優勝チームが診断を!? GMOイエラエが世界最大級のセキュリティカンファレンス「DEF CON 31」で世界1位を獲得

2023.9.4

GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエの脆弱性調査・研究チーム「GMOイエラエ」が、世界最大級のセキュリティカンファレンス「DEF CON 31」内のコンテストで世界1位を獲得しました。

「DEF CON 31」は米ラスベガスで2023年8月10日～13日（現地時間）に開催され、GMOイエラエはそこで行われたクラウドセキュリティに関する技術を競うコンテスト「Cloud Village CTF」で決勝大会に参加する世界234チーム中で1位を獲得しました。

同イベントではWebサイトのセキュリティに関する技術を競うコンテスト「CMD+CTRL Cyber Range CTF」も行われ、ここではGMOイエラエは決勝大会に参加する世界160チーム中で2位を獲得しました。

「DEF CON」は1993年から毎年米国で開催されている、エンジニア、研究者、政府関係者などのセキュリティの専門家が集まる世界最大級の国際的なセキュリティイベントです。サイバーセキュリティに関する情報交換、ハッキング技術の発表、セキュリティ技術を競うコンテスト（CTF）などを通じて、世界的なセキュリティコミュニティの成長と交流に貢献しています。発表内容や参加者のスキルからセキュリティ業界内で最も重要で影響力のあるイベントの一つといわれています。

「DEF CON」ではセキュリティのテーマごとにさまざまな展示や講演、CTFが開催されます。このうち、「Cloud Village CTF」はAmazon Web Service（AWS）、Microsoft Azure、Google Cloudなどのクラウドプラットフォームに関するセキュリティを取り扱うCTFで、「CMD+CTRL Cyber Range CTF」はWebサイトに関するセキュリティを取り扱うCTFです。

「Cloud Village CTF」では2位に17時間の差をつけて圧勝で世界一に！

GMOイエラエが1位を獲得した「Cloud Village CTF」は、実際に起こり得る脆弱性があらかじめ設定されたクラウドやコンテナ上のアプリケーションが12問出題され、難易度に応じてポイントが設定されています。参加者は問題の中にある脆弱性を発見し、50時間の制限時間内に獲得できたポイント数を競いました。

GMOイエラエは参加チーム234チームの中で最速での全問解答を達成しました。全問解答できたチームはGMOイエラエ以外にもう1チームのみで、さらにそのチームにも約17時間の大きな差をつけて世界1位を獲得しました。

「Cloud Village CTF」のスコアボード

「CMD+CTRL Cyber Range CTF」では世界2位に

GMOイエラエが2位を獲得した「CMD+CTRL Cyber Range CTF」は、機密情報を多数扱う医療系Webサイトを対象に、現実のWebサイトでも見られるSQLインジェクション（不正なデータベース言語を入力してデータの盗用や改ざんなどを行う攻撃）やクロスサイトスクリプティング（Webページに攻撃スクリプトを埋め込むことで、アクセスしたユーザーのパソコン上で悪意のあるスクリプトを実行させる攻撃）などの脆弱性が問題として出題され、解いた問題に応じて獲得できるポイントの総数を競いました。

「Cloud Village CTF」で世界1位、「CMD+CTRL Cyber Range CTF」で世界2位と、並行した高順位の獲得は、GMOイエラエの技術力の高さや、技術者の層の厚さを示しています。

「CMD+CTRL Cyber Range CTF」のリーダーボード

GMOイエラエの受賞メンバーであるGMOサイバーセキュリティ byイエラエ執行役員オフェンシブセキュリティ部部長のサイフィエフ・ルスラン氏は、今回の結果について次のようにコメントしました。

「優勝したことを大変うれしく思います。今回CTFで出題された問題は初めて見る問題ばかりでしたが、その場で勉強しながら解いていきました。その点は、実際に脆弱性診断やペネトレーションテストを実施する際に、初めて見るお客様の環境に対して、さまざまな攻撃方法を調べながらテストを進めていく過程に近く、普段の業務や研究とあまり変わらないスタンスで楽しむことができました。

GMOサイバーセキュリティ byイエラエ執行役員オフェンシブセキュリティ部部長のサイフィエフ・ルスラン氏

今後も世界中で幅広く利用される技術に関連する調査や研究を実施し、セキュリティを基にした各環境における適切な設計や安全な運用方法をお客様に展開し、安全なインターネット社会を作っていきたいと思います」（サイフィエフ・ルスラン氏）

世界トップクラスの技術力を体験できるキャンペーンを実施

GMOサイバーセキュリティ byイエラエは、GMOイエラエの世界1位を記念して、提供する3つのサービスで、GMOイエラエのトップエンジニアの技術力を体験できるキャンペーンを実施します。2023年内に下記サービスを申し込んだユーザーに対し、今回のCTF参加メンバーが診断員を務めることを保証するとしています。

Webアプリケーション脆弱性診断プレミアム

通常のWebアプリケーション診断に加えて、ホワイトハッカーの知見を生かしたソースコード診断を組み合わせたハイブリッドサービスを提供します。ソースコードを解析し、アプリケーションの内部に潜む脆弱性やセキュリティリスクを特定することで、一般的な診断手法より高品質な診断結果を得られます。大規模な診断対象でも全体を対象に診断を行えるため、アプリケーション全体のセキュリティ対策に有効です。

サービスURL：https://gmo-cybersecurity.com/service/web-application/premium/

ペネトレーションテスト（侵入テスト）

GMOイエラエのホワイトハッカーが攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みて、そのリスクや影響を評価するセキュリティテストです。企業・組織のサイバー防衛レベル・体制に合わせて、標的に対してさまざまなシナリオに沿った疑似的なサイバー攻撃を行うことでリスク評価を行います。

サービスURL：https://gmo-cybersecurity.com/service/pentest/

クラウド診断

クラウドセキュリティに特化したエンジニアが攻撃者目線でマニュアル診断を行います。クラウド資産を棚卸しして、仮想マシン、ストレージバケット、コンテナなどクラウドワークロード内のマルウェアやOS・ソフトウェアの脆弱性、設定ミス、不適切な場所に保存された個人情報や鍵などパブリッククラウド環境内のセキュリティ上の問題を検出します。ツールが苦手なIAM・Cognitoなどの認証認可サービスの設定や設計仕様に関連した問題まで対応可能です。

サービスURL：https://gmo-cybersecurity.com/service/cloud/

DEFCON『Cloud Village CTF』世界1位獲得キャンペーン | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

キャンペーンのWebサイト

今回のキャンペーンで、サービスの診断員を務めるGMOイエラエは、GMOサイバーセキュリティ byイエラエに所属するホワイトハッカーやトップエンジニアで組織された脆弱性調査・研究チームです。メンバーの知見やノウハウを集約し、社会に対する発信や、セキュリティ対策サービスやプロダクトの提供を通じて、社会に還元することを目的としています。

今後も国内外のセキュリティコンテストやバグバウンティ（製品やサービスにおける脆弱性の発見者に報奨金を支払う公開制度）への挑戦、セキュリティカンファレンスの開催などを通じて、その専門知識を広く発信し、日本や世界のセキュリティ技術や意識を高め、より安全な社会の実現を目指していくとのことです。

重要インフラやサプライチェーンをサイバー攻撃から防ぐ「経済安全保障」の観点からも、攻撃者の目線から高い技術力でサイバー攻撃対策を実施できるホワイトハッカーの重要性は増しています。世界1位を獲得したGMOイエラエのホワイトハッカーやエンジニアの技術力の高さを、サービスを通じて体感してみてはいかがでしょうか。

安蔵靖志

Techジャーナリスト／家電エバンジェリスト
家電製品協会認定　家電製品総合アドバイザー（プラチナグレード）、スマートマスター。AllAbout デジタル・家電ガイド。ビジネス・IT系出版社を経てフリーに。デジタル家電や生活家電に関連する記事を執筆するほか、家電のスペシャリストとしてテレビやラジオ、新聞、雑誌など多数のメディアに出演。KBCラジオ「キャイ～ンの家電ソムリエ」にレギュラー出演するほか、ラジオ番組の家電製品紹介コーナーの商品リサーチ・構成にも携わっている。