10月27日午前1時過ぎ、 Viettel Cyber Security Company(VCS)の明るい部屋で、VCSチームの14人のメンバーは歓喜に沸いた。チームは、世界最大かつ最も権威のあるサイバー攻撃コンテスト、Pwn2Own 2023で優勝したのだ。
これは、チーム全員が3ヶ月間昼夜を問わず働き続けた結果であるだけでなく、 世界中の最強のライバルたちと粘り強く競い合った結果でもあるのです!
これは、チーム最年少メンバーで、現在ハノイ工科大学(VNUハノイ)の3年生である2003年生まれのド・アイン・ズンにとって、初めての甘いご褒美であるだけでなく、他にも多くの喜びをもたらしてくれるでしょう!
Ngo Anh Huy、Nguyen Xuan Hoang、Nguyen Hong Quang…といったメンバーが、この大会に何年も連続で挑戦しているのは、単に大会の頂点を目指すためだけではありません!
また、世界的に最も権威あるコンテストの一つでベトナムに最高賞をもたらしたことは、ベトナム国民の情報セキュリティと安全保障分野における能力を証明する、輝かしい功績であった。
そして何よりも重要なのは、これはヴィエッテルが長年にわたり着実に蒔いてきた種から収穫された「甘い果実」であるということです。今日、VCSとその情報セキュリティ専門家チームのおかげで、ヴィエッテルは情報セキュリティと安全対策において世界をリードする企業の1つであると誇りを持って主張することができます。
Pwn2Own 2023選手権で優勝したVCSチームのメンバー14人は全員非常に若い。メンバーの大多数は90年代生まれで、最年少は2003年生まれだ。
しかし、チームメンバーのほとんどは、情報セキュリティ分野で長年の経験と豊富な実績を持っています。チーム最年少のド・アン・ズンでさえ、その実力を証明しました。ズンはこの大会で奇跡を起こし、ある部門で優勝し、チーム全体の成績にも貢献しました。
10月27日夜に最終競技カテゴリーが終了した時点で、Viettel Cyber Security (VCS) のチームがMaster of Pwnで30ポイントを獲得し、2位のチームに12.75ポイントの大差をつけて正式に優勝を確定させた。
この圧倒的なスコアにより、VCSは、Sea Security(シンガポール)、Vupen、Synacktiv(フランス)、Devcore(台湾 - 昨年の優勝チーム)など、大会優勝の有力候補と目されていた多くの国際的なライバルを抑え、優勝タイトルを獲得した。
大会準備期間中の課題について、VCSチームメンバーのハ・アイン・ホアン氏は次のように語った。「大会の3ヶ月前になって初めて、主催者側から習得すべき機材が発表されました。そのため、チームが機材を購入して練習できる期間はわずか3ヶ月しかありませんでした。多くの機材は海外から輸入する必要があり、ベトナムに到着するまでに数ヶ月かかりました。」
チームメンバーの一人、グエン・スアン・ホアン氏は、「この大会には長年参加している選手が多く、豊富な経験を持っています。また、 経済面でも専門面でも非常に強力なライバルもいます。VCSチームは、万全の準備、団結力、そして適切な戦略をもって大会に臨み、今年の大会で最高の成功を収めることを決意しています」と述べています。
ホアン氏はさらに、昨年VCSチームはこの大会で優勝チームにわずか2.5点差で惜しくも敗れ、2位になったと語った。そのため、チームは今年こそ優勝を目指す決意を固めている。
しかし、優勝への道は簡単ではありません。この大会の攻撃対象は、マイクロソフト、アップル、グーグル、サムスンなどの大手メーカーをはじめとする、世界中で人気の高いデバイスやソフトウェアです。とグエン・スアン・ホアン氏は語りました。
競技要件を満たすため、その装置は米国から発注する必要があったが、不注意により故障が発生した。米国市場に適した110Vの電源を使用していたのに対し、ベトナムでは220Vの電力が使用されているためである。
このコンテストに4回参加した経験を持つメンバー、ゴ・アン・フイ氏によると、チームが最も恐れているのは、脆弱性の重複報告、あるいはチームが登録したセキュリティ上の欠陥がメーカーによってすぐに修正されてしまうことだという。昨年、Viettelチームは脆弱性の重複報告がペナルティとなり、2位に甘んじることになった。
さらに、ビザの手続きが遅れたため、チーム全員がトロント(カナダ)での対面競技に間に合うように渡航することができず、土壇場で問題が発生した。そのため、VCSチームの14名のメンバーはオンラインで競技に参加せざるを得ず、試合中に時間内に解決できない可能性のある問題に常に不安を抱えながら戦わなければならなかった…。
しかし、最終結果がすべてを物語っている…VCSチームは優勝しただけでなく、見事な勝利を収めたのだ。
「最終トップ10部門で優勝した時、チーム全員が喜びと歓喜に包まれました。なぜなら、この優勝が疑いの余地のない、紛れもない勝利であることを証明できたからです」と、グエン・スアン・ホアンは誇らしげにその時のことを振り返った。
VCSチームは、4年連続でPwn2Ownに参加した後、ついにPwn2Ownの優勝トロフィーを初めて手にしました。Pwn2Ownは、サイバーセキュリティ組織であるZero Day Initiativeが年2回開催する、ソフトウェアと家電製品のハッキングコンテストで、今日世界で最も難易度の高いサイバーセキュリティコンテストの1つとされています。
VCSのディレクターであるグエン・ソン・ハイ氏は、2020年にViettelがスマートTV部門でこの「コンテスト」で初優勝を果たしたと述べた。2021年にはトップ5入り、2022年には2位を獲得。そして今年は圧倒的なポイント数で優勝を勝ち取った。
Pwn2Ownの競技会には、世界的に有名なサイバーセキュリティチームだけでなく、大手グローバルメーカーやテクノロジー企業も参加します。各競技会では、Windowsオペレーティングシステム、Apple、Xiaomi、Samsungのスマートフォン、CanonやHPのプリンターなど、人気のあるソフトウェアやハードウェアデバイスに関連した課題が出題されます。
各チームは、ソフトウェアやデバイスに存在するこれまで知られていなかったセキュリティ上の脆弱性を発見し、30分以内にそれらの脆弱性を悪用する方法を実演して競い合わなければならない。
「競合相手は他のセキュリティ専門家グループだけでなく、Apple、Xiaomi、Canon、TP-Linkなどのデバイスメーカーも含まれると言えるのは、彼らが自社製品に脆弱性があると非難されることを嫌い、それが顧客の信頼を損なうからです。これらのデバイスサプライヤーは常にセキュリティチームを抱えており、競争が始まる前に製品のバグを修正するために多額の費用を惜しみません。そうすることで、製品が世間の目に恥をさらすことを防いでいるのです」と、VCSチームのメンバーであるグエン・ホン・クアン氏はトゥオイチェー紙に語った。
したがって、問題が公開された瞬間から最後の瞬間まで、競争は熾烈を極めるでしょう。チームが欠陥を発見する可能性は十分にありますが、開発者が競技当日直前に予期せず修正してしまうと、あるチームはそれまでの努力と成果をすべて失ってしまうことになります。
そのため、「パフォーマンス時間が近づくにつれて、発見した脆弱性がまだ存在するかどうかを『監視』し、発見したバグが修正されたかどうかを確認するために、昼夜交代制に分かれる必要がありました」と、VCSチームのベテランPwn2OwnプレイヤーであるNgo Anh Huy氏は語った。
2023年のPwn2Ownトロント大会は、携帯電話、スマートスピーカー、監視システム、ネットワークストレージシステム、オフィス機器などのハードウェアに焦点を当てています。各カテゴリーには3万ドルから10万ドルの賞金が用意されており、デバイスのハッキングの難易度とハッキングデモンストレーションの完成度に応じて2点から10点のスコアが与えられます。
賞金とポイントの両面で最も価値の高い賞は、最終カテゴリーであるマッシュアップで、参加チームは競技で提供されるネットワークルーターのいずれかでエクスプロイトコードを実行し、前述のカテゴリーのデバイスを攻撃する必要があります。賞金は10万ドルと10ポイントです。
VCSチームは、個々のタスクを完了し、Xiaomi 13 Proスマートフォン、QNAP TS 464ストレージシステム、Canon imageClass MF753Cdwプリンター、Sonos Era 100スピーカーへの攻撃に成功したことで、20ポイントを獲得し、優勝をほぼ確実にした。対戦相手のSea Securityは、個々のタスクと総合タスクの両方を完了しても17.25ポイントしか獲得できなかった。
激しい競争のプレッシャーは和らいだが、最終カテゴリーはVCSのエンジニアたちを悩ませ続けている。昨年、マッシュアップチャレンジでポイントが足りなかったことが、彼らが優勝を逃した理由だったからだ。「今回、スマッシュアップカテゴリーに出場した際、後から対戦することになったため、またもや不利な状況に置かれました。前のチームと同じミスをすれば、ポイントを失ってしまうところでした」とNgo Anh Huyは語った。この重複したミスにより、VCSは昨年のPwn2Ownトーナメントで優勝チームに2.5ポイント差をつけられた。
「今年は、新たな脆弱性を悪用するだけでなく、発見が非常に困難で他のチームが再現する可能性が低い脆弱性、あるいは発見は容易だが悪用が難しく、かつ複数のバックアップオプションが存在する脆弱性を意図的に選択しました。これは、チーム全員による3ヶ月間の集中的な研究の成果です」とHuy氏は述べた。
その結果、VCSチームは総合部門で満点の10/10を獲得し、合計30ポイントで総合優勝を果たした。2位のチームに12.5ポイントの大差をつけ、見事な完全勝利を収めた。
「Pwn2Ownを選んだのは、世界で最も人気のあるデバイスを、大手メーカーが厳格なテスト手順でテストする競技会だからです」と、VCSのディレクターであるグエン・ソン・ハイ氏は述べた。「専門の研究チームに投資し、国際的な舞台でスキルを試すことは、VCSの人材育成への取り組みの一環です。」
VCSチームがPwn2Own 2023チャンピオンシップにたどり着いた道のりは、長年にわたる努力の集大成であり、情報セキュリティ分野におけるViettelグループの長年のリーダーシップビジョンを鮮やかに証明するものです。
10年以上前、VCSディレクターのグエン・ソン・ハイ氏が、現在のPwn2Own 2023優勝チームのメンバーと同じ年齢だった頃、Viettelグループの経営陣は情報セキュリティ分野への投資を決意した。
黎明期の分野における最初の種は、ヴィエッテルによって早い段階で蒔かれ、体系的かつ戦略的な投資と育成を受けた。
VCSの綿密な研究は、設立当初、わずか6名が情報セキュリティに取り組んでいた頃から始まった。2011年以降、VCSチームはViettelグループ内の各部署と連携して模擬攻撃を実施し、セキュリティ上の脆弱性を特定してきた。
「当社は重要インフラを運営しているため、サイバーセキュリティの研究を基盤として推進していくことがViettelのビジョンです」とソン・ハイ氏は述べました。「サイバーセキュリティにおいて、最も重要な要素は人です。世界最高水準の製品を使用しても、エンドユーザーとしてのみ使用する場合、攻撃を受けるリスクは非常に高いままです。Viettelのモバイルサービスやインターネットサービスといった重要インフラは、世界最大規模の攻撃グループによる攻撃の標的となっています。」
VCSは、重要インフラを保護する専門家チームを構築するため、世界水準に匹敵する能力を持つサイバーセキュリティ人材の育成を目指している。ハイ氏によると、2015年から現在までに、ViettelとVCSは450名の学生を育成し、そのうち最も適任と判断された5%が採用され、引き続き業務に従事しているという。
「専門家チームを編成し、綿密な研究に体系的に投資してきた後も、VCS専門家チームの攻撃力強化のための投資方法を模索し続けています。世界レベルの大会への参加も、この目標に向けた取り組みの一つです」とグエン・ソン・ハイ氏は述べました。
2013年、VCSはゼロデイ脆弱性(未発見でパッチ未適用の脆弱性であり、悪用するには最もコストがかかる)の研究を開始しました。Anh Huy氏とHong Quang氏は、この研究に最初に取り組んだ専門家の一人でした。2015年までに、VCSチームは最初の脆弱性を発見し、現在までにVCSが発見した脆弱性の数は400件に達しています。
「ベトナム企業でこれほどの数字を達成した企業は他にないし、世界的に見てもそう多くはない」とハイ氏は述べた。
綿密な研究への参加を通してトレーニングを受ける機会があることが、Pwn2Ownで優勝したばかりのサイバーセキュリティ専門家にとってVCSが魅力的な職場である理由です。Viettelを選んだ理由を尋ねられたAnh Huy氏は、「私の経験から言うと、サイバーセキュリティの研究や研究チームに長期的に投資しようとする企業は多くありません」と述べました。
「特にサイバーセキュリティの分野では、人的要素が最も重要です。そのため、VCSは常にチームの育成と能力向上に努め、国際レベルの課題に常に対応できる、高度な資格を持つ人材を次世代に育成しています」と、VCSのグエン・ソン・ハイ所長は強調した。
授賞式で、チームメンバーのコンテスト参加を祝福したViettelグループの会長兼CEOであるタオ・ドゥック・タン氏は、Viettelの「ホワイトハットハッカー」たちへの誇りを表明した。そして、「Viettelは、VCSチームが大規模な研究開発部門を持つ世界有数の機器メーカーと『競い合い』、グローバルなサイバーセキュリティ分野で権威ある賞を受賞したことを誇りに思います」と述べた。
ヴィエッテル・グループのトップは、「Pwn2Ownは、あらゆるハッカーにとって非常に難易度の高い、権威あるコンテストです。このコンテストは、世界トップクラスの情報セキュリティチームを擁し、最後の最後までハッカーに反撃する準備ができているメーカーとの『戦い』に例えられます。年齢制限はなく、多国籍の協力も必要となる可能性があります…」と評価しました。そのため、タオ・ドゥック・タン氏は、「Pwn2Own 2023で優勝したことで、ヴィエッテルとベトナムは国際舞台で栄光を手にしました」と誇らしげに語りました。
カオ・ドゥック・タン会長はまた、サイバーセキュリティの分野は広大であり、Viettelの専門家にとっては長い道のりであり、今後多くの課題が待ち受けていることを認めた。
「トップの地位を維持するのは容易ではない。だからこそ、我々は努力を続け、大きな夢を持ち、その夢を現実のものとするために絶えず努力し、ベトナムを世界に知らしめなければならない」とタオ・ドゥック・タン氏は強調した。
ヴィエッテル・グループの会長はまた、今後、グループは質の高い人材を育成するための具体的な方針を策定し、従業員が安心して仕事に専念できるようにしていくと述べた。
VCSに任務を割り当てるにあたり、タオ・ドゥック・タン氏は、VCSはより多くのセキュリティ専門家を育成し続ける必要があり、次世代を最高の基盤で育成することに注力し、企業だけでなく国にも貢献し、サイバー空間における国家の保護に貢献する必要があると強調した。
コメント (0)