好奇心旺盛なセキュリティマインドを罰するのではなく、サポートする必要がある理由

2019年8月14日発行
ピーテル・ダンヒョウ著
ケーススタディ

好奇心旺盛なセキュリティマインドを罰するのではなく、サポートする必要がある理由

2019年8月14日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

最近、10代のセキュリティ研究者Bill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したという報道は、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供で、ソフトウェアのフードを持ち上げて下を覗いてみたり、すべてがどのように機能しているのか、そしてもっと重要なことは、それを壊すことができるかどうかを確かめたりしたことを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。そしてセキュリティコミュニティは(時としてそのアプローチは少々生意気ではありますが)、欠陥や潜在的な災害を発見するという重要な役割を担っていますが、できれば悪人が同じことをする前に発見したいものです。

しかし、ここで問題となるのは、彼が発見したことに対して、学校から軽い停学処分を受けたことです。それも、彼が会社(Follett Corporation)に個人的に連絡する手段をすべて使い果たし、最終的には、自分がシステムに侵入したことを明らかにするために、かなり公然と爆破することを選んだ後でのことでした。彼が倫理的にFollett Corporationに警告しようと何度も試みましたが、返事はなく、ソフトウェアは脆弱なままで、多くの学生データが暗号化されていないため、かなり簡単に暴露されてしまいました。

また、Blackboardという別の会社のソフトウェアのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が侵入し、数百万件以上の記録を奪うことができたのです。このソフトウェアもFollett社の製品も、彼の学校で使用されていました。

邪悪なハッカー」という語り口は問題があります。

Demirkapiは今年のDEF CONで研究成果を発表し、彼のいたずらの詳細については観客の喝采を浴びました。彼は当初、悪者扱いされ、自分の発見を認めてもらうために多くの困難に直面していたが、Follett Corporationは彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的に自社のソフトウェアの安全性を高め、データ漏洩の統計になるという危機を回避したという。また、高校卒業後はロチェスター工科大学に進学するとのことで、需要のあるセキュリティスペシャリストになるための正しい道を歩んでいることは間違いありません。

私自身、セキュリティ担当者として、この状況がどのように処理されたかについて問題視しないわけにはいきません。このケースでは「終わりよければすべてよし」ですが、当初、彼は関係のないところで鼻を利かせる迷惑なスクリプトキッズのように扱われました。この事件をGoogleで検索すると、彼を「ハッカー」と呼ぶ記事が出てきます(セキュリティの素人からすると、これは多くの意味で彼を悪者に位置づけています)が、実際には彼のアプローチ(および他の多くの人々のアプローチ)が私たちのデータを安全に保つのに役立っているのです。

私たちは、好奇心旺盛で賢い、セキュリティに関心のある人々が、ボンネットの下を覗いてみることを必要としていますし、それをもっと頻繁に行う必要があるのです。7月の時点で、今年だけでも40億件以上の記録が悪意のあるデータ侵害によって流出しています。8月に発生したファッション・ライフスタイルブランド「Poshmark」の不正アクセスにより、この数字にさらに5,000万件が加わる可能性があります。

私たちは同じ過ちを犯しています。さらに心配なことに、その過ちは顔を真っ赤にするような、単純な弱点であることが多く、私たちを躓かせます。

クロスサイトスクリプティングやSQLインジェクションがなくなったわけではありません。

WIRED』が報じたところによると、「Blackboards Community Engagement software」と「Folletts Student Information System」には、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがDemirkapiによって発見された。これらのバグは、1990年代からセキュリティ専門家の舌の根も乾かぬうちに存在していました。

しかし、実際にはそうではありません。また、コードにこれらの問題が混入するのを防ぐために、十分なセキュリティ意識を持っている開発者が少ないことも明らかです。XSSやSQLインジェクションよりもはるかに複雑なセキュリティ上の問題があり、これらの高価で時間のかかる手段をより有効に活用することができます。

Bill Demirkapi氏のような人物は、開発者がより高い水準のコードを作成するよう促すべきです。彼はわずか17歳で、コードをコミットする前に嗅ぎ分けて修正すべき脅威ベクトルを用いて、トラフィックの多い2つのシステムに侵入しました。

ゲーミフィケーション。エンゲージメントの鍵とは?

私はこれまで、開発者がなぜセキュリティにあまり関心を示さないのかについて多くの記事を書いてきましたが、一言で言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育てるために多くのことが行われていないということです。企業が時間をかけて、開発者の言葉を理解し、努力を続ける意欲を高めるトレーニングを実施するなど、関与に報い、評価するセキュリティ文化を構築すると、私たちが使用するソフトウェアから、厄介な脆弱性の遺物が消えていきます。

Demirkapi氏は、明らかにセキュリティに特別な興味を持っており、マルウェアのリバースエンジニアリングや欠陥の発見、そして外見からは壊れているようには見えないものを壊す方法を時間をかけて学んできました。しかし、VICEの取材で(そしてDEF CONのスライドで)、彼はその自己啓発について興味深い発言をしています。

"学校のソフトウェアから何かを見つけ出すという目的で、ゲーム感覚で楽しみながらペネトレーションテストの重要性を学ぶことができました。もっと知りたいと思って始めた調査でしたが、結果的には予想以上に悪いことがわかりました」と語ります。

すべての開発者がセキュリティを専門にしたいと思うわけではありませんが、すべての開発者にセキュリティを意識する機会を与え、基本的な知識を身につけさせるべきです。最も簡単なセキュリティホールでも、開発者全員がコードを書く前にパッチを当てることができれば、大災害を引き起こそうとする人たちに対して、より安全な立場に立つことができます。

ゲーム化されたトレーニングについて興味がありますか?Coders Conquer Securityシリーズをご覧ください。 XSSSQLインジェクション.

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

好奇心旺盛なセキュリティマインドを罰するのではなく、サポートする必要がある理由

2024年1月22日発行
Pieter Danhieux著

最近、10代のセキュリティ研究者Bill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したという報道は、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供で、ソフトウェアのフードを持ち上げて下を覗いてみたり、すべてがどのように機能しているのか、そしてもっと重要なことは、それを壊すことができるかどうかを確かめたりしたことを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。そしてセキュリティコミュニティは(時としてそのアプローチは少々生意気ではありますが)、欠陥や潜在的な災害を発見するという重要な役割を担っていますが、できれば悪人が同じことをする前に発見したいものです。

しかし、ここで問題となるのは、彼が発見したことに対して、学校から軽い停学処分を受けたことです。それも、彼が会社(Follett Corporation)に個人的に連絡する手段をすべて使い果たし、最終的には、自分がシステムに侵入したことを明らかにするために、かなり公然と爆破することを選んだ後でのことでした。彼が倫理的にFollett Corporationに警告しようと何度も試みましたが、返事はなく、ソフトウェアは脆弱なままで、多くの学生データが暗号化されていないため、かなり簡単に暴露されてしまいました。

また、Blackboardという別の会社のソフトウェアのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が侵入し、数百万件以上の記録を奪うことができたのです。このソフトウェアもFollett社の製品も、彼の学校で使用されていました。

邪悪なハッカー」という語り口は問題があります。

Demirkapiは今年のDEF CONで研究成果を発表し、彼のいたずらの詳細については観客の喝采を浴びました。彼は当初、悪者扱いされ、自分の発見を認めてもらうために多くの困難に直面していたが、Follett Corporationは彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的に自社のソフトウェアの安全性を高め、データ漏洩の統計になるという危機を回避したという。また、高校卒業後はロチェスター工科大学に進学するとのことで、需要のあるセキュリティスペシャリストになるための正しい道を歩んでいることは間違いありません。

私自身、セキュリティ担当者として、この状況がどのように処理されたかについて問題視しないわけにはいきません。このケースでは「終わりよければすべてよし」ですが、当初、彼は関係のないところで鼻を利かせる迷惑なスクリプトキッズのように扱われました。この事件をGoogleで検索すると、彼を「ハッカー」と呼ぶ記事が出てきます(セキュリティの素人からすると、これは多くの意味で彼を悪者に位置づけています)が、実際には彼のアプローチ(および他の多くの人々のアプローチ)が私たちのデータを安全に保つのに役立っているのです。

私たちは、好奇心旺盛で賢い、セキュリティに関心のある人々が、ボンネットの下を覗いてみることを必要としていますし、それをもっと頻繁に行う必要があるのです。7月の時点で、今年だけでも40億件以上の記録が悪意のあるデータ侵害によって流出しています。8月に発生したファッション・ライフスタイルブランド「Poshmark」の不正アクセスにより、この数字にさらに5,000万件が加わる可能性があります。

私たちは同じ過ちを犯しています。さらに心配なことに、その過ちは顔を真っ赤にするような、単純な弱点であることが多く、私たちを躓かせます。

クロスサイトスクリプティングやSQLインジェクションがなくなったわけではありません。

WIRED』が報じたところによると、「Blackboards Community Engagement software」と「Folletts Student Information System」には、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがDemirkapiによって発見された。これらのバグは、1990年代からセキュリティ専門家の舌の根も乾かぬうちに存在していました。

しかし、実際にはそうではありません。また、コードにこれらの問題が混入するのを防ぐために、十分なセキュリティ意識を持っている開発者が少ないことも明らかです。XSSやSQLインジェクションよりもはるかに複雑なセキュリティ上の問題があり、これらの高価で時間のかかる手段をより有効に活用することができます。

Bill Demirkapi氏のような人物は、開発者がより高い水準のコードを作成するよう促すべきです。彼はわずか17歳で、コードをコミットする前に嗅ぎ分けて修正すべき脅威ベクトルを用いて、トラフィックの多い2つのシステムに侵入しました。

ゲーミフィケーション。エンゲージメントの鍵とは?

私はこれまで、開発者がなぜセキュリティにあまり関心を示さないのかについて多くの記事を書いてきましたが、一言で言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育てるために多くのことが行われていないということです。企業が時間をかけて、開発者の言葉を理解し、努力を続ける意欲を高めるトレーニングを実施するなど、関与に報い、評価するセキュリティ文化を構築すると、私たちが使用するソフトウェアから、厄介な脆弱性の遺物が消えていきます。

Demirkapi氏は、明らかにセキュリティに特別な興味を持っており、マルウェアのリバースエンジニアリングや欠陥の発見、そして外見からは壊れているようには見えないものを壊す方法を時間をかけて学んできました。しかし、VICEの取材で(そしてDEF CONのスライドで)、彼はその自己啓発について興味深い発言をしています。

"学校のソフトウェアから何かを見つけ出すという目的で、ゲーム感覚で楽しみながらペネトレーションテストの重要性を学ぶことができました。もっと知りたいと思って始めた調査でしたが、結果的には予想以上に悪いことがわかりました」と語ります。

すべての開発者がセキュリティを専門にしたいと思うわけではありませんが、すべての開発者にセキュリティを意識する機会を与え、基本的な知識を身につけさせるべきです。最も簡単なセキュリティホールでも、開発者全員がコードを書く前にパッチを当てることができれば、大災害を引き起こそうとする人たちに対して、より安全な立場に立つことができます。

ゲーム化されたトレーニングについて興味がありますか?Coders Conquer Securityシリーズをご覧ください。 XSSSQLインジェクション.

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。