NCISのハッキングシーンは誰もが知っている。薄暗い科学捜査研究所で働くアビー・スキューット(ポーリー・ペレ)とティモシー・マギー(ショーン・マレー)は、捜査情報を盗み出そうとするサイバー犯罪者を避けなければならない......。
NCISのハッキングシーンは誰もが知っている。薄暗い科学捜査研究所で働くアビー・スキューット(ポーリー・ペレ)とティモシー・マギー(ショーン・マレー)は、捜査情報を盗み出そうとするサイバー犯罪者を避けなければならない。
底知れぬ技術の奔流の中で(彼はファイアウォールを焼かれた!?DODレベル9の暗号化です!(笑)と、2人は反撃に転じた。やがて、2人は同じキーボードを同時に打つようになった。これは、言葉は悪いですが、ばかげたことです。
座ってください、聴いています。
これらのシーンは、テレビや映画におけるハッキングの描写のあらゆる問題点に焦点をあてています。遠くのコンピュータシステムに一瞬で侵入し、意味のないさまざまな緑色のテキストとランダムなポップアップウィンドウを伴います。
現実はそんなに劇的なものではありません。ハッカーや正規の侵入テスト担当者は、標的とするネットワークやシステムを理解するために時間をかけています。ネットワーク・トポロジーをはじめ、使用されているソフトウェアやデバイスを調べようとするのです。そして、その資源をどう活用するかを考えるのです。
NCISで描かれたようなリアルタイムのハッキング対策は忘れてください。セキュリティチームは、外部に面したすべてのシステムにパッチが適用され、正しく設定されていることを確認することで、防御に専念することを好みます。万が一、ハッカーに侵入されても、自動化されたIPS(侵入防御システム)やIDS(侵入検知システム)で被害を食い止めることができる。
このような自動化が存在するのは、ターゲットとなる攻撃が割合的に少ないからです。むしろ、本質的に日和見主義者なのです。誰かが、インターネット上で明らかな脆弱性を検索し、スクリプト攻撃で悪用できるようなサーバーを設定するかもしれません。大量に発生するため、人手で対処するのは不可能です。
人々の関与の大部分は、セキュリティ侵害が発生した後に起こります。この手順には、侵入経路の特定を試み、繰り返し使用されないようにシャットダウンすることも含まれます。また、インシデント対応チームは、どのような被害が発生したのか、どのように修復すればよいのか、対処すべき規制遵守の問題はないのかなどを確認します。
会社のIT機器の説明書を読み込んだり、サーバーのファイアウォールを設定したりする姿を誰が見たいでしょうか。
キャプチャフラグ(ctf)
ハッカーはリアルタイムで戦うこともあるが、それは戦略的な目的ではなく、「小道具」のためであることがほとんどだ。
CTF(キャプチャー・ザ・フラッグ)競技の話です。これらは通常、BSIDEなどの情報セキュリティ・カンファレンスで行われます。そこでは、ハッカーが仲間と競い合いながら、決められた時間内に課題をクリアしていくのです。チャレンジに勝てば勝つほど、ポイントが増える。
CTFの大会には2種類あります。レッドチームのイベントでは、ハッカー(またはそのチームの1人)は、アクティブな防御を持たない特定のシステムへの侵入を成功させようとします。異議申し立てとは、試合前に導入される保護措置のことです。
第2試合は、赤組と青組の対戦。赤チームはターゲットシステムへの侵入に成功すれば得点となり、青チームはその攻撃をいかに効果的にかわすかで判定される。
課題はインシデントごとに異なりますが、多くの場合、セキュリティ専門家が日常的に使っているスキルをテストするように設計されています。これには、プログラミング、システムの既知の脆弱性の悪用、リバースエンジニアリングなどが含まれます。
CTFのイベントは競争率が高いですが、敵対することはほとんどありません。ハッカーは生来、好奇心旺盛で、自分の知識を他人と共有することを厭わない人が多い。そのため、対戦相手や観客が、相手の役に立つ情報を共有することも少なくない。
ロングレンジCTF
もちろん、これは筋書き通りのことだ。今回は、COVID-19の影響で2020年の対面式安全大会がすべて中止・延期になるという内容です。ただし、避難所や社会的距離のルールを守りながら、CTFイベントに参加することは可能です。
CTFTimeのようなサイトでは、今後開催されるCTFのイベントを集約しています。さすがに対面式のイベントだけあって、競争率の高いものが多く、CTFTimeでは成功したチームのランキングを紹介しているほどです。
やり直すまで待つという方は、別途ハッキングチャレンジに参加することも可能です。Root Meのウェブサイトでは、ハッキングの限界を試すさまざまなチャレンジが用意されています。
また、個人のパソコンでハッキング環境を作ることに抵抗がなければ、DVWA(Damn Vulnerable Web Application)という選択肢もあります。その名の通り、このWebアプリケーションは意図的にセキュリティの脆弱性をはらんでおり、潜在的なハッカーが安全かつ合法的に自分のスキルを試すことができるようになっています。
ルールはただひとつ、キーボード1個分の値段で2個を購入することです。
