケットプレイスや競技環境の情報が公開されるため、それらに応じた最終準備を行います。競技後には、チームごとの発表や競技の種明かしが行われます。

表1:スケジュール

日程 イベント
10月上旬 チームメンバの決定
約1か月 事前準備
11/17・11/18 前々日・前日の資料配布(Activation Days)
11/19 競技当日(Hardening Day)
11/20 ふりかえり資料の作成(Fault Analysis)
11/27 チーム発表(Softening Day)

事前準備

Hardeningの競技当日には、チーム内で多数のトラブルが発生するため、すべてに対応する余裕はありません。また、準備不足による堅牢化の遅延や設定ミスは、新たなトラブルを招く可能性もあります。さらに、個人ですべてのタスクに対応するのは不可能なため、メンバ間の連携も求められます。このように、想定される脅威やタスクを洗い出し、堅牢化やインシデント対応に関する事前準備をメンバ間で共有しておくことがHardening競技では重要とされています。

チームビルディングはメンバの自己紹介から始まり、下記の準備を行いました。

  • チーム名やリーダーの決定
  • 経験者による体験談の共有
  • 過去大会の振り返り
  • スキルマップ作成と役割分担
  • コミュニケーションツールの決定
  • 想定環境の操作練習
  • 想定脅威と対策の列挙
  • チームフラグの作成
  • サービス監視のスクリプト作成
  • インシデント対応方針と初動対応策の決定
  • マーケットプレイス購入計画
  • 端末一覧表の作成

競技環境のサーバ構成やネットワーク構成は、競技前日の夕方に配布されるため、的確な準備をする時間は限られています。そのため、競技環境が確定していない段階で想定環境の操作練習やサービス監視のスクリプト作成を行い、競技前日には、頻繁に参照するURLやIPアドレスをまとめた資料の作成や想定外のタスクの役割分担を行います。ちなみに、競技前2日間のActivation Daysでは、マーケットプレイスや競技環境の接続方法が説明されました。

マーケットプレイスでは、WAFやIPS&EDRがフルマネージドサービスとして販売されました。フルマネージドサービスは、提供元企業が設定や運用まで実施してくれるサービスです。チームのECサイト運営の負担軽減につながる点が大きな魅力です。その他にも、競技の心得を事前に伝授してもらえるサービスや、バーチャル空間で相談や支援をしてもらえる新しいサービスが用意されていました。私の所属するチームでは、最終的な売上目標を2億6000万円と設定し、その10%程度を目安として2600万円をマーケットプレイスの予算としました。ちなみに、競技の事前告知では、ECサイト運営におけるタスクを完璧に達成した際の売上の最大値は5億円程度とされていました。また、過去の競技で高評価を得ていたIPS&EDRのサービスは、入札額の高騰が予想されたためこの購入をあきらめ、WAFのサービスを予算内で入札することにしました。結果として、私のチームでは、WAFのサービスを最低額で落札することができました。一方で、IPS&EDRサービスは最低額が5000万円という高額な入札が行われていました。

Hardening Day

競技当日は、アカウントのパスワード変更やバックアップなどの初動対応からスタートしますが、想定よりも時間がかかりこれらの作業が落ち着いたのは昼頃となりました。この間にも情報漏洩やバックドアなどの攻撃を検知しましたが対応は後手になりました。

昼以降、証明書の期限切れが起こり、多数のチームで障害が発生している様子がスコアグラフから窺えました。幸いマーケットプレイスで購入したWAFにより一元的に証明書の更新が行えたため、被害は最小限でした。その後もWAFで正規の通信がブロックされてしまう、ファイアウォールの設定ミスで障害が発生してしまうなどありましたが、適宜対処、復旧を行い、長期的にECサイトがダウンすることは回避できました。

その他にも、在庫管理や配送管理などのECサイト運営、問い合わせやバグバウンティのメール対応、会社名の変更イベントなどが発生しました。私は、ファイアウォールの設定とECサイト運営を担当していましたが、競技前日まで想定していなかったVyOSというルータの設定に手間取り、運営面が少し疎かになりました。商品の在庫管理については、こまめな入荷や決め打ちの一括入荷が一長一短である点も難しさを感じました。

お昼以降の競技モニタには、ランサムウェア発生のアナウンスや他チームの聴取イベントが次々と投影され、戦々恐々としながらも競技時間終了を迎えました。最終得点は売上に加点や減点が行われて算出されるため、順位の発表は次週のSoftening Dayまで持ち越しとなります。

競技終了時点で印象に残った点は、やはり事前準備の大切さとマーケットプレイスの心強さです。競技環境の情報が競技前日に公開される性質上、結果的に的外れとなる準備もありますが、うまく実施できたタスクのほとんどは、事前のチームビルディングやツール整備の賜物だと感じました。反省点も多々ありましたが心地よく競技に参加できたのは、これらをリードしてくれたHardening経験者や、熱心に準備に取り組んだチームメンバのおかげでした。次に、所属チームで購入したマーケットプレイスでは、WAFの機能はもちろんのこと、アバウトな依頼にも迅速に対応いただいた点や攻撃に関する情報提供など、大活躍でした。ご対応いただいたマーケットプレイス担当の皆様、大変お世話になりました。

Softening Day

Softening Dayでは、各チームが趣向を凝らした発表や運営側からの解説が行われました。
事前準備の重要性については各チームの共通認識といえますが、アプローチはそれぞれ異なり、必ずしも正解が一つではないと再認識しました。競技の種明かしでは、当日把握しきれなかったインシデントやイベントの意図を確認でき、落ち着いて競技当日を振り返ることができました。

競技中は状況を把握できていなかったのですが、今回の競技におけるランサムウェア被害の侵入経路はDockerのリモートAPIを経由したものでした。私のチームでは、IPS&EDRのマーケットプレイスを購入していませんでしたが、ゲートウェア型やホスト型のファイアウォールで不要ポートをブロックしていたため、難を逃れたようです。同じパスワードを利用したラテラルムーブメントも行われており、個別のパスワード変更といった基本的な対策を問う攻撃も行われていました。

私のチームでは、WAFを導入していたためXSSの対策を念入りに行っていなかったこともあり、複数回攻撃を受けるという事象も発生しました。DNSにおいてホスト名をリバースプロキシのWAFに設定する導入方式であったため、IPアドレスを直接指定するような攻撃には無力だったようです。また、IPS&EDRを導入したチームからは、EDRを導入できないサーバがあることは誤算だったという意見もありました。マーケットプレイスの導入が強力な対策となる反面、過信が禁物である点も教訓になりました。一方、去年の要望から改善が意識されている点もあり、マーケットプレイスにおけるサービス・製品提供側の真摯な姿勢を感じました。

構築中のシステムを停止するか稼働させるかの判断やバグバウンティの対応など、複数の観点から対応を問うような課題が用意されていたことも印象的でした。複数の選択肢から適切な一手を求められる点は、現実のビジネスやセキュリティにおいても通じるものがあると思います。

Hardeningの運営側では、396の評価項目を用意しており、今回の競技で使用した評価項目は149項目ということでした。適用しなかった項目は開示や解説も行われず次回以降に繰り越しとなるようです。

私のチームの見込み販売力(図1)は、競技当日のスコアに大幅な加点をいただき、11チーム中2位となりました。ランクインしている顧客点、対応点、購読点が加点につながったことが考えられますが、細かい内訳は不明です。一方、スコアから大きな減点を受けるチームもあり、変更が禁止されたアカウントへの操作といったルール違反へのペナルティは想像以上に大きいのかもしれません。続いて、製品・サービスをうまく活用した観点からバラクーダ様のMP賞も受賞しました。競技当日の手厚いサポートに加えてMP賞までいただきありがとうございました。

図1:参加証明書

競技という性質上、順位付けや表彰が行われますが、点数で一喜一憂せずに個人個人の学びとして、この経験を生かしていくことが大切かと思います。

おわりに

今回はHardening 2021 Active Faultの参加結果についてお伝えしました。私は初参加という立場でしたが、準備期間から競技まで多くの学びを得られる機会となりました。

ビジネス視点を併せたセキュリティを体験したい方には、おすすめのイベントかと思います。また、Hardeningは敷居が高いと思われる方は、より小規模な競技としてMINI Hardening[new window2]やMicro Hardening[new window3] も開催されていますので、参加されてみてはいかがでしょうか。

参考資料

執筆者プロフィール

森本 康太(もりもと こうた)
セキュリティ技術センター セキュリティ実装技術チーム

NECグループのセキュア開発・運用を推進。

執筆者の他の記事を読む

アクセスランキング