国立研究開発法人情報通信研究機構(NICT)は2017年にナショナルサイバートレーニングセンターを立ち上げ、「SecHack365(セックハック 365: 若手セキュリティイノベーター育成プログラム)」の実施を発表した。SecHack365はU25世代のサイバーセキュリティ研究者・起業家を創出するためのプログラムだ。
2018年3月24日、東京・秋葉原コンベンションセンターで、1年間(2017年5月~2018年3月)このプログラムに参加した“金の卵”たちの成果発表会が開催された。ここでは、参加者の研究開発の成果が展示されたほか、特に優秀と認められた成果物のプレゼンテーションが行われた。
このSecHack365で参加者に与えられたテーマは、「セキュリティに関するもの」「自由に面白いものを開発してよいがどこかにセキュリティが関わるもの」のどちらかの研究開発である。各人の研究開発の成果を聞くと、想像していた以上に商用向きのものが多く、そのいくつか紹介する。
まず、「Cyship : 仮想空間でサイバー攻防を体験できるゲーム」(北村拓也さん、青木克憲さん、川島一記さん)。これは、中高生にサイバーセキュリティに興味を持ってもらおうと開発された「潜水艦ゲーム」をモデルにしたゲームだ。「潜水艦ゲーム」とは学校の休み時間などに子供たち行って来たがアナログな遊びだ。ノートにマス目を書いて潜水艦をおき、相手の潜水艦の位置を推測して沈没させるゲームだ。
中高生にサイバーセキュリティに興味を持ってもらおうとしても、プログラミングができない子どもは取り込めない。そこで、まずゲームから親しんでもらおうと企図したという。お互い擬人化した駒をいくつか保有し、その中にサーバを潜ませる。そして“Scan”, “Attack”, “Protect”のコマンドを使い分けながら、相手のサーバが潜む駒を見つけ出し、攻略すれば勝ち。ファイアーウォールを設置したり、わざと脆弱性を見せて攻撃を誘ったりと駆け引きの妙もある。利用者の中高生にアンケートをとったところ高評価だったという。人間同士の戦いでは「負けたら情報漏えい」というペナルティをつけるという。また、上級者向けにはAI(人工知能)同士の戦いも行えるとのこと。
「ダークウェブ統合分析プラットフォーム」(小野諒人さん)のプレゼンテーションも注目された。ダークウェブとは、ブラックマーケットの温床になっている正体不明のサーバー群である。本件はその実態を解明しようとした試みで、アドレス収集システム、スキャナそして可視化システムで構成されたシステムでダークウェブの実態調査を行った。3ヶ月間で15,972のダークウェブ関連のアドレスを収集し、その上位アドレスは犯罪関連であることを突き止めた。さらに、アドレスを「堅牢」「標準」「脆弱」と分類。ダークウェブにも脆弱なアドレスが5%ほどあると発表した。本発表後、小野さんのブースには官公庁関係者らも詰めて、さまざまな質問を投げかけていた。
楽しかったのが「レーザーポインタを使って直感的/安全に家電を操作しよう」(湯川大雅さん)の発表だ。テレビ、エアコンのリモコンは直感的に操作しづらい。また、機器ごとにリモコンがあり、どんどん増えていく。スマートスピーカーのような音声でのリモコンは、静寂が求められる場所、例えば病院などでは使いづらい。そこで、湯川さんはレーザーポインタで家庭の機器を動かすことが実用的ではないかと考えた。
対象となる機器にシールを貼り、レーザーポインタで指示すれば作動する。実際に扇風機を動かす動画を見せて会場を沸かせた。利用したレーザーポインタは3Dプリンターで型枠を作り、レーザー部分を購入し、残りの部品は100円均一の店で揃えて自作したという。肝心のセキュリティ的な考察については、「他者がたとえば窓の外からレーザーポインタを勝手に照射して機器を動かすこと。また、そのレーザーが人の目に当たってしまう危険があるのがセキュリティリスク」と述べ、「レーザーポインタを操作する人をカメラで認識し、本人がボタンを押していない限り作動しないシステムにしてセキュリティを担保した」とのこと。
この春小学6年生になる二ノ方理仁(にのかた・りひと)さんの作成した「プログラミング言語pinenut」も注目を集めた。これはセキュリティ技術者向けに使い勝手のいいプログラミング言語を開発し、さらに処理速度の高速化を行ったもの。傍にいた理仁さんのお母さんに話を聞いたが、プログラミングなどの特別な教育はしなかったのに、自分で興味を持ちだしてどんどん進んだという。SecHack365トレーナーに聞くと、年齢や学校などは伏せて、純粋に応募内容だけで選抜したので、「あとで小学生とわかってびっくりした」と。
* * *
NICT「ナショナルサイバートレーニングセンター」の園田道夫センター長は「自分は本来楽観的なんですが、この1年は心配のし通しでしたね。学生さんからなかなか成果が出てこなくて、今年2月の沖縄会の直前までほんと大丈夫かと思っていたのですが、ラストスパートがすごかった。みんないい感じに仕上げてきて、そこからこの発表会に至るまでトレーナーと参加者が一体となっていましたね。参加者はみんなすごく成長したなと。小学生の二ノ方君もすばらしかった。今年度のSecHack365には、小中学生の方ももっと参加してくれるとうれしいですね」と次回への期待も語った。
年度のSecHack365についても4月2日から募集が始まっている(※募集期間4月20日まで)。若きセキュリティイノベーター候補の応募が期待される。
※SecHack365の概要、応募など関しては https://sechack365.nict.go.jp/