ハッカーといえば、他人のパソコンに不正侵入しサイバー犯罪を起こすという悪いイメージとして認識されがちですが、実際そうとは限りません。ハッキングに関する高度な知識や技術を持ち、悪質なサイバー攻撃を食い止める「ホワイトハッカー」について聞いたことのある方も多いでしょう。

当社のセキュリティ検証部（Security Validation Department）は2022年8月11日~14日にかけてラスベガスで開催された世界最大のハッカーイベント「DEF CON」に初めて参加してきました。「DEF CON」はどのようなイベントなのかについて、そしてイベント当日の様子をレポートにてお届けしたいと思います。

DEF CON（デフコン）とは

今回のイベントは新型コロナウイルスの影響で2019年以来3年ぶりのオフライン開催となりました。「DEF CON」の独特なところは、取り扱う分野ごとにVillageと呼ばれるエリアが設置され、各Villageではそれぞれのテーマに即したハッキングコンテスト、展示、ディスカッションなどが行われるということです。会場ではAerospace Village, Car Hacking Village, Biohacking, Physical Securityなど様々なVillageが設置されていました。

「DEF CON」は世界最大規模のハッキング大会でもあります。CTF（Capture the Flag）大会では、世界中のハッカーたちが集まり、ハッカーのセキュリティ知識や技術、経験を駆使しながらプログラムやWebシステムに隠されているFlagの手掛かりを探し、時間内に答えを出すという形式で行われます。世界中の優秀なハッカーたちが難易度の高い問題に対してどのように解決していくのだろうかを予測しながら観戦するのも、「DEF CON」を楽しむ一つの方法です。

各Villageで行われる様々なトークセッションも人気で、最新技術や業界の動向に関する情報収集のためにたくさんの来場者が訪れます。今回は「Tools and Techniques to Prevent Insider Threats and Help Aid Internal Investigators」というテーマで、内部不正対策として社内セキュリティ担当者に役立つツールや最新技術について論じる場となりました。セキュリティ業界で人材不足問題が深刻化している中、今後セキュリティ専門家の育成やセキュリティリスクを事前に想定し予防措置を講じていくことは企業にとってさらに重要な課題になると思われます。

アウトクリプト、DEF CONに初参加

トークセッションでは、チームリーダーであるソン・ジョンヒョク氏が登壇し「車載イーザネットファジング（Automotive Ethernet Fuzzing）」をテーマに、ECUにおけるSOME/IPファジング方法について発表しました。車載イーザネットの場合既存プロトコルに代わる大容量ネットワークとして注目されている中、現在のところではまだ車載イーザネットに対する十分なテストが行われていないことが指摘されています。ソン・ジョンヒョク氏は自動車開発の早期段階でセキュリティを強固にできる一つの方法として車載プロトコルのSOME/IPサービスにファジングを行うプロセスとファジングの仕組みやメリットについて説明しました。

昨今、サイバーセキュリティにおける国際標準や規制強化が進む一方、OEMやTier1など自動車業界はそれに追いつかないのが現状です。グローバル自動車メーカーや部品メーカー等を対象としたある調査では、自動車サイバーセキュリティ関連規制への対応策に取り組んでいると答えた企業は、全体の約6%に過ぎないという結果も出ています。セキュリティの重要性を認識したうえで、セキュリティを構築していくことが、今後自動車業界に求められる最も重要な課題になるでしょう。

「DEF CON」の本選進出及び国内外のハッキング大会経験のある実力あるメンバーばかりで構成されたアウトクリプトのレッドチームは、自動車のシステムにどのような脆弱性があるのかをハッカーの観点からチェックし分析及び診断を行い、世界最高レベルのオフェンシブセキュリティを提供します。

ITを取り巻く環境が著しく変化しています。従来のIT環境はIoT、つまり、イントラネットを通じて全てが通信する環境に変わりつつあります。これはモビリティ業界でも同様で、自動車セキュリティの領域は単なる乗りものに対する物理的なセキュリティを超え、モビリティサービスにまで拡大していくと予測されています。今後自動車ハッキングは、EV充電、フリートマネジメントシステムなど、自動車と接続する全てのプラットフォームやサービスに対して行われるようになるでしょう。

アウトクリプトは 自動車分野における包括的かつ総合的なサイバーセキュリティを提供します。WP29が決めたサイバーセキュリティ要件を満たす体制の一環として、車載ソフトウェア専用ファズテストソリューションを提供します。「Security Fuzzer」は、車載ソフトウェア専用ファズテストツールで、自動車メーカーによって異なるエラーコードへの対応やゼロデイ脆弱性を事前に検知・分析します。 AIを活用したスマートファジングによるテストの自動化とりもー AIを活用したスマートファジングによるテストとモニタリング機能を提供し、リソース管理を効率的に進めることができます。

「Security Fuzzer」の製品詳細はこちら

 サイバー攻撃のリスクは国境を越え、人々が連携しているところであれば、どこでも発生する恐れがあります。それに対しセキュリティ対策は未だに十分に連携できていないことから、セキュリティに対する官民連携、引いては国際レベルでの議論を通じて必要な対策を講じていくことが求められるでしょう。