結果

一次予選通過チームは、以下の12チームです。

• defenders（長崎県立大学）

• P01TERGEIST（名古屋工業大学）

• RiST（立命館大学）

• ひよっこ坊主（情報科学専門学校）

• Sug1k4hun（名古屋工業大学）

• kobash（関西大学）

• 業務中にエラーする方法（東京工業大学）

• KAGIYA（大阪工業大学）

• Guard Penguin（岡山大学）

• Enduring Pug（岡山大学）

• ITSawayakaB（静岡大学）

• ITSawayakaA（静岡大学）

講評

嬉しいことに、今年から白浜シンポジウム会場で対面のコンテストが再開できそうです。このコンテストの醍醐味の一つは、白浜で多くのセキュリティ関係者が集まっている中で注目を浴びて実施できることですし、さまざまな関係者と交流できることです。そんな体験を是非していただきたいですね。もっとも、予選を勝ち抜かないと白浜の会場には行けないわけですが・・・（頑張ってください！）。

さて、今年の問題は、ショッピングモールへのAIの導入事例を扱ってみました。一部でブレークしている某チャットAIだけでなく、今の世の中はAIブーム真っ盛りでして、近いうちに先進的なAIサービスがどんどん入ってくると思います。ショッピングモールのAI化も近い将来に来るだろうと思っていまして、そういう近未来を妄想してシナリオを作ってみました。AIが入ると多くの場面で関連してくるのが個人情報です。個人情報をどのように取り扱うべきか、というのはセキュリティ技術者の役目ではないと思われるかもしれませんが、この種のシステムを扱う場合には避けて通れないものですし、近い将来にセキュリティ技術者の必須知識になるでしょう。個人情報だけでなく、AI技術・システムの動向などにも目を向けておく必要があります。学生の皆さんにはやや難しいかもしれない、とも思いましたが、そこは大臣賞を目指す皆さんのこと！大丈夫だろういうことで、思い切って出題に踏み切りました。

今回の問題で皆さんにまず問いたいことは、今回のインシデントではシステムのセキュリティが問題なのか？です。システムに何らかのセキュリティ上の問題があり、それが突破されたのでしょうか？さらに突っ込むと、今回の問題はA店の運用の問題なのか？という質問もできます。実は、いくつかのチームが言及していたように、今回のインシデントは、A店に何も問題がなくても起こり得ます。ライバル店が、自分の店の権限の範囲で入手できる情報を元にして、A店の得意客を数名特定して、そのIDにメッセージを送信できる可能性があります。今回の主題は、それらの広範な人間的な可能性を広く把握して、如何にして切り分けるか、というところに設定していました。上位のチームは、そのような可能性にちゃんと気づいていてさすがだと思いました。

では中身を見ていきましょう。今回のインシデントはA店の得意客にA店の悪い噂を流したことで、少なくとも数名に対して実施されたことが確認されています。得意客のみであることから、IDを特定してメッセージが流されています。つまり、得意客を特定できる人が実行した可能性が高いでしょう。そこで、普段から得意客と接点があるだろう従業員（アルバイトを含む）が怪しい、というのはすぐに思いつくでしょう。現役の従業員だけでなく、過去に働いていた従業員達、全員が被疑者になります。いくつかのチームはここで思考を止めてしまったようですが、他の可能性も検討しないといけません。他店の従業員がA店の情報を得て犯行に及んだ可能性もあります。それ以外の人はどうでしょうか。もちろん可能性はありますが、通知システムのアカウントを持っていないので、パスワードの不正取得かシステムへの侵入、さらにはローカルネットワークなので有線または無線LANへの接続が必要で、少しハードルが高いですね。この場合はあとで考えましょう。

次は、A店か他店の従業員がやったとして、どうやって犯人を割り出すのでしょうか。ここはあれですね、警察が、物的証拠やデータ、ヒアリングで得た情報を頼りに絞り込むっていう、まさに犯罪捜査の世界です。でも、ここで使える物的証拠として、セキュリティ屋さんが取り出す情報が重要になります。どんな情報が役立つでしょうか。まず、通知したアカウントと端末の特定です。A店のアカウントなら、不正なく犯行できるのはA店従業員だけですから、この可能性が俄然高まります。端末までの特定は難しいかもしれませんし、どんなログが残っているかも記述がありませんが、特定できれば個人が特定できる可能性もありますので、やってみる価値はあります。ここまでやった上で現場のヒアリングをして犯人を特定していくことになるでしょう。これ以降はヒアリングの結果に依存しますので、できるのはここまでかなと思いますが、犯人の特定をどのようにすれば良いかもアドバイスしてあげて良と思います。

一方で、不正の可能性もないわけではありません。これも検証が必要です。ここで意識していただきたいのは、今回のインシデントを起こすためにはどんな不正ができる必要があるのか、ということです。まず、新規に通知を作成するのは、恐らく通知サーバに正式にログインしないと難しいでしょう。通知サーバに不正侵入してスクリプトを実行したり、データベースに侵入して新規の通知を作成するのは、プログラムの動作やデータベーススキーマを把握する必要がありますので、容易ではないと思います。システムに侵入して比較的容易に実施できそうなのは、既に作成されているメッセージの改竄くらいでしょう。データベースは（バックアップやロールバックのためにも）変更ログが取られているでしょうから、改竄の有無は確認できそうです。これらより、念の為外部からの侵入可能性やセキュリティホールはチェックするとしても、今回の事件に関係する可能性は低いと言えそうです。つまり、システム的には、最低限のチェックをした上で、アカウントの盗用の可能性を検討しておけば良いでしょう。もっとも、既にアカウントが複数人で共用されている時点で、盗用も何もないようなものですが・・・。

このあたりまで見えてきたら、実際にどう動くか、対応方法を考えることになります。問題の切り分けをしてあげてください。通知したアカウントと端末の特定を試み、その結果に基づいてどう動けば良いかをアドバイスしてあげてください。また、システムの脆弱性が原因である可能性についても言及して、その可能性は低いことの指摘や、万が一にもそれが原因である可能性のチェックとしてどういうことをすれば良いか、などを指南してあげたいところです。その上で、現在のシステムの仕組みや運用の問題点を指摘できれば完璧だと思います。

このように、今回の問題は、敢えてシステムの脆弱性からは離れたシナリオにしてみました。セキュリティのコンテストなのに、システムの脆弱性から離れてもいいの？という疑問がありそうですが、脆弱性が原因ではないことを判断するのも、セキュリティ技術者の技能ではないでしょうか？皆様の中には、SQLインジェクションの可能性がありますとか、サーバルームに物理的に侵入した可能性がありますとか書いたチームが複数ありましたが、本当にそれが原因でこの事件が起きますか？ということをお訊きしたいです。まるで、システムに侵入すれば何でもできる、と思っているようですが、それは違います。原因と結果の関係を見極める目を養うこと、それは、このコンテストが目指していることの一つです。侵入可能性を単に列挙することにはあまり意味がないのだということを知ってください。

皆様の回答を見て気になったことのもう一点は、お客様を相手にしている意識です。お客様は、この事件の真相を、そして、何が原因である可能性があるのかを、「納得」したがっています。結論だけが欲しいのではありません。ですから、なぜその可能性が高いのかを、丁寧に説明してあげる必要があるのです。これに対して、複数のチームが、可能性の「列挙」だけをしていました。原因シナリオを挙げて、判別方法、短期対応、長期対応等を箇条書きで列挙するという、あれです。でも、お客様の立場になって考えてください。「可能性と対応については以下をご覧ください」として箇条書きだけがあるようなアドバイス文書って、説得力ありますか？私なら、だから何なんだよ！と怒り出してしまいそうです。お客様は、説明を求めているのです。分析結果一覧を求めているのではありません。そういうお客様のニーズを満たす文書を作ることを意識してあげてください。今回も、上位のチームはそこがとても良くできていて、言葉遣いも含めて文章の品質が非常に高く、納得感のある文章に感心してしまうほどでした。ぜひ他のチームの皆様も、そういう上位チームの回答を参考にしてください。とても勉強になるのではないかと思います。

今回の予選通過チームの選抜は、上記のような観点から、主に人的原因の分析と、原因の切り分け方法の指摘がどれだけできているか、に重点を置きました。システム的な問題については、可能性が低いと判断することが大事なのですが、まあそこはセキュリティのコンテストなので、そこに分量を割いたアドバイスであっても、減点はしていません（逆に、システム的な要素に対しては、挙げただけのものは加点はしていません）。例年はシステム的な要素もそれなりに入れるシナリオが多かったので、そういう意味では、逆を突かれたチームがあったかもしれませんが、本コンテストは、ご存じの通りシステム以外の要素も常に重視していますので、これを機に対策を練り直してもらえればと思います。

また、今回のAIシステムの仕組みや運用には、多数の本質的な問題を仕込んでありました。アカウントの共有などは基本的ですが、個人情報の問題など、今どきの問題になりそうなものも含めました。この種の問題を的確に指摘してくれたチームがいくつかありまして、これは素晴らしいと思いました。「長期的な改善点」という括りになろうかと思いますが、このようなアドバイスができるのも重要なことであり、これらには（例年のことですが）加点しています。今後はAIがどんどん社会に入り込んできて、今までになかった先進的なサービスが現れてくるでしょう。セキュリティ技術者は、宿命として、そういう流れについていく必要があります。ぜひ、深く詳しいシステム的な要素だけでなく、サービス全体を巨視的に検証できる目も養ってください。

我々からのコメントは以上です。
今回は人的要素が多かったことから戸惑ったチームが多かったと思いますが、結果的には実力のあるチームが順当に勝ち抜けたと思っています。
勝ち抜けなかったチームは、ぜひ他のチームの回答を精査して、過去問も研究して、次回につなげてください。
二次予選に進まれるチームは、おめでとうございました。
白浜で実施される本戦への出場を目指して、頑張ってください！

第18回情報危機管理コンテスト一次予選担当

吉廣・藤本