結果
一次予選通過チームは、以下の12チームです。
3. RE:ひよっこ坊主(情報科学専門学校)
4. RiST(立命館大学)
5. FUNCTF(公立はこだて未来大学)
7. it-sawayaka(静岡大学)
10. kobabanana(関西大学)
11. C01UMBA(名古屋工業大学)
12. KAGIYA(大阪工業大学)
14. GH05TBUSTERS(名古屋工業大学)
19. SecWing(岡山大学)
20. Guard Penguin(岡山大学)
21. 情報技術研究会(立命館大学)
22. HamaGlitch(横浜国立大学)
講評
今回で情報危機管理コンテストは記念すべき20回目の開催となりました。これは開催スタッフの尽力はもちろんですが、それを支えてくださった白浜シンポジウムの方々、協力会社・組織の方々、そして、こうして参加して盛り上げてくださる皆様のお陰であると思っています。
さて、そんな20回目のコンテストですが、今回は11校から24チームの参加がありました。昨年と比べて参加校、チーム数ともに減りましたが、参加チームの皆様から上がってきた回答書はいずれもハイレベルで、頼もしいセキュリティ技術者が育っていることが喜ばしいと思う反面、選考は非常に悩ましい作業になりました。
それでは、1次予選の内容に移ることにしましょう。今回はECサイトのクラウド化に絡めて、データ移行に伴うトラブルを出題してみました。クラウド化のメリットとしてよくアピールされるのが、運用負荷の削減やセキュリティの向上です。年々巧妙化するサイバー攻撃に自分の手で対処するには限界があるので(もちろん事業者を入念に選定する必要はありますが)クラウド化する方が安全と考える人も増えています。特に、昨今の情報漏洩に関する事件を省みて、認証情報は自分で管理したくないという方は増えているのではないでしょうか。今回の問題の店主もそう考えた1人でした。
今回のインシデントは、雑貨店の店主が、これまで自前で運用していたECサイトの管理者が退職したことを機に、ECサイトのクラウド化を決めたことから始まります。この時に、これまで実店舗とECサイトで別々に管理していた顧客情報を、移行先のSaaS型ECサイトで一元管理しようと決意します。さらに、自前で認証情報を管理することを避け、ユーザの認証はSaaS型ECサイトのプロバイダであるA社の認証基盤に一任することにします。「実店舗の顧客情報と旧ECサイトの顧客情報を統合して移行先の新ECサイトにエクスポート」し、「A社アカウントと新ECサイトアカウントを紐づけ」するという状況下で、身に覚えの無い商品が誤配達されるというインシデントが発生しました。
まず、どうすれば今回の誤配達が起こるか考えてみましょう。今回のインシデントでは、配達先本人(Xさんと呼びます)が新ECサイトアカウントを用いて注文した記録が残っています。これを考慮すると、(クロスサイトリクエストフォージェリ等の脆弱性を突いた可能性はあるのですが)可能性の高い原因は「名寄せのミスによりXさんの新ECサイトアカウントの顧客情報が誤っている」「別人のA社アカウントがXさんの新ECサイトアカウントと紐づいている」「正しく紐づけられたXさんのA社アカウントが何者かに乗っ取られている」の3つのケースに絞られるでしょう。多くの参加チームがこれらの原因を指摘できていて、さすがだと思いました。
インシデントの原因となりうる事象を挙げることができたら、これらの事象がどのくらいの可能性の高さで起こり得て、実際に起こった場合にどのくらいのインパクトがあるかを分析しましょう。起こり得る主要な可能性に対して可能性とインパクトを示し、それに合致する妥当な解決戦略を示すことで、提示した解決方法の妥当性を相談主に納得してもらうことが重要になるでしょう。
まず、名寄せミスが起こった可能性が考えられます。最終的に人力で確認したとありますので、ヒューマンエラーが起こった可能性は否定できなさそうです。ただし、影響範囲は名寄せミスが発生したアカウントに限定されます。次に、A社アカウントが乗っ取られた可能性はどうでしょうか。雑貨店のキャンペーンに乗じて(リアルタイム型の)フィッシング攻撃が行われ、XさんのA社アカウントが乗っ取られたり、Xさんのメールアドレスを使って不正にA社アカウントが作成されたりする(この場合は、メールアドレスを通じて自動的にXさんのECアカウントと連携されてしまう)可能性はありそうです。最後に、アカウントの不正連携の可能性はどうでしょうか。今回の事件では、A社アカウントと新ECサイトアカウントのメールアドレスが異なる場合でも、旧ECサイトのアカウント名や実店舗の会員番号がわかれば簡単にアカウント連携ができてしまいます。特に会員番号はイニシャルと通し番号によって構成されていますので、打ち間違いによる誤連携だけでなく、悪意のあるユーザが総当たり的に不正連携を試みることもできそうです。
ところで、ここまで(名寄せミスを除いて)攻撃者の存在を仮定していましたが、今回の事件が攻撃の可能性はどのくらいあるか、も考えておきたいところです。相談内容からわかる範囲では、クレジットカードが不正に利用されたというわけでもなく、数名に対し身に覚えの無い商品が届いただけなので、攻撃者にとってメリットが無いですね。そうすると、今回の事件は攻撃の意図がなく、単なる事故という可能性が高そうです。一方で、もしこれらの注文が同じIPアドレスから行われていたのであれば、攻撃の意図が存在する可能性が高まります。例えば、(可能性はそれほど高くなさそうですが)雑貨店に販売を委託している作家が自分の雑貨を買わせようとしたのかもしれません。このような側面からの、原因の切り分けも考えても良いでしょう。
このように、各事象が発生する可能性や被害のインパクト、犯行の動機の有無等を考慮して、相談主にインシデント対応の道筋を示してあげてください。特に今回の事件の場合は、A社アカウントとの連携機能を残しておくセキュリティリスクが高いため、アカウント連携の仕組みとリスクを相談主に丁寧に説明した上で、初期対応としてアカウント連携機能の停止を提案できると良いでしょう。また、A社アカウントの情報は(当然ではありますが)A社しか保有していませんので、A社に連絡して協力を求めるように提案することも重要でしょう。
ここまできたら、実際にどう動くべきか、対応方法を考えることになります。今回の事件では、Xさんの新ECサイトアカウントに紐づいたA社アカウントの詳細や、アカウント連携の際の挙動をA社とも協力して調査すれば、原因の切り分けや悪意の有無の判断に大いに役立てられます。どのような調査をして、結果に基づいてどう動けば良いかをアドバイスしてあげてください。また、アカウント連携機能の悪用が疑われる場合は実店舗や旧ECサイトの会員情報が流出した可能性が高くなることを指摘し、フィッシングやCMS等の想定される流出経路や調査方法についてもアドバイスすると良いでしょう。その上で、現在のシステムの仕組みや運用の問題点を指摘し、長期的な改善案を提案できれば完成度が上がると思います。
この数年の一次予選では、「インシデントの原因としてどのような事象が考えられるか」を問うだけでは、ほとんど差がつかなくなってきています。今回も、ほとんどのチームが原因として考えられる事象を列挙することができていました。ですので、予選突破の決め手となるのは、どのようにインシデントを切り分けて原因を見極めるのかを決める分析力と戦略性に加えて、提示した方法の妥当性を相談主に納得してもらえるように説明する力となります。今回は特に、どういった条件ならばID連携で問題が生じるかを深く分析し、それらの問題を明確に切り分ける方法を説明できたかどうかが勝敗を分けるポイントになりました。説明する際には、重要な点を先に述べて相談主に道筋を示すこともポイントで、これができていたチームは予選突破に一歩近づくことができました。これに加えて、どのような初動調査を行うのか、長期的視点からの改善点なども含めて総合的な提案の良し悪しも評価に入れました。結果として、昨年と同様に、原因の列挙、切り分け戦略、プレゼン能力、初動調査方針、長期的視野からの改善点など、全てがそれなりのレベルで揃ったチームが勝ち抜けたと思います。
勝ち抜けた12チームの皆様、おめでとうございます。
白浜で実施される本選への出場を目指して、二次予選も頑張ってください!
残念ながら一次予選を勝ち抜けなかったチームの皆様は、お疲れ様でした。
過去問や他チームの回答は公開していますので、ぜひこれらの情報を精査して、次回のコンテストにチャレンジしてください!
第20回情報危機管理コンテスト一次予選担当
吉廣・藤本