DARK MATTER

CDI Engineer's Technical Blog

HITCON Pacific 2018に参加してきました

こんにちは。情報分析部の橋本です。12/13、14の2日間、台湾の台北で開催されたHITCON Pacific 2018に参加してきました。

f:id:cdi-yhashimoto:20181221000022j:plainf:id:cdi-yhashimoto:20181221001719j:plain

オープニング・基調講演・クロージングを除いて、最大3セッション同時進行で開催されるので、どれか1つを選んで参加することになります。

私もいくつか参加しましたが、本投稿ではその中の1つ、TABLE-TOP EXERCISESについて レポートします。

STRATEGIC TABLE-TOP EXERCISES: Why are they so important for national resilience?

概要

講師はチェコのNational Cyber and Information Security Agencyの二人です。 インシデント発生時の準備としての机上訓練(TTX)の有用性についてと、実際に彼らが作成したシナリオにしたがってTTXを体験してみようというセッションでした。

内容は後述しますが、技術的というよりは、インシデント発生時の意思決定の仕方に重きが置かれている訓練だということ、また、講師が国家機関から来ている人なので、想定しているインシデントの内容が国家レベルであるということが、特徴として挙げられるかと思います。

他のセッションは1コマ分だったんですが、これは初日午後に2コマ分、2日目に5コマ分の結構ボリュームのあるセッションでした。

背景

TTXの世界では、以下の4つの国が登場し、TTX参加者は、下記のうちNicelandのJoint Task Forceのメンバーであるという想定で、インシデントハンドリングしていくことになります。

  • NiceLand
  • Sauronia
  • Nikkon
  • Bonoland

大きく分けて4つのインシデントがあり、さらにその1つ1つに複数の細かいインシデントが起こり、それぞれ発生した順に対応します。

実際の国をモデルにしているようで(TTXで発生するインシデントも)、各国の力関係やら発展してきた歴史やらの説明から、Sauroniaがあの国で、Nikkonがこの国で、というようなことがそこはかとなく感じ取れます。Sauroniaには、国家の支援が疑われるハッカー集団がいるそうです。

背景の説明は、初日の2コマ分の時間で行われました。途中ちょっとしたハプニングがありまして、スピーカーから突然恐らく他のセッションの音声が流れてきて、一時話が中断する場面がありました。講師は苦笑い。私は最初状況が呑み込めず、聴衆の中の誰かが、講師が話しているのをお構いなしに好き勝手質問を始めたのかと思いました。

なお、翌日のTTXに参加するには受付で事前登録が必要で、登録すると下の写真のような資料が貰えました。TTX開始までに目を通す必要があるとのことでした。

f:id:cdi-yhashimoto:20181221100435j:plainf:id:cdi-yhashimoto:20181221100835j:plainf:id:cdi-yhashimoto:20181221100604j:plain
f:id:cdi-yhashimoto:20181221100347j:plainf:id:cdi-yhashimoto:20181221100932j:plain

TTX

ルール

前日の登録時に渡された資料が頭に入っている前提で、本番では、インシデントの内容が書かれた資料を読んで、設問に回答していくといった形式でした。 1チーム最大6人くらいのチームに分かれて、時系列で提示されるインシデントに対してどう対処するかチーム内で話し合って結論を出す、というのがTTXで行う内容です。

私のチームは4人編成で、私以外の3人は全員、名刺に載ってる会社の住所から判断する限り台湾の方たちでした。 TTXのルールは以下のような感じでした。

  1. インシデントを記載した資料はGoogleフォームで提供される。
  2. それぞれのインシデントに対してどう対応したかチームで1つの回答を出す。
  3. 回答もチーム内の1人がGoogleフォームで提出する。
  4. 発生したインシデントの時系列順に回答。A、Bというインシデントがあった場合、Bに対する設問に回答後、戻ってAの設問に回答というやり方は禁止。

上記に従い、各チーム内でディスカッションを通して、合意醸成を行います。

インシデント

TTXの世界では様々なインシデントが発生しました。

  • Nicelandで開催される国際的なスポーツイベントの公式サイトが改ざん
  • Nicelandの経済関連の省庁でマルウェア感染&情報流出
  • Nicelandの半導体の大企業でマルウェア感染&情報流出
  • Niceland北部で大地震発生。災害時に発報されるSMSを騙ったデマ情報が住民へ通知

大きいものを挙げると上記なのですが、それぞれに付随してこまごまインシデントが起こります。

資料には、単なる説明文だけではなく、当該イベントに関連する新聞記事だとか、ツイートだとかも載っていました。

f:id:cdi-yhashimoto:20181221164621p:plainf:id:cdi-yhashimoto:20181221164604p:plainf:id:cdi-yhashimoto:20181221164551p:plain

もちろんこれらはTTX用に準備した架空のものです。

レスポンス

冒頭で述べた通り、技術的というよりは、意思決定の仕方に重きがおかれた設問でした。

公式サイト改ざんの件だと、

  • 「改ざん内容がSauroniaに対して差別的な内容だったので、Sauroniaに対してどの立場の人がどのような説明をするか」

とか、

省庁のマルウェア感染の件の場合、

  • 「マルウェアを開いてしまった職員に処罰を与えるべきかどうか」、
  • 「どの機関を通してマルウェア感染の事実を公表するべきか」

など。

講評

TTXの振り返りでした。出てきたインシデントをお浚いしながら、(元ネタ、というわけではないですが)現実世界で起こった類似のインシデントが紹介されました。

評価としては、クリエイティブでいい意味で面白い回答があり、全チーム「good job」だそうです。

感想

インシデントハンドリングの机上訓練は以前にやったことがあるのですが、このセッションでやったような国家レベルのインシデントを想定したものは初めてで新鮮でした。 対外発表をどうするかとか、普段とは違う視点で答えを出さなければならなかったりと、現職で今後直接役立つかどうかはさておき、なかなか面白かったです。

おまけ

会場への道すがら撮った台湾らしい?写真です。あれだけの数の単車が横並びで事故らないんでしょうか。

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.