産学連携で日本のサイバーセキュリティ研究・人材育成を支える〜「MWS 2023」の開催に向けて〜

マルウェア技術の高度化や運用の進化は凄まじく、その手段は日々変化しています。こうした背景から、マルウェア対策のためのサイバーセキュリティ技術者の需要が高まっている一方で、技術者の人手不足が大きな問題となっています。

そんな中、日本最大級のサイバーセキュリティ研究コミュニティであるマルウェア対策研究人材育成ワークショップ（以下、MWS）では、2023年6月下旬に、「MWS 2023 プレミーティング」を開催しました。

サイバー攻撃やその被害状況など、対策を研究するうえで把握しておきたい最新情報の共有や、日本のサイバーセキュリティ業界の未来を担う学生にも役立つ情報の提供を目的として行われた本イベント。当日は、第一線で活躍する専門家による講演やパネルディスカッションに加えて、2023年10月30日（月）〜11月2日（木）に福岡で開催される「MWS 2023」についても紹介されました。

本記事では、MWS 2023実行委員長を務められているNTTセキュリティ・ジャパン株式会社 羽田 大樹氏、MWS Cup 2023委員長の株式会社エヌ・エフ・ラボラトリーズ 保要 隆明氏、そして昨年度、MWS 2022実行委員長を務めた株式会社ソリトンシステムズ 荒木 粧子にインタビューし、MWSの概要からプレミーティングのダイジェスト、さらに今後開催予定のMWS 2023の魅力についても、詳しくご紹介します。

サイバーセキュリティ研究での産官学連携、人材育成を強化するMWS

インターネットがますます必要不可欠な社会基盤となっており、サイバー攻撃の被害も年々増加しています。社会経済活動にも大きく影響を与えるサイバー空間における脅威に対抗していくためには、研究者だけではなく、企業・組織のセキュリティに関わる実務者やセキュリティに関心を持つ学生にもマルウェアを含めたサイバー攻撃全般に関する知見を共有し、一丸となって対策に取り組むことが欠かせません。

しかし、学生や若手技術者にとっては、サイバー攻撃に関する最新情報を直接的に得ることや、企業・組織のセキュリティ対策状況のリアルな実態を知ることが難しいのが現状で す。MWSでは、このような方々にサイバー攻撃と対策の現状を共有することで、サイバー攻撃に立ち向かえる技術者として育成すること、さらにサイバーセキュリティ研究を活性化させることを重要な目標として設定。研究用データセットの提供、研究成果の共有、切磋琢磨する環境の提供などを通して、目標達成を目指しています。

「MWS 2023 プレミーティング」では、第一線で活躍する専門家が現場に関する情報を提供

2023年6月下旬に行われた「MWS 2023 プレミーティング」は、10月末に福岡で開催される「MWS 2023」の「プレミーティング」という位置付けで開催されました。

新宿ミライナタワー会場とオンライン（Zoom）のハイブリッド形態で行われ、学生・研究者・企業の実務者など、多様な立場の方にご参加いただきました。多くの講演者から様々な発表が行われただけではなく、パネルディスカッションやSlack上でも情報交換が行われるなど、豊富な情報が詰め込まれたイベントとなりました。

MWS 2023実行委員長の羽田氏によると、MWS 2023 プレミーティング企画段階からイベントの主旨に沿った内容にしようと考えられていたとのことです。

「MWSは人材育成も重要な目的としているため、プレミーティングではサイバーセキュリティの実際の現場の話など、特に学生の方が普段得られないような情報を共有したほうが良いという考えがありました。研究テーマの参考にしていただけたら、という思いで多くの専門家を招き、企画やプログラムの設計を行いました。」

以下ではダイジェストとして、本イベントで取り上げられたトピックを2つご紹介します。

ダイジェスト①：「攻撃者 珍プレー好プレー」

パネルディスカッションでは、株式会社サイバーディフェンス研究所の中島 将太氏をモデレータとし、サイバー攻撃者の“珍プレー”や“好プレー”を共有するというユニークな議論を行いました。

通常は私たち技術者にとって大きな脅威である、サイバー攻撃。しかし、そんなサイバー攻撃を行っているのはあくまで人間であるため、詰めの甘いミス（＝珍プレー）を起こすこともあります。

実際に起こった攻撃者側のミスとして「そもそもマクロが実装されていなかった」「日本語文字環境でのテストが不十分で一部文字列が文字化けしてしまい、コードが起動しなかった」といった実装ミスや「攻撃を行うためにやり取りしていたメールが途中から急に英語になったことで、攻撃に気づかれてしまった」などのオペレーションミスが紹介されました。

実装段階での誤りだけではなく、攻撃者側のオペレーションが悪いことで、攻撃が成立しないという失敗につながることも。このようなうっかりミスを手がかりに、攻撃者の特定ができることもあるかもしれない、と登壇者は語りました。

続いて、珍プレーとは反対に攻撃者側が入念な準備をした上で攻撃を仕掛けていることが分かる事例（＝好プレー）も紹介。

例えば「比較的新しいプログラミング言語『Nim』を活用してマルウェアを作成したり、Go言語の新しいバージョンを利用したりするなどして、防御する側の解析を遅らせる（解析者は、慣れない言語や、解析ツールが対応していない新しいバージョンで開発されたマルウェアだと、解析に時間がかかる）」事例や、「攻撃者のソーシャルエンジニアリング能力が向上しており、攻撃を仕掛ける前段階のメールのやりとりもしっかりした内容になってきた」事例などが挙げられました。また、攻撃者側が日本市場のソフトウェアの脆弱性を調べてから、攻撃を仕掛けている事例なども紹介されました。

新しい開発言語によるマルウェアだけではなく、マルウェアを利用しない攻撃（Living Off The Land（環境寄生型））やソーシャルエンジニアリングなども一般化し、サイバー攻撃は、ありとあらゆる手口で行われるようになってきています。工夫を凝らして行われる攻撃に対抗するためには、防御する側も、攻撃者のミスや特性を理解する必要がありそうです。

“攻撃側・防御側で、人が関わってくるところにはやはり色々なせめぎ合いがある......というのはとても感慨深いですね。攻撃者側が脆弱性を突いてくるように、私たち守る側も、今回紹介されたような攻撃の甘さ（＝珍プレー）に着目した対策を行うことで、被害を防ぐことができるかもしれません。”（ソリトン 荒木）

“珍プレーの中でも特にオペレーションの不備などを見ると、攻撃者側もそういうところはやはり人間なんだな、と思いますね。「セキュリティは攻撃者側が完璧だ」というイメージを持っている人もいるかと思うのですが、意外と完璧な人っていうのはそんなにいなくて。攻撃者側にもちょっと人間らしさというか、人間が誰でも見せるような一面も感じますよね。”（MWS Cup 2023委員長 保要氏）

ダイジェスト②：「インシデントレポートから見えてくること」

プレミーティングでは、パネルディスカッションの他にも多くの講演が行われました。ソリトンの荒木 粧子は、サイバーセキュリティに関する「インシデントレポート」をテーマに発表を行いました。

インシデントレポートには、①警視庁や企業等が発表する全体傾向の分析レポート、②業界団体やコミュニティの事例紹介、③被害組織からの調査報告など、様々なタイプのものがあります。

発表の中では、一例として、ベライゾンジャパン合同会社が発表した全体傾向の分析レポート「DBIR2023（データ漏えい/侵害調査報告書）」と、業界団体であるIPA(独立行政法人情報処理推進機構) セキュリティセンター からの事例共有である「J-CSIP運用状況」を取り上げ、そこから読み取れる、初期侵入の原因・侵入範囲が拡大した経緯などを解説しました。

荒木は「レポートにおける情報の見せ方・切り出し方によっては、同じ事象を取り扱うレポートであっても印象が大きく異なってくることもあるので注意が必要である。」と述べた上で、やはり1人で調査できる範囲には限界があるため、レポートを活用して全体傾向を把握すること（＝“森”を見ること）が大事であるとし、次のようにまとめます。

“レポートの個別事案を見ると、共通点として「パッチ適用のため1週間だけMFA（多要素認証）を無効化していた」「他社システムとの連携のため過去使っていて放置されていたネットワーク機器に脆弱性があった」などのWeakest Linkが狙われていることが分かります。
 レポートによってセキュリティインシデントの情報を共有いただけると、こうした弱点の気づきを得て、被害を予防していくことにつながるため、非常にありがたいです。実際には、情報共有のために越えなくてはいけないハードルが多々あるケースもありますが、業界全体として、被害予防のための情報共有にこれからも取り組んでいけると良いと思います。” 

「MWS 2023 プレミーティング」の手応えと今後の期待

今回、MWS 2023 プレミーティングのイベント終了後に行ったアンケートでは、8割以上の参加者から「参考になった」という回答を得ており、特に現場の情報を収集しにくい学生にとって、価値のあるイベントになったのではないでしょうか。

参加者からは「マルウェア解析を実務で行っている現場の方でないと分からないような、情報を聞けたのが良かった。」「具体的な事例をもとに紹介された、攻撃者の “好プレー”が非常に勉強になった。」といったような声もありました。

保要氏は、今回のMWS 2023 プレミーティングを振り返り、以下のように話します。

“現地とオンラインのハイブリッド開催だったため、オンラインだからこそ色々な方に登壇・参加いただけたといったメリットがあった一方、参加者同士での交流が少なくなってしまう課題も見られました。今後は「どのような取り組みをすればイベント終了後も講演者と参加者が積極的に交流できるか」という点も考えて、企画を設計できればと思います。” 

「MWS 2023」に参加するメリット

来たる2023年10月30日（月）〜11月2日（木）に、MWSのメインイベントとなる「MWS 2023」が開催予定です。

オフライン（アクロス福岡）とオンライン（Zoom）のハイブリッド開催で行われる本イベント。当日は、論文発表や企画セッション、さらにサイバー攻撃の解析を中心とした技術力を競う「MWS Cup」が行われます。

※参加には事前登録が必要で、コンピュータセキュリティシンポジウム 2023（CSS 2023）への参加登録と共通となっています。
ご登録いただくと、CSS 2023 および併催の他のワークショップのセッションにも参加が可能です。参加登録はこちら

ここからは「MWS 2023」の特徴とイベントの内容、さらに本イベントに参加するメリットをご紹介しましょう。

サイバーセキュリティの専門家が多数集結

MWSでは、マルウェア対策を含むサイバー攻撃対策研究において、優秀な論文の発表ならびに表彰（優秀論文賞・学生論文賞・ベストプラクティカル研究賞）を行っています。

CSS 2023会期中、サイバー攻撃対策関連の論文がMWSトラックにて発表され、参加者との意見交換が行われます。また、今年のMWS企画セッションでは、サイバーセキュリティ業界の最前線で活躍するリサーチャーの方々をお迎えし、生成AIの出現により大きくパラダイムシフトが起こりつつある現在のサイバーセキュリティの概観や、ご自身のキャリアチェンジなどについても、お話しいただく予定です。専門家たちが一堂に会して登壇するため、サイバーセキュリティに関する幅広い知見を得ることができるセッションになるでしょう。

また、サイバーセキュリティ業界で活躍する研究者だけではなく、実務者も多く集まるイベントとなっています。普段オンラインでしかやり取りできない専門家たちと、Face to Faceで会話をする貴重な機会となります。

MWS 2023実行委員長の羽田 大樹氏は、MWS 2023に参加するメリットについて、以下のように話します。

“MWSでは、研究室や業務の中では分からないような「他の技術者がどういったことを考え、どういう問題に取り組んでいるのか」「最先端の現場では何が起きていて、自分の会社や自分の組織ではどういうことをしなきゃいけないのか」といったものを考え直すヒントになるでしょう。また、イベントには業界から幅広い人が集まるので、そういった方との交流も大きなメリットになると考えています。”

「MWS Cup」でサイバー攻撃に関する課題に取り組み、実務に活きる経験を修得

論文発表や表彰だけでなく、MWSでは2009年よりマルウェアに関するサイバー攻撃の解析技術を競うイベント「MWS Cup」を開催しています。

MWS Cupでは、リアルなサイバー攻撃・マルウェア検体を題材にした実践的な課題を出題。4時間でマルウェア解析から機械学習、インシデント分析までを行うため、ハードではありますが、非常に人気の高い競技イベントとなっています。

参加者は、以下4つの課題に取り組み、総合的な技術力を競います。

MWS Cupの取り組み課題は、サイバーセキュリティ業界の最先端で活躍されている技術者が作問しているため、毎年実務に即した良問が出ているのが特徴です。力試しとしてだけではなく、幅広い若手の方の技術研鑽につながる人気のイベントです。

例年、競技には、学生をはじめ企業の技術者が多く参加しています。当日はオンラインとオフラインのハイブリッド開催を予定しており、現地に来られない方でも参加可能です。今年の参加申し込みは終了していますが、CSS 2023に参加される方は、2日目に開催されるMWS Cupを見学することも可能です。

保要氏は、主に学生の方がMWS Cupに参加するメリットについて、以下のように語ります。

“MWS Cupでは、研究室の中だけでは得られないような、世の中で話題になっているセキュリティ課題についてキャッチアップできるのに加え、実際に手を動かして楽しみながら学べるのがメリットだと思います。また課題への取り組みや振り返りを通して、卒業後のキャリア選択をする際の参考になり得ると考えています。”

ソリトンの荒木は「MWS Cupへの参加は、将来にも役立つかもしれない。」と続けます。

“MWS Cupはサイバー攻撃者の視点を理解できるチャンスでもあるので、学生の方にも多くご参加いただけると嬉しいです。また、将来、技術者としてのキャリアを歩まなかったとしても「サイバー攻撃に関しての実践経験がある」という経験が、他の業務にも活きることがあるのではないかと思います。現場の状況を理解しているだけで、意思決定を求められた際に、より正しい判断ができる可能性が高まるかもしれません。”

また、保要氏はMWS Cupの今後について、このように展望を語りました。

 “MWS Cupの過去問は企業の教育コンテンツとしても使用していただいているという話を聞いたことがあり、非常に嬉しく思っています。今後の取り組みとしては、公開用データセットの作成などの選択肢も考えつつ、MWSとしてさらなる人材育成に貢献していきたいです。”

サイバーセキュリティを発展させ続けるために。MWSメンバーの思いとは

今回ご紹介したMWSの取り組みは、日本のサイバーセキュリティ対策研究の発展に貢献する実践的な取り組みとして、産官学の多くの専門家から支持や評価を得ています。

今後もMWSは、情報共有や技術研鑽の場を提供する活動を通じ、日本のサイバーセキュリティを支える技術者の育成や環境づくりに励んでいきたいと強く考えているとして、羽田氏はMWS 2023とそれぞれの立場を超えた連携について、以下のようにまとめます。

 “産学が連携することはとても貴重で、様々な立場の人が同じ問題について議論することは、なかなかない機会です。機械学習の技術が成熟し、生成AIも出てきた今、イベントでは、第一線の研究者に「今後、世界がどう変わっていくのか」といった視点で話してもらえるような企画も計画しています。今後、産学が連携し、どのように考えていくのかといった議論を活発化できるようなイベントを企画しているので、ぜひ多くの人に参加していただけたらと思います。”

また、保要氏は「世の中で問題になっているような話題について学びたい方はぜひご参加していただきたい。」と話します。

 “コロナ禍の影響で、去年まで縮小モードでの開催となっていましたが、今回のMWS 2023は完全復活のイベントとなっています。当日は、サイバーセキュリティ業界の権威のような方から若手の技術者まで幅広い方がいらっしゃいます。今年も現地とオンラインのハイブリッド開催ではありますが、ぜひ現地に足を運んでいただき、直接、意見交換できるのを楽しみにしています。”

最後に、ソリトンの荒木は「MWSは、日本で最大のサイバーセキュリティに関するコミュニティ。イベントを通じて、業界全体を盛り上げていくことができたら嬉しい。」と話します。

 “サイバー攻撃はその性質上、攻撃者側が先手で技術を進歩させる状況が続いています。攻撃者にさらなる隙を与えないためには、業界関係者で情報を共有し合い、少しでも早く情報をキャッチアップすることが大切です。MWS 2023は、同じ課題を持つ人が組織を超えて交流できる貴重な場です。少しでもサイバーセキュリティに興味を持つ方は、誰でも気軽に足を運んでいただけると嬉しいです。”

取材日：2023年9月1日
株式会社ソリトンシステムズ