10月27日午前1時、まだ明るいViettel Cyber Security Company(VCS)の部屋で、VCSチームの14人のメンバーが喜びを爆発させた。チームは世界最大かつ最も権威のあるサイバー攻撃コンテスト「Pwn2Own 2023」で優勝したのだ。
これは、チーム全員による3か月間の昼夜を問わない継続的な作業と、世界中の最強の対戦相手との粘り強い競争の期待された結果だけではありませんでした。
これは、チームの最年少メンバーであり、現在工科大学(VNU)の3年生である2003年生まれのDo Anh Dungにとって、初めての甘い果実というだけではありません。
数年にわたってこのトーナメントに挑戦してきた Ngo Anh Huy、Nguyen Xuan Hoang、Nguyen Hong Quang などのメンバーにとっては、大会で最高位に到達することだけが目的ではありません。
また、世界で最も権威のあるコンテストの一つでベトナムに最高位をもたらし、情報セキュリティと安全性の分野におけるベトナム人の能力を証明できたことは光栄です。
そして何よりも、これはViettelが長年かけて丹念に蒔いてきた種から実った「甘い果実」です。今日に至るまで、VCSと情報セキュリティの専門家チームを擁するViettelは、情報セキュリティと安全能力において世界をリードする企業の一つであることを誇りに思っています。
Pwn2Own 2023で優勝したVCSチームの14名のメンバーは皆とても若いです。メンバーのほとんどは9x世代で、最年少のメンバーは2003年生まれです。
しかし、チームメンバーのほとんどは長年「戦い」続けており、情報セキュリティと安全の分野で豊富な経験と実績を誇ります。チーム最年少のド・アン・ユンでさえ、既に自らの実力を証明しています。ユンこそが、この大会で奇跡を起こし、チーム全体の総合成績に貢献するカテゴリーで優勝を果たした人物なのです。
10月27日夜の最終ラウンド終了時点で、Viettel Cyber Security(VCS)のチームがMaster of Pwnポイント30を獲得して公式に最高勝利を収め、2位チームとの差は12.75ポイントに縮まりました。
この見事なスコアにより、VCS は、Sea Security (シンガポール)、Vupen、Synacktiv (フランス)、Devcore (台湾 - 昨年の優勝チーム) など、大会優勝の有力候補と目される多くの海外の対戦相手を相手に、優勝のタイトルを獲得しました...
VCSチームメンバーのハ・アン・ホアン氏は、大会準備中の課題について、「大会の3ヶ月前に、組織委員会が参加予定の機材を発表しました。そのため、準備期間はわずか3ヶ月でした。当時、チームは調査用の機材を購入したばかりだったからです。多くの機器を海外から輸入する必要があり、ベトナムに到着するまでに丸1ヶ月もかかりました。」と述べました。
チームメンバーのグエン・スアン・ホアン氏は、「このコンテストには長年参加している選手たちがいます。彼らは豊富な経験を持ち、経済的にも専門的にも非常に強い選手たちです。VCSチームは、今年のコンテストで最高の成功を収めるためには、入念な準備、団結、そして適切な競争戦略を持ってコンテストに臨む必要があると判断しました」と述べています。
ホアン氏は、昨年のこの大会でVCSチームは優勝チームにわずか2.5ポイント差で僅差の2位を獲得したと付け加えた。そのため、チームは今年こそ優勝を目指す決意だ。
しかし、優勝への道は簡単ではありません。このコンテストの攻撃対象は、Microsoft、Apple、Google、Samsungなど大手メーカーの、世界中で人気のデバイスやソフトウェアばかりです... - Nguyen Xuan Hoang氏は語りました。
コンテストの要件を満たすため、デバイスは米国から注文する必要があったが、米国市場に適した110Vの電源を使用していたのに対し、ベトナムでは220Vが使用されていたため、ほんの一瞬の不注意でデバイスが「壊れて」しまった。
このコンテストに4回参加しているメンバーのゴ・アン・フイ氏によると、チームの最大の懸念は、重複エラーや、メーカーがチームが登録したセキュリティホールを修正する時間がないことだという。昨年、Viettelチームは脆弱性が重複していたため減点され、準優勝に終わった。
それだけでなく、ビザの遅延により、チーム全員がトロント(カナダ)へ渡航して現地で競技に参加することが不可能になり、直前に課題が持ち上がりました。VCSチームの14名のメンバーは、競技中に解決できない可能性のある問題を懸念しながら、オンラインで競技に参加するしかありませんでした。
しかし、最終結果がすべてを物語っています…VCS チームは勝利しただけでなく、見事な勝利を収めました。
「最終の最高ポイント10部門で優勝したとき、チーム全員が喜びと幸せでいっぱいになりました。この選手権が疑う余地なく、納得のいく勝利であることを証明できたからです」と、グエン・スアン・ホアンは誇らしげにその瞬間を振り返りました。
VCSチームは過去4年間継続的にPwn2Ownに参加し、初のPwn2Ownチャンピオンシップを獲得しました。これは、サイバーセキュリティ団体Zero Day Initiativeが年に2回開催するソフトウェアおよびコンシューマーエレクトロニクス攻撃コンテストで、現在世界で最も「難しい」サイバーセキュリティコンテストの一つです。
VCSディレクターのグエン・ソン・ハイ氏は、2020年にViettelがスマートテレビ部門でこの「遊び場」で初優勝を果たしたと述べた。2021年にはトップ5入りを果たし、2022年には2位につけ、そして今年は圧倒的なスコアで優勝を果たした。
Pwn2Ownには、世界的に有名なサイバーセキュリティチームだけでなく、世界中の大手メーカーやテクノロジー企業も参加しています。各試験では、Windowsオペレーティングシステム、Apple、Xiaomi、Samsungのスマートフォン、Canon、HPのプリンターなど、人気のソフトウェアやハードウェアデバイスに関する問題が出題されます。
チームはソフトウェアやデバイスの未知のセキュリティ脆弱性を見つけるために競い合い、30 分以内にそれらの脆弱性を実際に悪用する実例を実演する必要があります。
「競合相手は他のセキュリティ専門家グループだけでなく、Apple、Xiaomi、Canon、TP Linkといったデバイスメーカーも含まれると言えるのは、自社のデバイスに脆弱性があることが知られ、顧客の信頼を失うことを嫌がるからです。これらのデバイスサプライヤーは必ずセキュリティチームを擁しており、製品の評判が世間の前で損なわれないよう、競争が始まる前に製品のバグを修正するために多額の費用を投じる用意があります」と、VCSチームのメンバーである専門家のグエン・ホン・クアン氏はTuoi Tre氏に語った。
そのため、開幕から最後まで熾烈な競争が繰り広げられます。なぜなら、チームが発見した脆弱性が、競技当日直前にメーカーによって予期せず修正され、チームがこれまでの努力と成果をすべて無駄にしてしまう可能性も十分に考えられるからです。
そのため、「本番が近づくにつれて、発見した脆弱性がまだ存在しているかどうかを「監視」するために昼夜を問わず作業する必要があり、発見したバグが修正されたかどうかを製造元が注意深く監視する必要がありました」と、VCS チームの経験豊富な Pwn2Own プレイヤーである Ngo Anh Huy 氏は語ります。
Pwn2Own 2023 トロント大会は、携帯電話、スマートスピーカー、監視システム、ネットワークストレージシステム、オフィス機器などのハードウェアに焦点を当てています。各カテゴリーの賞金は3万ドルから10万ドルで、スコアはデバイスの難易度と攻撃デモの完成度に応じて2ポイントから10ポイントの範囲で付与されます。
賞金とポイントの両方で最も価値があるのは、最後のカテゴリーであるマッシュアップです。このカテゴリーでは、チームは競技会で指定されたネットワーク ルーターの 1 つでエクスプロイト コードを実行し、前述のカテゴリーのデバイスを攻撃する必要があります。賞金 10 万ドルと 10 ポイントが獲得できます。
VCSチームは、個人部門を終え、Xiaomi 13 Pro電話、QNAP TS 464ストレージシステム、Canon imageClass MF753Cdwプリンター、Sonos Era 100スピーカーへの攻撃に成功し、20ポイントを獲得しました。対戦相手のSea Securityは、すべての個人部門と複合部門を完了した後、わずか17.25ポイントしか獲得しなかったため、優勝はほぼ確実でした。
競争のプレッシャーはもはやそれほど大きくないものの、VCSのエンジニアたちは決勝戦のカテゴリーを依然として苦悩させています。マッシュアップ部門でのポイント不足が、昨年チームが優勝を逃した原因だからです。「今回、スマッシュアップ部門に出場しても、次のラウンドの抽選で不利な状況が続いています。前のチームと同じ抜け穴があれば、ポイントが減点されてしまいます」と、ゴ・アン・フイ氏は語りました。この重複ミスにより、VCSは昨年のPwn2Ownで優勝したチームから2.5ポイント差をつけられました。
「今年は新たな脆弱性を悪用するだけでなく、発見が非常に困難で他のチームと重複しにくい脆弱性、あるいは発見は容易だが悪用が難しい脆弱性を意図的に選び、さらに多くのバックアッププランも用意しました。これは、チーム全体で3ヶ月間集中的に調査した結果です」とフイ氏は述べた。
その結果、VCSチームは複合部門で10/10ポイントを獲得し、合計スコア30で総合優勝を果たし、次点を12.5ポイント上回り、見事に完全勝利を収めました。
「Pwn2Ownをコンテストの参加先に選んだのは、世界で最も普及しているデバイス、そして厳格なテストプロセスを備えた大手メーカーのデバイスを使ったコンテストだからです」と、VCSのディレクターであるグエン・ソン・ハイ氏は述べています。「専門の研究チームに投資し、国際的な舞台で競うことは、VCSの人材育成への取り組みの一環です。」
VCS チームの Pwn2Own 2023 チャンピオンシップへの道のりは、長い旅路の成果であり、遺産であり、情報セキュリティ分野における Viettel グループのリーダーたちの何年も前のビジョンの鮮明な実証です。
10年以上前、VCSディレクターのグエン・ソン・ハイ氏がまだPwn2Own 2023チャンピオンシップチームのメンバーと同じ年齢だった頃、Viettelグループのリーダーたちは情報セキュリティ分野への投資を決意していました。
すぐに、新しい畑の最初の種が植えられ、Viettel によって体系的かつ戦略的な方法で管理されました。
VCSの徹底的な調査研究は設立当初、情報セキュリティに携わっていたのはわずか6人でした。2011年以降、VCSチームはViettelグループ内の各部門を対象に模擬攻撃を実施し、セキュリティ上の問題点を明らかにしてきました。
「Viettelは重要なインフラを運用しているため、ネットワークセキュリティを柱とする研究ビジョンを持っています」とソン・ハイ氏は述べています。「ネットワークセキュリティにおいて最も重要な要素は人です。世界最高の製品を使用していても、エンドユーザーとしてのみ使用する場合、攻撃を受けるリスクは依然として非常に高く、モバイルやインターネットといったViettelの重要なインフラは、世界最大級のグループによる攻撃の標的となっています。」
VCSは、重要インフラを守る専門家チームを育成するため、世界水準のサイバーセキュリティ人材の育成を目指しています。2015年から現在までに、ViettelとVCSは450人の学生を育成し、そのうち最も適任の5%が採用され、現在も業務を継続しているとハイ氏は述べています。
「専門家チームを編成し、徹底的な研究に投資した後、VCSの専門家チームの攻撃スキルを向上させるための投資方法を模索し続けています。世界レベルの大会への参加もこの目的のためです」とグエン・ソン・ハイ氏は述べた。
VCSは2013年、未知でパッチ未適用のため最も調査費用がかさむゼロデイ脆弱性の研究を開始しました。Anh Huy氏とHong Quang氏は、その最初の専門家の2人です。2015年までにVCSチームは最初の脆弱性を発見し、現在までにVCSが発見した脆弱性の数は400件に達しています。
「ベトナムの企業でこれほどの数字に達した例はなく、世界でもそう多くはない」とハイ氏は述べた。
綿密な研究への参加を通じて研修を受ける機会こそが、Pwn2Ownで優勝したばかりのサイバーセキュリティ専門家にとってVCSが魅力的な職場となっている理由です。Viettelを選んだ理由を尋ねられたアン・フイ氏は、「私の経験から言うと、サイバーセキュリティの研究と研究チームに長期的な投資をしたいと思っている企業は多くありません」と答えました。
「特にサイバーセキュリティの分野では、人的要因が最も重要です。そのため、VCSは常にトレーニング、チームの改善、そして国際的な問題に常に対応できる次世代の優秀なスタッフの育成に注力しています」と、VCSのグエン・ソン・ハイ所長は強調しました。
コンテストに参加したチームメンバーを称え、祝福する式典で、Viettelグループの会長兼ゼネラルディレクターであるタオ・ドゥック・タン氏は、Viettelの「ホワイトハットハッカー」たちへの誇りを表明しました。彼は次のように力説しました。「Viettelは、VCSチームが、大規模な研究開発部門を持つ世界有数の機器メーカーと『競い合い』、グローバルネットワークセキュリティ分野で権威ある賞を受賞したことを誇りに思います。」
Viettelグループのトップは、「Pwn2Ownは、どんなハッカーにとっても非常に難易度の高い、権威あるコンテストです。このコンテストは、世界トップクラスの情報セキュリティチームを擁し、最後の瞬間までハッカーに対応する準備ができているメーカーとの『戦い』に例えられます。年齢制限のないゲームで、多国籍協力が必要になることもあります...」と評価しました。そのため、タオ・ドゥック・タン氏は、「Pwn2Own 2023チャンピオンシップは、Viettelとベトナムを国際舞台で有名にしました」と、同グループ会長は誇らしげに語りました。
タオ・ドゥック・タン会長はまた、サイバーセキュリティの分野は広大であり、ベトテルの専門家にとっては長い道のりであり、多くの課題が待ち受けていることを認めた。
「トップ1の地位を維持するのは容易なことではない。だからこそ我々はさらに努力を続け、大きな夢を持ち、常に夢を現実に変えてベトナムを世界に広めたいと願う必要がある」とタオ・ドゥック・タン氏は強調した。
Viettelグループの会長はまた、今後、同グループは優秀な人材を育成するための具体的な方針を策定し、彼らが自信を持って仕事に専念し続けられるようにしていくと語った。
VCS にこの任務を委ねたタオ・ドゥック・タン氏は、VCS はさらに多くのセキュリティ専門家の育成を継続する必要があり、企業だけでなく国家に貢献し、サイバー空間で国家を守れるよう、最高の基盤を備えた次世代を育成することを決意していることを強調しました。
コメント (0)