シマンテックは将来の情報セキュリティ分野を担う若年層の意識と関心を高めることを目的として、高校生を対象にしたコンテスト「サイバーセキュリティチャレンジ 2012」を7月17日~8月20日にかけて開催した。コンテスト課題は、「提示されたプログラムの脆弱性を見つけるとともに、セキュリティを高め、個々の脆弱性を回避するために、どのようなコードで書くべきかを文書で説明する」というもの。8月31日には、同社本社で最優秀賞と優秀賞の発表と表彰式が行われた。

「国内の高等学校、高等専門学校に在学する学生」「同じ学校の2名~4名のチーム」などを参加資格として行われた今回のコンテスト。最優秀賞には東京・海城高校の堀口さん、中林さん、高橋さんの高校1年生チームが、優秀賞には北海道札幌国際情報高校の秋山さん、林さん、今多さんのチームが輝いた。

最優秀賞の東京・海城高校チーム

優秀賞の北海道札幌国際情報高校チーム

シマンテック社員も交えて記念撮影

シマンテックにとって初の試みであった今回のコンテストについて、同社 ジャパン デベロップメントセンター執行役員 藤田 幸雄氏は、「5番目の戦場ともされるサイバー攻撃から身を守るためには、一人一人あるいは企業の意識付けが大事」とした上で、受賞チームについて「北海道札幌国際情報高校は、重大なセキュリティホールを5つ見つけ、どのように修正すればよいかも的確に回答。海城高校は、同じく重大なセキュリティホールを5つとリソース枯渇に関する脆弱性について論理的で非常に優れた回答となっており、問題を作成した社員も褒めていた」と述べた。

セールスエンジニアリング本部 執行役員 村上 智氏は、「シマンテック単独での、このようなセキュリティの情報啓発と人材発掘は初めての試み。今回受賞された2校6名の方と、セキュリティに対する共有を行えることに喜びを感じている」と述べ、また、コンサルティングビジネス本部 執行役員 井部 俊生氏は「今回の課題は文章で回答する形式だったが、多くの回答がソースコードも追加して非常にレベルの高い回答が集まった。海城高校は、見つけた脆弱性から生じる事象についても細かく触れられており、ソースコードやアプリへの習熟度の高さがうかがえ、本当に素晴らしい回答。北海道札幌国際情報高校は、問題点やその対応策について有効性の理由まで簡潔にまとめられており、脆弱性に対しての知識がよくわかる回答」と講評を述べた。

受賞チームを代表して、海城高校の堀口さんは「すごい賞を頂いてありがとうございます。周りにはセキュリティにあまり興味がない人が多かったので、今回のコンテスト受賞で関心を持ってもらえたらいいなと思います」と、北海道札幌国際情報高校の秋山さんは「高校ではプログラム自体をあまり知らないとか嫌いとかいう人が多いけど、僕はすごい好きで、周りにもそんな人が増えてほしいなと思って応募した。賞をもらったことでその願いも叶うんじゃないかなと思います」と受賞の感想をコメント。

東京・海城高校の堀口さん

北海道札幌国際情報高校の秋山さん

最優秀賞 表彰状

今回の課題は、サーバとクライント機能を持つ簡易チャットアプリケーションのソースコード・コンパイラ・exeを参加者に渡し、そこから脆弱性を見つけるというもの。課題の作成にあたっては、「シマンテックのブランドもあり、"高校生向けに簡単な内容"ということはしていない。課題レベルの設定やアプリの作成などに数ヵ月をかけて準備し、おそらく大学生でも全問正解は難しいレベル」とジャパンデベロップメントセンター サイバーディフェンス準備室 室長の吉田 隆之氏は言う。メインのソースコードは約1000行で、この中に14個の脆弱性が課題として隠されていた。

課題アプリの動作画面イメージ

課題となった脆弱性としては、"swprintf()"や"wcstombs()"といったセキュアではない関数の使用や、"mallock()"で確保したリソースをfreeにしていないといったものから、"gethostbyname()"の取得値を信頼して処理しており4バイト以上の値が返ってきた場合にオーバーフローするというものや、用途によっては脆弱性にならない場合もあるが、認証や通信の暗号化がされていないといったものまで多岐に渡った。

課題の解説を行ったセールスエンジニアリング本部 谷村氏は受賞2校が見つけた中でも、"よく発見してくれた"と言及したのは、文章の処理において変数をsigned char型で定義しているために128行以上を与えると処理が行われない脆弱性。この脆弱性を含め、2校とも同じセキュリティホールを5つ見つけたが、チャットクライアントからの接続数制限を行っていないためにリソースが枯渇する可能性がある点に言及した海城高校チームが最優秀賞となった。

14個の脆弱性の模範解答

gethostbyname()の回答例

Socketをクローズしていないためリソース枯渇となる場合がある

表彰式当日は、受賞した高校生とシマンテック社員とのフリーディスカッションや同社社内の見学、「世界を取り巻くセキュリティ事情」に関する講義などが行われた。

高校生など若い人たちにセキュリティ分野の意識と関心を高めることを目的とした「サイバーセキュリティチャレンジ」。同社では、第2回の開催も決定しているという。

国レベルでも経済産業省を中心にセキュリティ分野での若手人材の発掘や育成への関心が高まっており、独立行政法人 情報処理センター(IPA)ではセキュリティ・キャンプを開催。シマンテックも今回の「サイバーセキュリティチャレンジ」のほか、高校生を対象とした「科学の甲子園」の情報分野での出題協力や、セキュリティスペシャリストの育成を目的とした「シマンテック・サイバーディフェンスアカデミー」の開校などといった取り組みを行っている。