セキュリティ村の「黄金の」少年たち

「穴を食べて、穴をつけて寝る」

2023年はViettelチームがPwn2Ownコンペティションに参加して4年目となり、彼らはついに栄光を手にしました。最初のコンペティションは単なる練習でしたが、2021年の第2回コンペティションではチームはトップ5に入り、2022年のコンペティションでは惜しくも優勝チームに敗れ、2位を獲得しました。Ngo Anh Huy氏（チームキャプテン）は次のように述べています。「Pwn2Ownは世界最大かつ最も権威のあるサイバー攻撃コンペティションであり、賞金総額が数百万ドルに上るセキュリティ界の『ワールドカップ』です。攻撃対象は、Microsoft、Apple、Google、Samsung、Xiaomiなどの大手サプライヤーの、世界中で人気の高いデバイスやソフトウェアです。」

Pwn20wnコンペティションは2023年10月24日から27日まで、カナダのトロントで開催され、最年少はわずか20歳を含む14人の若者が優勝という目標達成を目指して奮闘しました。これまでのコンペティションのように多くの脆弱性を見つけることに重点を置くのではなく、このコンペティションでは、若いエンジニアたちは体系的な戦略を立て、ほとんどの人が発見・悪用していないエラーを探しました。チームリーダーのNgo Anh Huy氏が最も懸念し、心配していたことの一つは、メンバーをチームワーク（チームワーク）で結束させることでした。コンペティション開催前の2週間、チーム全員が1日20時間働き、ほとんど寝食を忘れ、組織委員会に提出するレポートの作成、アップデートの確認、脆弱性の修正に追われました。「脆弱性はコンペティション開催前にメーカーが発見・修正することもあります。そのため、最高得点を獲得するためには、できるだけ多くの脆弱性を発見し、予備の攻撃プランを用意しておく必要があるのです」と、メンバーのHa Anh Hoang氏は付け加えました。すべては綿密に準備され、競技のためにカナダへ出発する日を待つだけだったが、最も残念だったのは、競技日が近づいてもチーム全員が入国ビザを受け取れなかったことだ。「チーム・ベトテルは、直接競技する代わりに、自宅にいてオンラインで競技しなければなりませんでした。これは、カメラを通して遠隔でしか機器を確認できないという、直接競技する場合と比べて不利な点でもあります。直接競技すれば、その場で相談したり、何か問題が発生したらすぐに主催者に確認を依頼したりできます。さらに、オンラインでの手続きでは、機械や設備に関連する予期せぬ問題が発生する可能性があります…」とホアン氏は振り返った。

息を呑むほどの、圧倒的な勝利

3ヶ月間「寝食を忘れ、脆弱性を探し続ける」日々を経て、ついにその時が来ました。ベトナムチームは、短期間でセキュリティ上の脆弱性を攻撃する能力を実証しなければなりません。メンバーのグエン・スアン・ホアン氏は次のように述べています。「他のセキュリティコンテストでは通常、時間制限はありませんが、このコンテストでは30分以内に脆弱性を見つける能力を実証しなければなりません。Pwn2Ownには、大手テクノロジー企業の最先端のターゲットとデバイスが集結し、最新のソフトウェアバージョンがインストールされています。チームの課題は、攻撃の方向性を見つけ、これまで発見されていない脆弱性を見つけることです。」各チームは、ターゲットごとに1回のみハッキングできます。ターゲットの難易度が高いほど、スコアが高くなります。コンテスト終了時に、最高スコアを獲得した個人または組織が優勝します。 「一番心配だったのは、重複ミスが出るか、メーカーがすぐに穴を見つけて修正してしまうかでした。チームメンバーはそれぞれ異なる穴を用意していたので、カテゴリーごとに準備しなければならないポイントが増えるほど、準備しなければならないミスも増えました。この部分でチームは最高得点を獲得し、昨年のように重複ミスで減点されることもありませんでした。嬉しくて涙が出ました」とハ・アン・ホアンは語った。最も興奮したのはSOHOスマッシュアップ（小型オフィス機器）の決勝戦だった。チームにとってのハードルは心理的なものだった。昨年は優勝を逃していたため、少し慎重になっていたのだ。計画通りにいかないことも何度かあった。皆、不安で汗だくだった。3つの穴を用意していたにもかかわらず、最初の2回は失敗。3回目でようやく成功した時、メンバーは歓喜の涙を流した…。対戦相手もベトナムチームの粘り強い戦いぶりに感嘆せざるを得なかった。

T.トー

ディン・クアン・ヴー選手は、コンテスト初参加にもかかわらず、携帯電話の脆弱性部門でチームの優勝に大きく貢献しました。この部門はコンテストの新設部門です。ヴー選手は次のように語りました。「私たちのチームは、サムスンとシャオミのモバイルデバイス2台を選択しました。コンテスト当日までに綿密な調査と準備を行い、メーカーのパッチテストにも合格していましたが、サムスンでは初挑戦で不合格でした。その時は息が詰まり、心が張り裂ける思いでしたが、幸いにも冷静さを保ち、シャオミのモバイルデバイス部門を突破することができました。」世界各地から集まった強豪チームとの4夜にわたる熾烈な戦いの後、10月27日午前1時、チーム・ヴィエテルは合計30点を獲得し、2位に12.75点差をつけて見事にコンテストを終えました。ベトナムの若手エンジニアたちは、登録された7部門すべてで最高得点を獲得し、Pwn2Ownチャンピオンシップで圧倒的な勝利を収め、賞金18万ドルを持ち帰りました。脆弱性が発見された製品には、Xiaomi 13 Pro、QNAPストレージシステム、Canon、HP、Lexmarkプリンター、Sonosスマートスピーカー、SOHO Smashupなどが含まれていました。この勝利は、ベトナムの情報セキュリティ業界にとって新たな飛躍を意味し、権威ある国際大会で初めて優勝を果たしました。Pwn2Ownでの受賞に加え、VSC社の若手エンジニアたちは、Microsoft、Oracle、Google、Apache、VMWareなどの主要な情報技術プラットフォームおよびシステムにおいて、400件を超えるゼロデイセキュリティ脆弱性を発見しました。

新たな高みを目指す意欲

大会後、チーム全員が現状に甘んじることなく、2024年初頭に東京（日本）で開催予定の次回大会に向けて、新たな高みを目指す決意を新たに準備を開始しました。ハ・アン・ホアン氏は、「今日の勝利に至るまで、私たちは簡単な課題から難しい課題へと一歩一歩着実に歩んできました。チームの勝利は非常に喜ばしいものですが、今回の大会のライバルチームを無視することはできません。専門知識という点では、海外のチームが持つ研究分野や能力の中に、Viettelチームにはないものがあるからです。チームの当面の目標は、新たな研究テーマを見つけ、AppleやGoogleなどの大手サプライヤーのセキュリティ脆弱性を見つけることです。そして、さらなる目標は、世界のセキュリティ分野でリーダーシップを発揮することです」と語りました。国際社会から認められ、多くの有名テクノロジー企業から数千ドルの報酬を得て仕事に招聘されたベトナムの若手セキュリティ専門家の一人であるゴ・アン・フイ氏は、今もなおViettelチームに所属しています。 「私にとって、この挑戦​​を制覇することは、自己主張をし、セキュリティ分野で新たな地位を獲得することだけではありません。ベトナムに留まり、同じ情熱を持つ若者たちと共に情報セキュリティ業界の歴史に新たなページを刻み続け、国際舞台でベトナムの名を馳せたいのです」とフイ氏は語った。Viettelの取締役会長兼ゼネラル・ディレクターであるタオ・ドゥック・タン大佐によると、これは正解を見つけるための競争ではなく、「キャッチボール」ゲームのように、若いエンジニアたちは世界有数の技術機器サプライヤーやメーカーと「戦う」必要があるという。サプライヤーの背後には、キヤノン、シャオミといった巨大企業が控えている。サプライヤーが土壇場で突然パッチをリリースし、出場チームが対応不能に陥る可能性が非常に高いため、勝利は容易ではない。タオ・ドゥック・タン大佐は、Pwn2Own 2023の優勝はほんの始まりに過ぎないと考えている。 「ホワイトハットハッカー」の道のりはまだまだ長い。サイバーセキュリティの分野は広大で、サイバー空間も広大であり、若いエンジニアたちには多くの課題が待ち受けているからだ。IoT分野に留まらず、産業、エネルギー、電力、安全といった分野にも挑戦の場が広がっている。若いエンジニアには、自らをアピールするチャンスがたくさんあるのだ。