セキュリティキャンプ・コネクト 2026 脅威クラスに参加した
応募まで
コネクトを知ってから応募するまでの経緯です。
応募登録まで
セキュリティキャンプに参加したことがあり、 そのときにセキュリティキャンプの公式Xをフォローしていたので、 公式からの投稿でコネクトのことを知った気がします。
コースの一覧の中の脅威クラスの扱う内容のうち、 誤情報や偽情報は自分の専門領域と少しだけ重なっていたこと、 セキュリティと安全保障的な側面は前から気になっていたことから、 脅威クラスに応募することにしました。
事前課題
レポートをまとめるときは、『情報分析力』(小泉悠)を参考にしました。 とくに脅威インテリジェンスのバックグラウンドはなかった(APTXX のような攻撃グループがあるらしい、くらいの知識)ので、教科書的な書籍を読むことから始め、応募課題の執筆にはわりと時間をかけました。 問いは以下の3つでした。
【問1】以下について回答してください ・国家主体型攻撃グループとして知られている攻撃アクター(攻撃者)を一つ選び、選定理由、攻撃者の動機、攻撃手法を示してください。 ・動機については、技術的な観点、非技術的な観点(攻撃当時の国際情勢)を踏まえ、解答してください。
【問2】以下について回答してください ・偽情報の流布について、偽情報の定義、偽情報の分析手法、対策手法について調査をして自分の考えを述べてください。
【問3】脅威クラスに応募するにあたっての、①志望動機、②現在注力している分野、③脅威クラスで学びたいこと、について説明してください。
問1
問1については、Silent Librarian と呼ばれる大学図書館や研究所を対象としていた攻撃者グループを選びました。 最初に攻撃アクターの名前などの基本情報とレポートの要約を書いて、 以降では選定理由、攻撃者の動機、攻撃手法について見出しを立て詳細を書いていきました。
選定理由では、 設問の要件である国家主体型攻撃グループについての定義、 図書館にかかわる攻撃者グループであるのに図書館系の雑誌では言及がないことや、 学術的リソースの安全保障という観点で重要な事例であることを650字程度で書きました。
攻撃者の動機では攻撃が活発だった時期の国際情勢や、 現在のアカデミアにおける雑誌へのアクセス権の高騰、 アメリカの経済制裁などを参考文献や記事をもとに説明して、 そこから推測される事項を書きました。 また、攻撃者の最新動向についてよくわからない点があったため、 その現象を説明したうえで理由は不明であると書きました。 合計で2100字程度です。
攻撃手法では、攻撃手法が最も詳しく掲載されている米国の訴訟記録の大学図書館を標的としたシナリオを、サイバー攻撃の用語体系である MITRE ATT&CK の用語を用いながら整理しました。 そのように事実を整理したうえで、用いられている技術の傾向を近年の大学図書館側のセキュリティ対策も踏まえて分析しました。 合計1700字程度です。
問1は合計5100字程度で、一番力を入れて書きました。
問2
最初に概要を書き、 偽情報の定義、偽情報の分析手法、偽情報の対策手法についてそれぞれ見出しを立てて説明しました。 以下は、一番最初に記載した概要です。
脅威インテリジェンスの文脈に沿って、「意図的かつ組織的な、意図や情報源に関わらず、虚偽または誤解を招く情報」を偽情報と定義する。偽情報の分析手法はさまざまだが、Attribution に絞って、IIO Attribution フレームワークや EU DisinfoLab の CIB フレームワークを参考に Attribution の材料を列挙する。最後に、対策手法として Attribution を正確に、効率的に行うための枠組みについて議論する。
偽情報の定義は280字程度、偽情報の分析手法は1700字程度、偽情報の対策手法は1200字程度で書きました。合計、3300字程度でした。適宜参考文献を入れています。
問3
志望動機、現在注力している分野、脅威クラスで学びたいことについて、合計3000字程度で書きました。 個人的なことになるので、具体的な内容は割愛します。
合否
発表を確認すると、 脅威クラスは5人程度の募集と記載されていたのに対して、 10人程度の合格者が発表されていて戸惑いました。 応募数が多くて、合格者を増やしたのかもしれません。
当日講義
面白かった講義をまとめます。 どの講義も興味深かったですが、 とくに超過外力とゼロデイ -防災、サイバー、レジリエンス-、サイバー空間の脅威を知る、脅威分析、サイバー空間の脅威の捉え方(国際視点、日本視点)の講義が印象に残っています。
超過外力とゼロデイ -防災、サイバー、レジリエンス-
防災アカウント、アプリで有名なNERV開発者の方の講義でした。 防災の領域に入ったきっかけなどの気持ち面の話から、 気象庁の設備との接続やアプリ開発の話などの技術面の話まで幅広い内容でした。 大手町の気象庁庁舎に接続のために回線をひきにいった話や、 デザイン面でアクセシビリティを意識して震度に180個のアイコンを用意している話など、 技術的な話も当然面白かったのですが、 とくに、技術をきちんと社会に役立てているという点が非常に印象的でした。 防災というドメインを考えて、 現場にいるユーザーの判断を誤った方向に誘導しないようにナビゲーションを実装しないという判断や、 冗長性という意味で防災アプリ業界全体の多様性を考えているという話など、 防災アプリ開発をするための哲学に触れることができ、 自分が作るものを省みなければと思いました。
サイバー空間の脅威を知る
JPCERT の佐々木さんの講義でした。 脅威インテリジェンスにおいて、攻撃アクターを特定するという意味の Attribution が、 実際の現場でどのように行われているのかを知ることができました。 具体的な攻撃アクターを挙げながら、 Attribution の方法や、 Attribution の失敗理由を検討していくことが非常に面白かったです。 どのように信頼できる情報を探すのか、という点は今後に役立つ知識でした。
脅威分析
プロデューサーの石川さんの講義でした。 座学で脅威分析の方法論を学んだあと、 用意された環境でマルウェアの初歩的な静的解析をして、 YARA ルールを作成し、 脅威インテリジェンスの技術面のおおまかな流れを理解することができました。 とくに YARA ルールを実際に書いたり、 配布されている YARA ルールを読んでみたりすることで、 どのような特徴をもとにマルウェアを検出するのかのイメージを掴むことができました。
脅威モデリング
簡単な座学をしたあとに、仮想的なサービスを題材にして、 具体的なシナリオをたててみるという演習を行いました。 面白かったのが、 考えたシナリオに対して、開発者側の視点にたった講師が反論をしてくるという形式です。 セキュリティを守ろうと躍起になって無数のシナリオをたてたとしても、 そのシナリオの実現性や危険度などを考慮しないと実際の開発現場に役立てることはできないことを実感することができました。
情報心理学
情報通信研究機構の鈴木さんによる、 心理学の観点からセキュリティを考えるという講義でした。 セキュリティと心理学の融合はまだまだ歴史が浅いらしく、 行動経済学の分野の知見も含め現時点での可能な限りの知見を集めながら セキュリティ理論の構築と実証をしていそうで、 今まさに構築が進んでいる分野という雰囲気を感じて面白かったです。 人間の心理特性を活用した具体的なインシデント事例や研究事例(Tischer, 2016 など)を紹介してもらうことができ、 心理面を悪用されるということを実感することができました。
偽情報・情報作戦
IPAの長迫さんによる、 国家レベルの偽情報の拡散や対抗手段について学びました。 拡散側が身元を公にしていることは当然非常に少ないので、 手がかりの少ない中でどのように情報作戦に対して対抗していくのかという部分で、 非常に悩ましい問題があることを知ることができました。 現状では技術的な解決が難しく、 法制度側、理論側で発展させていく必要がありそうという感触でした。
サイバー空間の脅威の捉え方(国際視点、日本視点)
米国と中東を題材に、国が目的を達成するためにとりうるオプションを検討し議論するというワークをしました。 技術系のバックグラウンドを持っているとつい技術的なオプションを所与として考えてしまうのですが、 そもそもなぜ国家としてサイバー攻撃を選ぶのかを考えるという点が非常に重要だと感じました。
他クラスとの交流
グループワークなりコネクトワークなりがありましたが、 他のクラスの講義について雑談するときが一番楽しかったです。 とくに法律クラスの人が弁護士の方とロールプレイしていたときの内容や、 デバイスクラスの人の自作キーボードの脆弱性とその対策の話などが面白かったです。
まとめ
脅威クラスで扱うような分野はセンシティブな内容も含みがちであり、 実際の肌感などを学ぶのは独学では難しいところがあると思います。 その点で非常に得難い経験ができたと思います。 セキュリティキャンプの脅威クラスと異なり、 本格的なバイナリ解析をするわけではないため入門者も遠慮なく応募してみるといいでしょう(来年があるかどうかは知りませんが)。 実際に演習でやった解析は、ほぼ指示にしたがってコマンドを打つだけで、 Linux でコマンドを打ったことがある人なら誰でもできる内容でした。 (逆に言えば、高度なバイナリ解析の内容を期待している人には物足りないと思います。) 技術系以外のバックグラウンドをもった人を広く求めていそうな雰囲気だったので、 セキュリティキャンプ全国大会などは敷居が高いと感じる人も、 自分の分野と紐づけて応募課題を書いてみるといいと思います。