2019

問題文

貴方は情報セキュリティに関する専門家としてコンサルティング業務を行っています. 顧客企業から次のような相談が来ましたので,この相談に対してアドバイスをしてください.

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

私どもの会社は,まだ駆け出しですが,広告やチケット販売など,総合的にイベント開催を支援するWebサービスを提供しています.イベント主催者にとって,いかに興味のある方にイベントを知っていただくかは重要課題です.参加者にとっても,数あるイベントの中から参加したいイベントを見つけるのは労力を伴います.そこで私どものサービスでは,日時や場所,URL,イベント概要といった簡単な情報とともにイベントを登録いただくと,興味がありそうな方を推定してその情報をお届けします.多くの方から「近くでこんなイベントをやってるなんて知らなかった」,「意外なイベントをお勧めされたけど,行ってみたら楽しかった」などと好評をいただいています.お陰様で順調なスタートを切ることができ,最近は主催者側からの問い合わせが増えてきました.ところが,1カ月ほど前から,気になる出来事が立て続けに発生して不安に思い,御社にご相談をさせていただいた次第です.以下に状況を記しますので,有用なアドバイスをいただけませんでしょうか.

私どものサービスでは,興味を持つ参加者への的確なイベント通知に力を入れています.これを実現するために,本サービスでは,SNS機能とイベント推薦機能を提供しています.SNS機能では,各ユーザ(イベント主催者や一般ユーザ)は,プロフィールの公開,記事の作成・投稿だけでなく,気に入ったユーザのフォローができます.SNSを通じて仲良くなり,連絡先を交換したり,一緒にイベントに行ったりする方々も多いようです.イベント推薦機能は,ユーザの登録情報や行動履歴等からAIがデータ分析を行い,興味のありそうなイベントを自動的に推薦します.ログインするとトップページにお勧めイベントが表示されますが,メールによる通知も可能で,実際に多くのユーザがメール通知を利用しています.メール通知では,通知頻度や情報量などのカスタマイズに基づいて,電子メールによりイベント概要が通知されます.届く情報にはWebページへのURL等も含まれており,詳細情報や参加申込ページにワンクリックでアクセスできます。このように,SNSによる口コミ効果とパーソナライズされたイベント推薦により,潜在的な参加者に対してイベント情報を通知することができます.

また,なるべく主催者の負担を削減できるような工夫を取り入れています.例えば,ご自身のWebサイトをお持ちでない方や手軽にイベントを登録されたい方のために,イベント詳細ページを作成する機能も備えています.イベント登録時に,ご自身のWebサイトへ誘導するか,本機能を利用するか選べるようになっておりまして,本機能を利用しますと日時や場所,イベント概要などイベント登録に必要な情報やイベントの写真などから,AIがイベントのイメージに沿ったレイアウトでイベント詳細ページを作成し,イベント推薦のための属性情報や広告文を提案してくれます.提案された情報に問題がなければそのままご登録いただけます.チケット販売も私どものサービス上で行えますので,面倒な手続きは全て私どもにお任せいただけます.

チケットは本サービスのアカウントと紐づけられており,ログイン後にチケット発行ページにアクセスすると,QRコードチケットが発行されます.イベント当日はこのQRコードを読み取ることで入場管理を行います.もちろん,一旦入場が確認されたチケットは無効になります.QRコードは印刷してお持ちいただくこともできますし,スマートフォン等のデバイスに表示しても結構です.また,近年のチケット転売問題を受けて,チケットの譲渡ができるようにもなっています.これはSNS機能を利用した機能であり,相互フォローの関係にあるユーザ同士であれば,ワンクリックでチケットを譲渡可能です.譲渡先ユーザから指定金額の振込が確認されると,新しいQRコードチケットが当該ユーザに発行されます.同時に,譲渡元のユーザに発行されたQRコードチケットは無効になる仕組みです.

最近では主催者からの問い合わせが増えてきており,特に熱心な主催者からは,イベント詳細ページをカスタマイズしたいという相談もいただいております.現時点では,個別対応という形でデザイン案を電子ファイル,あるいはFAXで送信してもらい,軽微な修正ならばカスタマイズ料をいただいたうえで対応するという形をとっています.将来的には「AIにおまかせコース」「カスタマイズコース」のように複数のオプションを設定することを検討しています.

サービス開始より順調に顧客も増えていたのですが,1カ月ほど前から問い合わせ対応チームにいたずらと思われる迷惑メールが届き始めました.いたずらと申しましたのは,そのメールが「今週のお勧めイベント」というタイトルで,その内容も私どものサービスとそっくりだったためです.当時,同業者のユーザ情報漏洩事件が起きたばかりでしたので,当該のURLにアクセスしないように社員に強く注意喚起を行いました.同様のメールが複数届いたのですが,いずれも私どものサイトの問い合わせフォームから送られたもののようでしたので,アクセスログから発信元のIPアドレスを特定し,フィルタリングを行いました.また,DNSのクエリログにも不審なURLへアクセスした痕跡はありませんでしたので,この時には特に問題もなく事態は終息したと考えていました.

ところが,先日,とあるユーザ様(A様とします)から,イベントの受付でチケットが無効だと言われ,イベントに参加できなかったと苦情がありました.最初はそのイベントの主催者と掛け合ったそうですが,チケットの管理は管轄外だから販売元に問い合わせるように言われたそうです.A様はチケットの譲渡もしておらず,チケットが無効になることはありえない,納得のできる説明がなければ迷惑料を請求すると言っておられます.「おもしろそうなイベントを推薦してもらい,SNSに何度も投稿するほど参加するのを楽しみにしていた」とのことで,非常に残念そうな様子です.詳しく聞けば,このイベントのチケットは抽選だったそうで,そのイベントの特設Webサイトで申し込み,高い倍率にも関わらず運よく当選してチケットを入手されたそうです.A様は,「他のイベント推薦システムも使っているが,それらと比べても良くできており,定番イベントはもちろん,思いがけず面白いイベントが見つかることも少なくないので,メール通知を楽しみにしている」と,私どものサービスを大変気に入っていただけており,過去に数多くのチケットをご購入いただいているお得意様¬¬¬¬¬¬でもありますので,こちらとしてもできる限りの対応をしたいと思っています.

対応を検討していたところ,後の調査で,過日の迷惑メールの中に,A様が参加できなかったイベントが含まれていることがわかりました.そこには特設サイトへのURLが記されており,そのサイトは既に閉鎖されていました.私どものサイトでは抽選やオークション等の形式のチケット販売(選抜)をサポートしていませんので,外部サイトでの選抜を行なった上で私どものサイトで人を限定して販売することを許してきた経緯があり,このようなイベントは,実際には多数あります.実際に,今回も私どものシステムで対応するイベントのチケット販売がなされていたことは確認できました.メールは私どもの運営スタッフのみに送信されているはずですので問題はないと思うのですが,念の為このことも情報提供をさせていただきます.

最後に,システム構成について述べておきます.私どものシステムはデータセンタ内に構築され,ユーザやイベント等の情報は全てデータベースサーバに格納されています.ユーザがこれらの情報にアクセスするためには,必ずフロントエンドWebサーバを経由する必要があります.また,システムは弊社内のメンテナンスチームによって管理されていて,接続は本チームに配布されているWindows 10 Proが動作している管理用PCに限って可能です.管理用PCはごく少数であるため,データセンタへの接続はSSTPによるポイント対サイトVPNを利用しています.メールサーバも同様にデータセンタ内にあり,弊社の社員は営業で外出することも多いため,Webメールにより社外からもメールの送受信ができようになっています.

状況は上記の通りですが,今回の事案はどのように引き起こされたのでしょうか.また,情報漏洩等の危険性はないでしょうか.考えられる原因や,我々が今後取るべき対応について,ご助言をいただけませんでしょうか.

以上,どうぞよろしくお願いします.


○×イベントレコメンド 白浜 結彩

講評

今年は少しオーソドックスなWeb系の問題を扱ってみました。今の時代に、Webでチケットを販売してオンライン入場するなんていう状況は容易に想像できると思いますが、そういうサービスをどのように設計すれば良いのかを考えるのは思いのほか難しいものです。SNSや情報推薦等で利便性を確保しなければサービス自体を使ってもらえまんし、一方で、そうやってサービスの幅を広げるとセキュリティやその他のリスクを伴います。現代のサービスはほぼ、そうやってリスクを取らないと勝てないようになっていますよね。今回はその中でもフィッシングによる個人の情報漏洩を伏線に引きながら、その周囲に起こる様々な可能性を分析できるかどうか、そして適切な解決戦略を立てられるかどうかを問う問題に仕上げました。

問題の中心として扱われているフィッシングメールですが、少し考えればメールヘッダインジェクション等、入力フォームへの攻撃があった可能性があることはわかりますが、その可能性が必ずしも高いとも言えないことも、同時にわかると思います。攻撃者がいたとすればA様のメールアドレスは容易に知られているでしょうから、入力フォームを使わなくても簡単にフィッシングメールを送信できます。それどころか、そもそもフィッシングがあったのかどうかも疑問です。他システム漏洩からパスワードが推測されたのかもしれませんし、A様のミスや自作自演、悪意ある虚偽のクレームの可能性も排除できません。もちろんアプリケーションのバグや現場の運営ミス、システムに侵入されてパスワードが奪われた可能性も否定できないですし、他にも無数の可能性が想像できると思います。

この状況で、どうやってアドバイスをすれば良いのでしょうか。単に原因の可能性(とそうであることの確認方法)を列挙するだけでは不十分なことがわかると思います。始めにどのような調査をして、どうやって原因を切り分けていけば良いのか、それをガイドしてあげることが重要です。実は、今回の問題の本当の狙いはそこにありました。ですから、敢えて重要な情報を隠して、何を調べれば原因の切り分けができるのかを特定するタスクを仕込みました。そして、如何に原因の切り分け方法をガイドして、今後何をすべきかをわかりやすく導いていけるか、ここを一番のポイントとして問題設計をしていきました。もう一点のポイントは、優先度の問題です。今回はわざと、発生可能性が高いA様のパスワード漏洩と、システム管理に置いてリスクが高いシステムへの攻撃を両端に起きました。つまり、パスワード漏洩は可能性は高いけれども、それはユーザ1名の問題、または外部システムの問題なのでシステム管理における危険度は低い。一方で、システムに問題がある場合には危険度は大きいけれども、今回のケースでこれが起こった可能性は、やはり低いと言わざるを得ない。このトレードオフをどう捉えるかによって、今後の対処へのアドバイスが変わってきます。もちろん、これに関しては、明確な正解はありません。これらのバランスをうまくとって一貫したアドバイスを行い、クライアントの信頼を得ることが重要になります。

これらを踏まえた上で皆様の回答を拝見させていただきました。例年思うことですが、今年もまた、昨年に比べてレベルが上がっているなあと感じます。実は我々が予想した以上にレベルが高かったので一瞬焦りました(笑)。この問題では選考できないかも、という不安がちょっと頭をよぎりました。ほぼ文句のない回答をされるチームが一つや二つではないのですよね。このことは、ホワイトハッカー陣営としてはとても心強く感じますし、とても頼もしい限りです。全体を見渡しますと、今回の状況、そして発生原因の可能性のバリエーションを把握されていたチームはかなり多かったと思います。一次予選ではもはや、原因の網羅的列挙ができているか、というレベルでは勝敗を決することができないことが明白です。やはり、原因の切り分けを如何にアドバイスするか、ここが勝負を分けることになりますし、実際にそうなりました。問題切り分けにおいて最も効果的なのは、やはりQRコードの状態を調べることでしょう。譲渡されていたのか、正常だったのか、そもそもQRコードが発行されていたのか、このあたりを調べることで、一気に原因を絞ることができます。これに加えて、A様やイベント主催者(と思われる方)からのヒアリングが効果的でしょう。これらの調査から、切り分けに至るまでのアドバイスをされていたチームは少なかったように思います。

一方で、面白いと思ったのが、リスクによる優先度の付け方が異なったことです。あるチームは徹底してリスクに拘り、リスクの高い順に解決をアドバイスしていましたし、別のチームは発生した可能性を鑑みて、システムへの侵入は(初動としては)疑わないとして、バッサリ切り捨てていました。既に申し上げたように、可能性を認識した上でどれを優先するかについては、正解はありません。両者の度合いから判断してバランスを取ることが重要ですし、そのバランス感覚やアドバイスのやり方などを通じて、クライアントの信頼を勝ち取っていくものだろうと思います。我々としては、そのスタンスがはっきりしていることを評価する姿勢で、皆様の評価に臨んでいることを周知しておきたいと思います。

上記のようなことを考えて皆様の評価をしたわけですが、最終的には、可能性を網羅できているかどうか、原因切り分けのための方法を示せているか、そして、クライアントに信頼されるような書き方がなされているか、これらの総合的な判断でボーダーラインを設定させていただきました。皆さんのレベルは想像以上に高く、選考にはかなり気を使いましたが、最終的には二人で、これで間違いないと確信を持って判断できたと思います。二次予選に進めなかった方々には申し訳なく思いますが、一次予選だけでも楽しんでいただけたら嬉しいなと思います。今回の経験から勉強していただいて、来年(多分またやると思いますので)のコンテストに臨んでいただければと思います。二次予選に進まれる方は、また激戦が待っていることが容易に想像できますので、ご武運を祈りたいと思います。本コンテストを通じて、皆さまが今後、情報セキュリティやシステム管理の専門家として、活躍されることを信じております。

それでは皆さん、またお会いしましょう。


ーーーーー 

一次予選担当 吉廣卓哉・藤本章宏(和歌山大学)