セキュリティ村の「黄金の」少年たち

「穴を食べて、穴を寝て」

2023年はViettelチームがPwn2Ownコンペティションに参加して4年目となり、彼らはついに栄光を手にしました。最初のコンペティションは単なる練習でしたが、2021年の第2回コンペティションではチームはトップ5に入り、2022年のコンペティションでは惜しくも優勝チームに敗れ、2位を獲得しました。Ngo Anh Huy氏（チームキャプテン）は次のように述べています。「Pwn2Ownは世界最大かつ最も権威のあるサイバー攻撃コンペティションであり、賞金総額が数百万ドルに上るセキュリティ界の『ワールドカップ』です。攻撃対象は、Microsoft、Apple、Google、Samsung、Xiaomiなどの大手サプライヤーの、世界中で人気の高いデバイスやソフトウェアです。」

Pwn20wnコンペティションは2023年10月24日から27日まで、カナダのトロントで開催されました。最年少はわずか20歳という14人の若者たちが、優勝という目標達成を目指して奮闘しました。これまでのコンペティションのように多くの脆弱性を見つけることに重点を置くのではなく、このコンペティションでは、若いエンジニアたちは体系的な戦略を立て、ほとんどの人が発見・悪用していないエラーを見つけることに注力しました。チームリーダーのNgo Anh Huy氏が最も懸念し、心配していたことの一つは、メンバーをチームワーク（チームワーク）で結束させることでした。コンペティション開催前の2週間、チーム全員が1日20時間働き、ほとんど寝食を忘れ、組織委員会に提出するレポートの作成や、脆弱性を修正するためのアップデートの確認に追われました。「脆弱性はコンペティション開催前にメーカーが発見・修正することがあります。そのため、最高得点を獲得するためには、できるだけ多くの脆弱性を発見し、予備の攻撃プランを用意しておく必要があるのです」と、メンバーのHa Anh Hoang氏は付け加えました。すべては綿密に準備され、競技のためにカナダへ出発する日を待つだけだったが、最も残念だったのは、競技日が近づいてもチーム全員が入国ビザを受け取れなかったことだ。「直接競技に参加する代わりに、チーム・ベトテルは自宅に留まり、オンラインで競技に参加しなければならなかった。これは、直接競技に参加する場合と比べて不利な点でもある。つまり、カメラを通して遠隔でしか機材を確認できないのだ。直接競技に参加すれば、その場で相談したり、何か問題が発生した際に主催者にすぐに確認を依頼したりできる。さらに、オンラインでの手続きでは、機械や設備に関する予期せぬ問題が発生する可能性がある…」とホアン氏は振り返った。

息を呑むほどの、圧倒的な勝利

3ヶ月間「寝食を忘れ、脆弱性を探し続ける」日々を経て、ついにGアワーが到来。ベトナムチームは短時間でセキュリティ脆弱性を攻撃する能力を証明しなければなりません。メンバーのグエン・スアン・ホアン氏は、「他のセキュリティコンテストでは通常、時間制限はありませんが、このコンテストでは30分以内に脆弱性を見つける能力を証明しなければなりません。Pwn2Ownには、大手テクノロジー企業の最先端のターゲットとデバイスが集結し、最新のソフトウェアバージョンがインストールされています。チームの課題は、攻撃の方向性を見つけ、これまで発見されていない脆弱性を見つけることです」と述べています。各チームは、ターゲットごとに1回のみハッキングできます。ターゲットの難易度が高いほど、スコアが高くなります。コンテスト終了時に、最高スコアを獲得した個人または組織が優勝します。 「一番心配なのは、重複ミスやメーカーがすぐに修正してしまうことです。チームメンバーはそれぞれ異なるホールを用意していましたが、カテゴリーごとに準備しなければならないポイントが増えるほど、準備しなければならないミスも増えました。このホールでは、昨年のような重複ミスによる減点もなく、チームは最高得点を獲得しました。嬉しくて涙が出ました」とハ・アン・ホアンは語った。最も興奮したのは、決勝ラウンドのSOHOスマッシュアップ（小型オフィス機器）だった。チームにとっての障害は、昨年優勝を逃したため、少し慎重になった心理的な問題だった。計画通りにいかないことも何度かあり、全員が不安で汗だくだった。3ホールを準備していたにもかかわらず、最初の2ホールは失敗。3回目に成功した時、メンバーは歓喜に沸いた…。対戦相手もベトナムチームの粘り強い戦いぶりに感嘆せざるを得なかった。

T. トー

ディン・クアン・ヴー氏は今回が初参加でしたが、携帯電話の脆弱性部門でチームの優勝に大きく貢献しました。この部門は同コンテストの新設部門です。ヴー氏は次のように語りました。「私たちのチームは、SamsungとXiaomiのモバイルデバイス2台を選択しました。コンテスト当日までに綿密な調査と準備を行い、メーカーのパッチテストにも合格していましたが、Samsungでの最初のテストでは不合格でした。その時は息が詰まり、胸が張り裂ける思いでした。しかし、幸いにも冷静さを保ち、Xiaomiのモバイルデバイスで優勝することができました。」世界各地から集まった強豪チームとの4夜にわたる熾烈な戦いの後、10月27日午前1時、チームViettelは合計30点を獲得し、2位に12.75ポイント差をつけて見事にコンテストを終えました。ベトナムの若手エンジニアたちは、登録された7部門すべてで絶対的なポイントを獲得し、Pwn2Ownチャンピオンシップを圧倒し、賞金18万ドルを持ち帰りました。エラーが発見された製品には、Xiaomi 13 Pro、QNAPストレージシステム、Canon、HP、Lexmarkプリンター、Sonosスマートスピーカー、SOHO Smashupなどが含まれていました。この勝利は、ベトナムの情報セキュリティ業界にとって新たな飛躍を意味し、権威ある国際大会で初めて優勝を果たしました。Pwn2Ownでの受賞に加え、VSC社の若手エンジニアたちは、Microsoft、Oracle、Google、Apache、VMWareなどの主要な情報技術プラットフォームおよびシステムにおいて、400件を超えるゼロデイセキュリティ脆弱性を発見しました。

新たな高みを目指す意欲

大会後、チームは現状に甘んじることなく、2024年初頭に東京（日本）で開催予定の次回大会に向けて、新たな高みを目指す決意を新たに準備を開始しました。ハ・アン・ホアン氏は、「今日の勝利に至るまで、私たちは簡単な課題から難しい課題へと一歩一歩着実に歩んできました。チームの勝利は非常に説得力がありますが、今回の大会のライバルを無視することはできません。専門知識という点では、海外のチームが持つ研究分野や能力に、Viettelチームにはないものがあるからです。チームの当面の目標は、新たな研究テーマを見つけ、AppleやGoogleなどの大手サプライヤーのセキュリティ脆弱性を見つけることです。そして、さらなる目標は、世界のセキュリティ分野でリーダーシップを発揮することです」と語りました。国際社会から認められ、数々の有名テクノロジー企業から数千ドルの報酬で招聘されているベトナムの若手セキュリティ専門家の一人であるゴ・アン・フイ氏は、今もなおViettelチームに所属しています。 「私にとって、この挑戦​​を制覇することは、自己主張をし、新たなセキュリティランキングを獲得することだけではありません。ベトナムに留まり、同じ情熱を持つ若者たちと共に情報セキュリティ業界の歴史に新たなページを刻み続け、国際舞台でベトナムの名を馳せたいのです」とフイ氏は語った。Viettelの取締役会長兼ゼネラルディレクターであるタオ・ドゥック・タン大佐によると、これは正解を見つけるための競争ではなく、「絵を捉え、言葉を捉える」ゲームのように、若いエンジニアたちは世界有数の技術機器サプライヤーやメーカーと「戦う」必要があるという。サプライヤーの背後には、キヤノン、シャオミといった大企業が控えている。サプライヤーが土壇場で突然パッチをリリースし、出場チームが消極的になり、対応できなくなる可能性が非常に高いため、勝利は容易ではない。タオ・ドゥック・タン大佐は、Pwn2Own 2023の優勝はほんの始まりに過ぎないと考えている。 「ホワイトハットハッカー」の道のりは未だ長く、サイバーセキュリティの分野は広大で、サイバー空間も広大です。若いエンジニアには多くの課題が待ち受けており、IoT分野に留まらず、産業、エネルギー、電力、安全など、様々な分野に進出できるチャンスが広がっています。