10月27日午前1時過ぎ、まだ明るいViettel Cyber Security Company(VCS)の部屋で、VCSチームの14人のメンバーが喜びを爆発させた。チームは世界最大かつ最も権威のあるサイバー攻撃コンテスト「Pwn2Own 2023」で優勝したのだ。
これは、チーム全員による3か月間の昼夜を問わない継続的な作業と、 世界中の最強の対戦相手との粘り強い競争の期待された結果だけではありませんでした。
これは、チームの最年少メンバーであり、現在ベトナム工科大学(VNU)の3年生である2003年生まれのDo Anh Dungにとって、初めての甘い果実というだけではありません。
数年にわたってこのトーナメントに挑戦してきた Ngo Anh Huy、Nguyen Xuan Hoang、Nguyen Hong Quang などのメンバーにとっては、大会で最高位に到達することだけが目的ではありません。
また、世界で最も権威のあるコンテストの一つでベトナムに最高位をもたらし、情報セキュリティと安全性の分野におけるベトナム人の能力を証明することは名誉なことです。
そして何よりも、これはViettelが長年かけて丹念に蒔いてきた種から実った「甘い果実」です。今日に至るまで、VCSと情報セキュリティ専門家チームを擁するViettelは、情報セキュリティと安全能力において世界をリードする企業の一つであることを誇りに思っています。
Pwn2Own 2023で優勝したVCSチームの14名のメンバーは、全員とても若いです。メンバーのほとんどは9x世代で、最年少のメンバーは2003年生まれです。
しかし、チームメンバーのほとんどは長年「戦い」続けており、情報セキュリティと安全の分野で豊富な経験と実績を誇ります。チーム最年少のド・アン・ユンでさえ、既に自らの実力を証明しています。「ユンこそが、この大会で奇跡を起こし、チーム全体の総合成績に貢献するカテゴリー優勝を果たした人物です」
10月27日夜の最終ラウンド終了時点で、Viettel Cyber Security(VCS)のチームがMaster of Pwnポイント30点で公式に最高得点を獲得し、2位チームとの差は12.75ポイントとなりました。
この見事なスコアにより、VCS は、Sea Security (シンガポール)、Vupen、Synacktiv (フランス)、Devcore (台湾 - 昨年の優勝チーム) など、大会優勝の有力候補と目されていた多くの海外の対戦相手を相手に、優勝のタイトルを獲得しました...
大会準備中の課題について、VCSチームメンバーのハ・アン・ホアン氏は次のように語りました。「大会の3ヶ月前に、組織委員会が挑戦すべきデバイスを発表しました。当時、チームは調査用のデバイスを購入したばかりだったので、準備期間はわずか3ヶ月でした。多くのデバイスは海外から輸入する必要があり、ベトナムに到着するまでに丸1ヶ月もかかりました。」
チームのもう一人の選手、グエン・スアン・ホアンは、「この大会には長年参加している選手たちがいます。彼らは豊富な経験を持ち、 資金面でも専門面でも非常に強い選手たちです。VCSチームは、今年の大会で最高の成功を収めるために、最大限の準備、団結、そして適切な競争戦略をもって大会に臨むことを決意しました。」と述べています。
ホアン氏は、昨年のVCSチームはこの大会で優勝チームにわずか2.5ポイント差で僅差の2位を獲得したと付け加えた。そのため、チームは今年こそ優勝を目指す決意だ。
しかし優勝への道は簡単ではありません。この競争における攻撃対象は、Microsoft、Apple、Google、Samsungなど大手メーカーの、世界中で人気のデバイスやソフトウェアばかりです... - Nguyen Xuan Hoang氏は語りました。
コンテストの要件を満たすため、デバイスは米国から注文する必要があったが、米国市場に適した110Vの電源を使用していたのに対し、ベトナムでは220Vを使用しているため、ほんの一瞬の不注意でデバイスは「壊れて」しまった。
このコンテストに4回参加しているメンバーのゴ・アン・フイ氏によると、チームの最大の懸念は、重複したエラーや、メーカーがチームが登録したセキュリティホールを修正する時間がないことだという。昨年、Viettelチームはコンテストに参加したが、脆弱性が重複していたため減点され、2位に終わった。
それだけでなく、ビザ取得の遅れにより、チーム全員がカナダのトロントに間に合うことができず、試合に間に合わず、最後の最後で課題が訪れました。VCSチームの14名のメンバーは、試合中に解決できない可能性のある問題を心配しながら、オンラインで試合に臨まざるを得ませんでした。
しかし、最終結果がすべてを物語っています... VCS チームは勝利しただけでなく、見事な勝利を収めました。
「最終の最高ポイント10部門で優勝したとき、チーム全員が喜びと幸せでいっぱいになりました。この選手権が疑う余地なく、納得のいく勝利であることを証明できたからです」と、グエン・スアン・ホアンは誇らしげにその瞬間を振り返りました。
VCSチームは過去4年間継続的にPwn2Ownに参加し、初のPwn2Ownチャンピオンシップを獲得しました。これは、サイバーセキュリティ団体Zero Day Initiativeが年に2回開催するソフトウェアおよびコンシューマーエレクトロニクス攻撃コンテストで、現在世界で最も「難しい」サイバーセキュリティコンテストの一つです。
VCSディレクターのグエン・ソン・ハイ氏は、2020年にViettelがスマートテレビ部門でこの「遊び場」で初優勝を果たしたと述べました。2021年にはトップ5入りを果たし、2022年には2位につけました。そして今年は、圧倒的なスコアで優勝を果たしました。
Pwn2Ownには、世界的に有名なサイバーセキュリティチームだけでなく、世界中の大手メーカーやテクノロジー企業も参加しています。各試験では、Windowsオペレーティングシステム、Apple、Xiaomi、Samsungのスマートフォン、Canon、HPのプリンターなど、一般的なソフトウェアやハードウェアデバイスに関する問題が出題されます。
チームはソフトウェアやデバイスの未知のセキュリティ脆弱性を見つけるために競い合い、30 分以内にそれらの脆弱性を実際に悪用する実例を実演する必要があります。
「競合相手は他のセキュリティ専門家グループだけでなく、Apple、Xiaomi、Canon、TP Linkといったデバイスメーカーも含まれると言えるのは、自社のデバイスに脆弱性があることが知られ、顧客の信頼を失うことを嫌がるからです。これらのデバイスサプライヤーは必ずセキュリティチームを擁しており、競争が始まる前に製品の欠陥を修正するために多額の費用を投じ、製品の評判を落とすこともありません」と、VCSチームのメンバーである専門家、グエン・ホン・クアン氏はTuoi Tre氏に語った。
そのため、開幕から最後まで熾烈な競争が繰り広げられます。なぜなら、チームが脆弱性を発見したにもかかわらず、メーカーが競技直前に突然パッチを当ててしまい、チームがこれまでの努力と成果をすべて無駄にしてしまう可能性も十分に考えられるからです。
そのため、「本番が近づくにつれて、発見した脆弱性がまだ存在しているかどうかを昼夜交代で『監視』し、発見したバグが修正されたかどうかを製造元が注意深く監視する必要がありました」と、VCS チームの経験豊富な Pwn2Own プレイヤーである Ngo Anh Huy 氏は語ります。
Pwn2Own 2023 トロント大会はハードウェアに焦点を当てており、携帯電話、スマートスピーカー、監視システム、ネットワークストレージシステム、オフィス機器などのカテゴリーが含まれます。各カテゴリーの賞金は3万ドルから10万ドルで、スコアはデバイスの難易度と攻撃デモの完成度に応じて2ポイントから10ポイントの範囲で付与されます。
賞金とポイントの両方で最も価値があるのは、最後のカテゴリーであるマッシュアップです。このカテゴリーでは、チームは競技会で指定されたネットワーク ルーターの 1 つでエクスプロイト コードを実行し、前述のカテゴリーのデバイスを攻撃する必要があります。獲得できる賞金は 10 万ドルで、獲得ポイントは 10 ポイントです。
VCSチームは、個人部門を終え、Xiaomi 13 Pro電話デバイス、QNAP TS 464ストレージシステム、Canon imageClass MF753Cdwプリンター、Sonos Era 100スピーカーへの攻撃に成功し、20ポイントを獲得しました。対戦相手のSea Securityは、個人部門と複合部門をすべて終えた後、わずか17.25ポイントしか獲得できなかったため、優勝はほぼ確実でした。
競争のプレッシャーはもはやそれほど大きくないものの、最終カテゴリーはVCSのエンジニアたちを依然として苦しめている。マッシュアップ部門でのポイント不足が、昨年チームが優勝を逃した原因だからだ。「今回、スマッシュアップ部門に出場しても、次のラウンドの抽選で不利な状況が続く。前のチームと同じ抜け穴があれば、ポイントを減点されてしまう」とNgo Anh Huy氏は語った。この重複ミスにより、VCSは昨年のPwn2Ownで優勝チームに2.5ポイント差をつけられた。
「今年は新たな脆弱性を悪用するだけでなく、発見が非常に困難で他のチームとの重複が起こりにくい脆弱性、あるいは発見は容易だが悪用が難しい脆弱性を意図的に選び、さらに多くのバックアッププランも用意しました。これは、チーム全体で3ヶ月間集中的に調査した結果です」とフイ氏は述べた。
その結果、VCSチームは複合部門で10/10ポイントを獲得し、総合得点30点で準優勝者より12.5ポイント高い、見事かつ完全な勝利を収めて総合優勝を果たしました。
「Pwn2Ownは、世界で最も普及しているデバイス、そして厳格なテストプロセスを備えた大手メーカーのデバイスを使ったコンテストなので、自分たちのスキルを試す場として選びました」と、VCSのディレクターであるグエン・ソン・ハイ氏は述べた。「専門の研究チームに投資し、国際的な舞台で自分たちのスキルを試すことは、VCSの人材育成への取り組みの一環です。」
VCS チームの Pwn2Own 2023 チャンピオンシップへの道のりは、長く受け継がれてきた道のりの結果であり、情報セキュリティ分野における Viettel Group のリーダーたちの何年も前のビジョンを鮮明に実証したものです。
10年以上前、VCSディレクターのグエン・ソン・ハイ氏がまだ現在のPwn2Own 2023チャンピオンチームのメンバーと同じ年齢だった頃、Viettelグループのリーダーたちは情報セキュリティ分野に投資することを決意していました。
すぐに、新しい畑の最初の種が植えられ、Viettel によって体系的かつ戦略的な方法で管理されました。
VCSの徹底的な調査研究は創業当初から始まり、当初は情報セキュリティに携わるメンバーはわずか6人でした。2011年以降、VCSチームはViettelグループ内の各部門を対象に模擬攻撃を実施し、セキュリティ上の問題点を明らかにしてきました。
「Viettelは重要なインフラを運用しているため、ネットワークセキュリティを柱とする研究ビジョンを持っています」とソン・ハイ氏は述べています。「ネットワークセキュリティにおいて最も重要な要素は人です。世界最高の製品を使用していても、エンドユーザーとしてのみ使用する場合、攻撃を受けるリスクは依然として非常に高く、モバイルやインターネットといったViettelの重要なインフラは、世界最大級のグループによる攻撃の標的となっています。」
重要インフラを守る専門家チームを育成するため、VCSは世界水準のサイバーセキュリティ人材の育成を目指しています。2015年から現在までに、ViettelとVCSは450人の学生を育成し、そのうち最も適任の5%が採用され、現在も業務を継続しているとハイ氏は述べています。
「専門家チームを編成し、徹底的な研究に投資した後、VCSの専門家チームの攻撃スキルを向上させるための投資方法を模索し続けています。世界レベルの大会への参加もこの目的のためです」とグエン・ソン・ハイ氏は述べた。
2013年、VCSはゼロデイ脆弱性の調査を開始しました。ゼロデイ脆弱性は未知でパッチ未適用のため、調査費用が最も高額でした。Anh HuyとHong Quangは、この分野における最初の専門家の2人でした。2015年までにVCSチームは最初の脆弱性を発見し、現在までにVCSが発見した脆弱性の数は400件に達しています。
「ベトナムの企業でこれほどの数字に達したところはない。世界でもそう多くはない」とハイ氏は語った。
綿密な研究への参加を通じて研修を受ける機会こそが、VCSが最近Pwn2Ownで1位を獲得したサイバーセキュリティ専門家にとって魅力的な職場となっている理由です。Viettelを選んだ理由を尋ねられたアン・フイ氏は、「私の経験から言うと、サイバーセキュリティの研究と研究チームに長期的な投資をしたいと思う企業は多くありません」と答えました。
「特にサイバーセキュリティの分野では、人的要因が最も重要です。そのため、VCSは常にトレーニング、チームの改善、そして国際的な問題に常に対応できる次世代の優秀なスタッフの育成に注力しています」と、VCSのグエン・ソン・ハイ所長は強調しました。
コンテストに参加したチームメンバーを称え、祝福する式典で、Viettelグループの会長兼ゼネラルディレクターであるタオ・ドゥック・タン氏は、Viettelの「ホワイトハットハッカー」たちへの誇りを表明しました。彼は次のように力説しました。「Viettelは、VCSチームが、大規模な研究開発部門を持つ世界有数の機器メーカーと『競い合い』、世界的なサイバーセキュリティ分野における権威ある賞を受賞したことを誇りに思います。」
Viettelグループのトップは、「Pwn2Ownは、どんなハッカーにとっても非常に難易度の高い、権威あるコンテストです。このコンテストは、世界トップクラスの情報セキュリティチームを擁し、最後の瞬間までハッカーに対応する準備ができているメーカーとの『戦い』に例えられます。年齢制限はなく、多国籍協力も可能なゲームです」と評価しました。そのため、タオ・ドゥック・タン氏は、「Pwn2Own 2023チャンピオンシップは、Viettelとベトナムを国際舞台で有名にしました」と、グループ会長として誇らしげに語りました。
タオ・ドゥック・タン会長はまた、サイバーセキュリティの分野は広大であり、ベトテルの専門家にとって道のりは長く、多くの課題が待ち受けていることを認めた。
「トップ1の地位を維持するのは容易なことではない。だからこそ我々はさらに努力を続け、大きな夢を持ち、ベトナムを世界に広めるという夢の実現を常に切望する必要がある」とタオ・ドゥック・タン氏は強調した。
Viettelグループの会長はまた、今後、同グループは優秀な人材を育成するための特別な方針を策定し、彼らが自信を持って仕事に専念し続けることができるようにしていくとも述べた。
VCS にこの任務を委ねたタオ・ドゥック・タン氏は、VCS は今後もさらに多くのセキュリティ専門家の育成を継続する必要があり、企業だけでなく国家に貢献し、サイバー空間で国家を守れるよう、最高の基盤を備えた次世代を育成することを決意していると強調しました。
コメント (0)