[レポート]［GMOインターネットグループ株式会社］GMOイエラエ全員集合！！進化するサイバー攻撃への対策最前線 - CODE BLUE 2024 #codeblue_jp

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

今回はCODE BLUE 2024で行われた以下のセッションのレポートです。

［GMOインターネットグループ株式会社］GMOイエラエ全員集合！！進化するサイバー攻撃への対策最前線

GMOサイバーセキュリティbyイエラエに所属するホワイトハッカーによるパネルディスカッションになります。 各分野のスペシャリストと、サイバーセキュリティ対策の最前線に関して質疑応答を含め語り合います。

Speakers:
Makoto Makita(牧田 誠) 代表取締役社長
Ruslan Sayfiev(サイフィエフ ルスラン) 執行役員
Shinji Abe(阿部 慎司) 執行役員
Yuki Koike(小池 悠生) 執行役員
Ryo Ichikawa(市川 遼) 開発部長
Shouji Baba(馬場 将次) （セキュリティエンジニア）
Satoshi Mimura(三村 聡志) （セキュリティエンジニア）
Daiki Fukumori(福森 大喜)（サイバー犯罪対策センター長）
Hikohiro Lin(林 彦博) 上席執行役員
Fumikazu Okuno(奥野 史一) 執行役員
Hanbang Wang(王 瀚邦（ワン・ハンバン）)（リバースエンジニア）

レポート

• 自己紹介
  • 社長の牧田氏をはじめ、登壇者全員による自己紹介
  • ブルーチームだけでなく、レッドチームの方やOSINTを専門にした方など
  • CODE BLUE登壇経験者も複数名
  • サイバー犯罪捜査を得意分野にしている福森さん
    • かつてはインターポールに出向していたことも
    • 今日はシンガポールから
  • 着物姿をよく見かける三村さん
  • などなど
• GMOイエラエはどういう会社？
  • 牧田氏「会社の根底にあるのは、"人を助ける"」
    • そういう思いが強いメンバーが集まっている
• 福森氏への質問
  • インターポールって何やるの？
    • 福森氏「犯罪を捜査している警察官などへのトレーニングなど」
• 牧田氏の言ってた会社の方針、どう思う？
  • ルスラン氏「お客様を助けられてる、守れる会社だと思う」
  • 阿部氏「お客様の全てを守れる、新しい形のSOCサービスを作りたい」
  • 馬場氏「世の中のサービスに対して脆弱性を見つけると、会社から報奨金が出る」
    • 今年馬場氏は10件、他にももっと見つけている人もいる
  • 小池氏「担当している脆弱性診断の結果をサマライズしてツールに落とし込む。サービスを提供するだけでなく、その結果の知見を更に還元している。」
  • 奥野氏「パブリック、官公庁でASMのネットde診断などを使ってもらっている。海外だとモンゴルでも使ってもらっている。日本国内だけでなく、グローバルも守りたい。」
    • モンゴルはどうだった？
      • 奥野氏「2月に行ったらマイナス30度だった。そこまで寒くないが、データセンターはやっぱり寒かった。一番美味しかったのは羊の丸焼き」
• CTFってどう？
  • 小池氏「会社のブランディングも担当している。さっき馬場氏が言っていたバグバウンティ制度だったり、会社を挙げてのCTF参加制度だったり。」
  • 小池氏「CTFで上位に入るような人は実務でも優秀な成果を出してくれる。そのため、CTF採用も行って結果が出ている。」
  • 牧田氏「すぐ採用を出して怒られた。CODE BLUEで出会って採用した人もいる。」
  • ワン氏はCTFのトッププレイヤーだが、モチベーションは？
    • ワン氏「元々パズルゲームが好きで、作って壊すことが大好きなのでリバースエンジニアリングを専門にしている。」
    • 三村氏「確かに、自分もCTF力を鍛えるためにパズルゲームをしていた」
    • 馬場氏「柔軟に考えるのが大事」
• 教育、育成について
  • ルスラン氏「みんなにやって欲しいのがクリエイティビティ。技術は時間をかければ学べる。それより頭を柔らかく、創造力を鍛えてほしい」
  • 福森氏「インターポールに参加しているのは190カ国、色んな国の人にトレーニング。トレーニング対象者は卑屈な人が多かった。」
    • 福森氏「お金は無いかもしれないけど、フリーツールでも扱い方次第で高価なツールにも勝てる。FBIにも勝てるということを伝えて自信を付けさせた」
• 仲間づくりについて
  • 林氏「前職が製造業で、セキュリティにどう取り組めば良いか悩んでいた。その時、CODE BLUEのような外とのコミュニケーションが大事だと改めて気付いた。」
  • 林氏「セキュリティ界隈の人はお節介なほどいろいろ教えてくれるし、その周りにも似たような人が集まっている」
• ホットトピック〜最近見て面白かった攻撃、CTFとか〜
  • 小池氏「思い浮かんだものはNDAに抵触するのであまり言えないが、LLM周りで面白いものは最近パブリックな情報で見た」
  • 小池氏「LLMへの攻撃はイタチごっこになっている。例えば、モールス信号でプロンプトを書くなど。上位のLLMだとモールス信号で返してくれるが、インジェクション対策だと自然言語しか対応してないことなど。」
  • 牧田氏「スマートシティになっていく中で、アタックベクターが外に出ていく。新しいアタックベクターが増えているのが面白い（IoT系の話）」
  • 小池氏「馬場氏も最近太陽光系の機器に脆弱性を見つけた話はどうか？」
  • 馬場氏「家庭の太陽光エネルギーを貯めておくようなHEMSという機器の話。扱うデータが生活に密着しているため、脅威のインパクトが大きい」
    • 馬場氏が見つけたのは外から操作できるような機器だった。スマートキーなどと通信出来るといったもの。
    • プライベートで普通に使っていたら見つけた
      • ファームウェアのアップデートがHTTP（平文）で行われているものがあるため、その中身を覗くことで見つけることが出来る
  • ブルーチームのホットトピック
    • 阿部氏「SOCだったりインシデントレスキューの仕事が増えてきている。アタックベクターが増えているというのもあるが、攻撃手法が分かりづらくなってきている。イタチごっこになっているため、ただ製品を入れれば良いというものではない。」
    • 阿部氏「ちゃんとリスクを分析して、対策を考えるべき。スポットではなく、幅広く、顧客と同じ目線で考えられる企業が求められるはず。より難しくなってきている。」
  • ASMの観点で見たホットなものは？
    • 市川氏「ASMといっても、バージョンアップしましょうとか昔から言ってることと変わらない。ただ、やっぱり攻撃の原因は甘い設定がほとんど。大きい穴を塞ぐのが大事」
    • 市川氏「ホットというわけではないが、新しい脆弱性というわけではなく、大きい企業もなかなかアップデートで出来ず古くからある対策が出来ていなかったりする。」
  • 公共系は？
    • 奥野氏「公共系でホットというと、能動的サイバー防御。どこまでやって良いのか？を考える必要がある。防御と言いつつレッドチームの力も必要。」
  • ワン氏「リバースエンジニアリングのCTFに参加すると、他の参加者が生成AIに入れただけで解いたよ、と言われた。私はもう必要ないんじゃないかと思った。AIの使い方を覚えるのも大事」
• 最後に一言
  • 牧田氏「人を助けるためにGMOイエラエは存在している。牧田氏は社内のメンバーを助けたいし、社内のメンバーと一緒にお客様を助けたい。これからはグローバルにみなさんを助けたい。」
  • 牧田氏「これは社内でも言っていないサブミッションだが、社内のホワイトハッカーたちを億万長者にしてあげたい。みんなが頑張ったことに対してちゃんと報いたい。社会全体でホワイトハッカーの地位を上げたい。」

感想

登壇者大盛りの面白いパネルディスカッションで、登壇されていた皆さんはブルーチームやレッドチーム、CTFやサイバー犯罪捜査など様々な分野のスペシャリストの方ばかりでした。

林氏、三村氏の司会含め皆さんのどの話も面白かったんですが、個人的に印象に残ったのはワン氏の「パズルゲーム大好きだったからCTFのリバースエンジニアリングにものめり込んだ」というお話ですね。三村氏や馬場氏も賛同していましたし、ルスラン氏も「技術力より創造力を鍛えるのが大事」と仰っていました。
私はあまりパズルゲームをやらないのですが、CTFの練習と並行してこれを機に何か始めてみようと思います。

また、牧田氏の素晴らしい企業理念も伺うことが出来ました。サブミッションの達成、心より応援しています。

以上、べこみんでした。