10月27日午前1時過ぎ、 Viettel Cyber Security Company(VCS)の明るく照らされた部屋で、VCSチームの14人のメンバーは歓喜に沸いた。チームは世界最大かつ最も権威のあるサイバー攻撃コンテスト「Pwn2Own 2023」で優勝したのだ。
これは、チーム全員が3か月間、昼夜を問わず継続的に取り組んだ結果であるだけでなく、 世界中の最強の対戦相手と粘り強く競争した結果でもあります。
これは、チームの最年少メンバーであり、現在ハノイ工科大学(VNUハノイ)の3年生である2003年生まれのDo Anh Dungさんにとって、初めての甘いご褒美というだけではありません。
数年連続でこのトーナメントで運試しをしてきた Ngo Anh Huy、Nguyen Xuan Hoang、Nguyen Hong Quang などのメンバーにとっては、大会でトップに立つことだけが目的ではありません。
また、最も権威のある世界大会の一つでベトナムがトップの座を獲得したことは輝かしい成果であり、情報セキュリティと安全性の分野におけるベトナム人の能力を証明するものとなった。
そして何よりも重要なのは、 Viettelが長年にわたり着実に蒔いてきた種から実った「甘い果実」であるということです。今日、VCSとその情報セキュリティ専門家チームのおかげで、Viettelは情報セキュリティと安全機能において世界をリードする企業の一つであると誇りを持って主張できます。
Pwn2Own 2023で優勝したVCSチームの14名のメンバーは全員とても若いです。メンバーの大半は90年代生まれで、最年少は2003年生まれです。
しかし、チームメンバーのほとんどは、情報セキュリティ分野で長年の経験と豊富な実績を誇ります。チーム最年少のド・アン・ユンでさえ、その実力を発揮しています。ユンは今回の大会で奇跡を起こし、ある部門で優勝を果たし、チーム全体の成績に貢献しました。
10月27日夜に最終競技部門が終了し、Viettel Cyber Security(VCS)のチームがMaster of Pwnポイント30点で公式に優勝を果たし、2位のチームに12.75ポイントの大差をつけました。
この見事なスコアにより、VCS は、Sea Security (シンガポール)、Vupen、Synacktiv (フランス)、Devcore (台湾 - 昨年の優勝者) など、トーナメント優勝の有力候補と目されていた多くの海外のライバルを抑え、優勝タイトルを獲得しました...
大会準備中の課題について、VCSチームメンバーのハ・アン・ホアン氏は次のように語りました。「大会の3ヶ月前まで、主催者は習得すべき機材のみを発表していました。そのため、チームが研究に必要な機材を購入できたのは3ヶ月間だけで、準備期間はわずかでした。多くの機材を海外から輸入する必要があり、ベトナムに到着するまでに数ヶ月かかりました。」
チームのもう一人の選手、グエン・スアン・ホアンは、「この大会には長年参加している選手たちがいます。彼らは豊富な経験を持ち、 経済的にも専門的にも非常に強い選手たちです。VCSチームは、今年の大会で最高の成功を収めるために、万全の準備、団結、そして適切な戦略をもって大会に臨む決意です。」と述べています。
ホアン氏はさらに、昨年のVCSチームはこの大会で優勝チームにわずか2.5ポイント差で僅差の2位を獲得したと語りました。そのため、チームは今年こそ優勝を目指す決意を固めています。
しかし、優勝への道は簡単ではありません。この競争の攻撃対象は、Microsoft、Apple、Google、Samsungなど大手メーカーの、世界中で人気のデバイスやソフトウェアです…とNguyen Xuan Hoang氏は語りました。
競争の要件を満たすために、この装置は米国から注文しなければならなかったが、米国市場に適した110Vの電源を使用していたのに対し、ベトナムでは220Vの電気が使用されていたため、一瞬の不注意で故障してしまった。
このコンテストに4回参加したメンバーのゴ・アン・フイ氏によると、チームの最大の懸念は、脆弱性の重複、あるいはメーカーがチームが登録したセキュリティ上の欠陥をすぐに修正してしまうことだという。昨年、Viettelチームは脆弱性の重複によりペナルティを受け、2位に終わった。
さらに、ビザ手続きの遅延により、チーム全員がトロント(カナダ)への渡航に間に合わず、土壇場で問題が発生しました。VCSチームの14名のメンバーは、試合中に解決できないかもしれない潜在的な問題を常に心配しながら、オンラインで試合に臨まざるを得ませんでした。
しかし、最終結果はそれを物語っています... VCS チームは優勝しただけでなく、見事な勝利も達成しました。
「最終的なトップ10部門で優勝したとき、チーム全体が歓喜と幸せでいっぱいになりました。この選手権は疑う余地のない、納得のいく勝利であることを証明できたからです」と、グエン・スアン・ホアンさんは誇らしげにその瞬間を振り返った。
VCSチームは4年連続でPwn2Ownに参加し、ついに初めてPwn2Ownチャンピオンシップトロフィーを獲得しました。これは、サイバーセキュリティ団体Zero Day Initiativeが年に2回開催するソフトウェアおよびコンシューマーエレクトロニクスのハッキングコンテストで、現在世界で最も過酷なサイバーセキュリティコンテストの一つとされています。
VCSディレクターのグエン・ソン・ハイ氏は、2020年にViettelがこの「コンペティション」でスマートテレビ部門で初優勝を果たしたと述べた。2021年にはトップ5入りを果たし、2022年には2位を獲得。そして今年は、圧倒的なスコアで優勝の座を獲得した。
Pwn2Ownのコンテストには、世界的に著名なサイバーセキュリティチームだけでなく、大手グローバルメーカーやテクノロジー企業も参加しています。各コンテストでは、Windowsオペレーティングシステム、Apple、Xiaomi、Samsungのスマートフォン、Canon、HPのプリンターなど、人気のソフトウェアやハードウェアデバイスに関する課題が出題されます。
チームは、ソフトウェアやデバイスのこれまで知られていなかったセキュリティ上の脆弱性を見つけるために競い合い、30 分以内にそれらの脆弱性を悪用する方法をライブで実演する必要があります。
「競合相手は他のセキュリティ専門家グループだけでなく、Apple、Xiaomi、Canon、TP-Linkといったデバイスメーカーも含まれると言えるのは、自社のデバイスに脆弱性があると非難され、顧客の信頼を失うことを嫌がるからです。これらのデバイスサプライヤーは必ずセキュリティチームを擁しており、競争が始まる前に製品のバグを修正するために多額の費用を投じ、世間の目から自社製品の評判を落とさないようにしています」と、VCSチームのメンバーであるグエン・ホン・クアン氏はトゥイチェー紙に語った。
そのため、問題が公開された瞬間から最後の瞬間まで、競争は熾烈なものとなります。チームが欠陥を発見したとしても、開発者が競技当日の直前に予期せず修正を加え、いずれかのチームがこれまでの努力と成果をすべて失ってしまう可能性も十分にあります。
そのため、「公演時間が近づくにつれ、発見した脆弱性がまだ存在しているかどうかを『監視』するために昼夜交代制に分かれ、プロデューサーが発見したバグを修正したかどうかを注意深く確認する必要がありました」と、VCS チームのベテラン Pwn2Own プレイヤーである Ngo Anh Huy 氏は語ります。
2023年のPwn2Ownトロント大会はハードウェアに重点を置き、携帯電話、スマートスピーカー、監視システム、ネットワークストレージシステム、オフィス機器などのカテゴリーが設けられています。各カテゴリーの賞金は3万ドルから10万ドルで、デバイスのハッキング難易度とハッキングデモの完成度に応じて2ポイントから10ポイントが付与されます。
報酬とポイントの両方の点で最も価値のある賞品は、最終カテゴリーのマッシュアップです。このカテゴリーでは、チームはコンテストで提供されたネットワーク ルーターの 1 つでエクスプロイト コードを実行し、前述のカテゴリーのデバイスを攻撃する必要があります。賞金は 10 万ドルと 10 ポイントです。
VCS チームは、個別のタスクを完了し、Xiaomi 13 Pro 電話、QNAP TS 464 ストレージ システム、Canon imageClass MF753Cdw プリンター、Sonos Era 100 スピーカーへの攻撃に成功したことで 20 ポイントを獲得し、対戦相手の Sea Security が個別のタスクと複合タスクの両方を完了しても 17.25 ポイントしか獲得できなかったため、優勝をほぼ確保しました。
激しい競争のプレッシャーは和らいだものの、最終カテゴリーはVCSのエンジニアたちを依然として苦しめている。昨年、マッシュアップチャレンジでポイントを獲得できなかったことが、彼らがチャンピオンシップを逃した原因だからだ。「今回、スマッシュアップカテゴリーに出場したのですが、後半の出場枠で再び不利な状況に陥りました。前のチームと同じミスをすれば、ポイントを失うことになるからです」と、ゴ・アン・フイは語った。この重複したミスにより、VCSは昨年のPwn2Ownトーナメントで優勝チームに2.5ポイント差をつけられた。
「今年は新たな脆弱性を悪用するだけでなく、発見が非常に困難で他のチームに模倣される可能性が低い脆弱性、あるいは発見は容易だが悪用は困難で、かつ多くの代替手段が存在する脆弱性を意図的に選びました。これは、チーム全体で3ヶ月間集中的に調査した結果です」とフイ氏は述べた。
その結果、VCS チームは複合部門で完璧な 10/10 スコアを達成し、合計 30 ポイントで総合優勝を果たし、次点チームを 12.5 ポイントも大きく上回り、見事かつ完全な勝利を収めました。
「Pwn2Ownは、世界で最も普及しているデバイスを使用し、厳格なテスト手順を備えた大手メーカーが参加するコンテストなので、自分たちのスキルを試す場として選びました」と、VCSディレクターのグエン・ソン・ハイ氏は述べた。「専門の研究チームに投資し、国際的な舞台で自分たちのスキルを試すことは、VCSの人材育成への取り組みの一環です。」
VCS チームの Pwn2Own 2023 チャンピオンシップへの道のりは、長い努力の集大成であり、情報セキュリティ分野における Viettel Group のリーダーシップという長年のビジョンの鮮明な証です。
10年以上前、VCSディレクターのグエン・ソン・ハイ氏が現在のPwn2Own 2023チャンピオンシップチームのメンバーと同じ年齢だった頃、Viettelグループの経営陣は情報セキュリティ分野への投資を決意していました。
新しい分野の最初の種は、Viettel によって早くから蒔かれ、体系的かつ戦略的な投資と配慮を受けました。
VCSの徹底的な調査研究は創業当初から始まり、当初はわずか6名が情報セキュリティに取り組んでいました。2011年以降、VCSチームはViettelグループ内の各部門を対象に模擬攻撃を実施し、セキュリティ上の脆弱性を特定してきました。
「私たちは重要なインフラを運営しているため、Viettelのビジョンはサイバーセキュリティを基盤として研究することです」とソン・ハイ氏は述べた。「サイバーセキュリティにおいて最も重要な要素は人です。世界最高の製品を使用していても、エンドユーザーとしてのみ使用する場合、攻撃のリスクは依然として非常に高く、一方、Viettelのモバイルサービスやインターネットサービスのような重要なインフラは、世界最大級のグループによる攻撃の標的となっています。」
VCSは、重要インフラを守る専門家チームを構築するため、世界水準の能力を持つサイバーセキュリティ人材の育成を目指しています。2015年から現在までに、ViettelとVCSは450人の学生を育成し、そのうち最も適任の候補者の5%が採用され、現在も業務を継続しているとハイ氏は述べています。
「専門家チームを編成し、綿密な研究に体系的に投資した後、VCS専門家チームの攻撃スキル向上のための投資方法を模索し続けています。世界レベルの大会への参加もこの目標達成に向けたものです」とグエン・ソン・ハイ氏は述べた。
2013年、VCSはゼロデイ脆弱性(未知で未修正の脆弱性であり、そのため悪用コストが最も高い脆弱性)の調査を開始しました。Anh HuyとHong Quangは、この調査に最初に着手した専門家の一人です。2015年までにVCSチームは最初の脆弱性を発見し、現在までにVCSが発見した脆弱性の数は400件に達しています。
「ベトナムの企業でこのような数字に達した例はなく、世界でもそう多くはない」とハイ氏は述べた。
綿密な研究への参加を通じてトレーニングを受ける機会こそが、Pwn2Ownで最優秀賞を受賞したばかりのサイバーセキュリティ専門家にとって、VCSが魅力的な職場である理由です。Viettelを選んだ理由を尋ねられたアン・フイ氏は、「私の経験から言うと、サイバーセキュリティの研究と研究チームに長期的な投資をしたいと思う企業は多くありません」と答えました。
「特にサイバーセキュリティの分野では、人的要素が最も重要な要素です。そのため、VCSは常にチームのトレーニングとスキルアップに努め、常に国際レベルの課題に取り組む準備が整った、優秀な人材を次世代に育成することに注力しています」と、VCSディレクターのグエン・ソン・ハイ氏は強調しました。
授賞式で、Viettelグループの会長兼CEOであるタオ・ドゥック・タン氏は、チームメンバーのコンテスト参加を祝福し、Viettelの「ホワイトハットハッカー」たちへの誇りを表明しました。彼は次のように述べました。「Viettelは、VCSチームが、大規模な研究開発部門を持つ世界有数の機器メーカーと『競い合い』、世界的なサイバーセキュリティ分野で権威ある賞を受賞したことを誇りに思います。」
Viettelグループのトップは、「Pwn2Ownは、どんなハッカーにとっても非常に難易度の高い、権威あるコンテストです。このコンテストは、世界トップクラスの情報セキュリティチームを擁し、最後の瞬間までハッカーへの反撃に備えたメーカーとの『戦い』に例えられます。年齢制限はなく、多国籍企業との協力関係を築くことさえ可能です」と評価しました。そのため、タオ・ドゥック・タン会長は、「Pwn2Own 2023での優勝は、Viettelとベトナムに国際舞台での栄光をもたらした」と誇らしげに語りました。
カオ・ドゥック・タン会長はまた、サイバーセキュリティの分野は広大であり、ベトテルの専門家にとっては長い道のりであり、多くの課題が待ち受けていることを認めた。
「トップの地位を維持するのは容易なことではない。だからこそ、我々は技術を磨き続け、大きな夢を持ち、その夢を現実のものにすべく絶えず努力し、ベトナムを世界に知らしめなければならない」とタオ・ドゥック・タン氏は強調した。
Viettelグループの会長はまた、今後、同グループが人材を育成するための具体的な方針を策定し、人材が安心して仕事に専念できるようにしていくと語った。
VCS に任務を割り当てるにあたり、タオ・ドゥック・タン氏は、VCS はさらに多くのセキュリティ専門家の育成を継続し、企業だけでなく国家にも貢献し、サイバー空間で国家を守るために、最高の基盤を備えた次世代の育成に重点を置く必要があると強調しました。
![[写真] ルオン・クオン大統領がヨルダン下院議長マゼン・トルキ・アル・カディ氏を歓迎](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2026%2F02%2F03%2F1770112220330_ndo_br_1-3704-jpg.webp&w=3840&q=75)
コメント (0)