ラスベガスのステージで史上最も地味なショーだったかもしれない。
8月4日、数百人がカジノのダンスホールに終結した。観客のお目当ては、7台の高性能な人間の背の高さほどのコンピューターで、明滅するLEDが輝いている。目には見えないが、各マシンは何時間もかけて、ステージ上の他のコンピューター上で実行中のソフトウェアを攻撃し、自らも他からの攻撃を防御していた。
この難解なコンテスト「サイバー・グランド・チャレンジ」と優勝賞金200万ドルは、インターネットとコンピューターの安全を全般的に向上させるはずだ。主催は米国国防総省の国防先端研究計画局(DARPA)で、ハッキングカンファレンス「DEF CON」で開催された。自動的にセキュリティ上の欠陥を発見して検証し、修正できるソフトウェアの創出を促す。セキュリティの弱点をついて、毎年何百万もの消費者の記録が盗み出されており、セキュリティ犯罪の対処に大変革をもたらすかもしれない。
4日20時、セキュリティ会社のフォー・オール・セキュア(ForAllSecure)が構築したソフトが暫定1位と発表されると、パリスカジノの観衆は歓声を上げた。最終結果は、DARPAがコンテストのデータログの解析を終える5日の朝になる予定だ。
フォー・オール・セキュアの共同創業者でカーネギーメロン大学のデイビス・ブランリー教授は、コンテストの意義を、ソフトが自動的にセキュリティ問題を解決できることを示したことだいう。
「これは第一歩だと思います」
フォー・オール・セキュアなどの7チームは、それぞれ高性能の水冷コンピューターで動作する「ボット」を開発し、コンテスト用に作成された約100件のプログラムが正常に動作するように見守らなければならなかった、プログラムは、概してウェブサーバーにあるようなパッケージをモデルにしており、意図的にセキュリティ上の欠陥があるように仕込まれていた。各チームのボットは、自チームのプログラムの欠陥を修復し、動作に目を配りつつ、他のチームのプログラムを精査し、未修正の脆弱性を発見することでポイントを獲得する。ボットは事前に「陣地」となるプログラムは確認できない。
セキュリティに関わる多くの企業や研究者、犯罪的ハッカーは、ソフトウェアの潜在的な脆弱性を自動的に分析するツールを使う。しかし、セキュリティの欠陥を修復するパッチの開発と展開作業は、専ら手作業だ、というのはDARPAで今回のコンテストを企画したマイク・ウォーカープログラム担当課長は述べた。
「”グランド・チャレンジ”として開催したのは、こうした作業がまったく自動化されていなかったからです」
ウォーカー担当課長は、発表された自動機能のいくつかは、最終的にコンピューターネットワークを攻撃するために使われるが、防御のためにも使われるという。しかし、DARPAはこのコンテストをオープンで開催し、使用された全てのデータとコードを公開している事実は、テクノロジーを防御のために導くのであって、攻撃のためではないと、念を押した。
「事実は変えられません。全てのコンピューター・セキュリティ・ツールは諸刃の剣です。ただし、攻撃的か防御的かの違いは、オープンであるか、にあるのです」
4日の大会に参加したマイクロソフト・リサーチのピーター・リー副社長は、自動的にセキュリティ上の欠陥を修正できれば、ソフトウェア企業は製品をより安全にできると述べた。
「WindowsやOfficeのようなソフトにも非常に大きなメリットをもたらすでしょう」
国防系受託企業のレイセオンのティム・ブライアント部長は、セキュリティ事業の顧客に、開発したボット「Rubeus」のテクノロジーをすぐに使うと予想している、という。多くの種類の機械やソフトウェア、コンピューターに依存する電力網のような複雑なシステムは、脆弱性を発見し修正する優れた手法の恩恵を受けるだろうという。
「基幹インフラ系企業に話を持って行き、これが本当に役立つことを伝えようと思います」
ボットに差し出されたプログラムに設定された欠陥のうちの6つは、ネットワークを大混乱させた実際の脆弱性に基づいていることが、このテクノロジーの実用性を証明している。
参加チームは全体で5つの古典的欠陥を修正した。1988年にインターネットに障害を発生されたモリスワーム、オンライン取引を保護するSSL/TLS暗号を破壊したハートブリード(2014年に判明)も含まれている。アイダホ大学のボット「Jima」は、コンテストのプログラムに存在した、意図しない欠陥も発見して修正した。
しかし、今回のコンテストは、セキュリティボットの限界もわかった。優勝ボット「Mayhem」は途中でクラシュし、一時的に新しいパッチの生成と他のチームの探索ができなくなった。レイセオンのボット「Rubeus」が適用した修正の1つは機能したが、あまりに複雑すぎてコンピューター上で実行中のプログラムの処理能力を奪ってしまった。
優勝ボットは5日に同様のコンテンツで再び競技する。人間のハッカーの祭典「DEF CON」で、毎年開催される競技会「Capture the Flag(CTF)」に参加するのだ。ハンドル名「Gynophage」を名乗るあるハッカーは、4日のボット対戦を見て、素晴らしいことをやってのけた、といった。
「トップ5には間違いなく入る。ただし、最終的に人間の適応能力が勝利すると思うよ」
DARPAのウォーカー担当課長は、ソフトウェアは人よりも速く行動できるので、競技開始から短時間でゲームをリードするチャンスがあるだろう、といった。長期的には、ソフトウェアは人間と共同で修正と防御の仕事を担うことになり、完全に人間を置き換えることはない、と予想している。「人間と機械の協力関係に、私たちはネットワーク防御の未来を見ています」とウォーカー担当課長はいう。DARPAは、人間とボットが共同作業する次のハッキングコンテストを検討中だ。