标签: サイバーセキュリティについて

ネットセキュリティについての考察

发布于

なんでサイバーセキュリティ業界って、こうも痛い奴らばっかりなの?

ここは、幼稚な「巨大児」とバカがうじゃうじゃいる業界だ。そいつらのせいで、業界全体が低スペックな人間の溜まり場に成り下がっている。

〇〇セキュリティチーム

この業界の特徴は、誰でも勝手に「〇〇セキュリティチーム」を名乗れることだ。

WeChatの公式アカウントを作れば「〇〇チーム」、掲示板を立てれば「〇〇コミュニティ」、スクリプトキディが数人集まれば「〇〇グループ」……。

名前だけは凄そうだが、実態は大学生のサークル活動レベル。少し突っ込んで聞くと、「うちは〇〇のレッドチーム出身がいる」とか「〇〇の脆弱性ランキングで何位だ」とか、偉そうにふんぞり返る。

子供の頃、小学生数人で集まって「江南七怪」を気取っていたのと大差ない。

〇〇セキュリティ研修

企業研修をやっていた頃、セキュリティ講師の知り合いが何人かいた。ネットで検索して出てくる講師は、Bilibiliやテンセント、個人サイト、公式バックアップのあるオフライン講師まで、君が思いつく限りの人間を私は知っている。

今のセキュリティ研修なんて、どれもWebペネトレーションの焼き直しで、カリキュラムはコピペ。最近の講師は、自分でコードを書いたりコード監査をしたりできる奴すらほとんどいない。

「SRC脆弱性発掘コース」なんて、結局は昔のツールで脆弱なURLを叩いていたスクリプトキディ時代に逆戻りしただけ。今の研修は、それを小綺麗にパッケージ化した「お洒落なスクリプトキディ」養成所に過ぎない。

ちょっとかじった程度で研修を始めて、カモを刈り取る。カモの方も、sqlmapを叩いてデータベースのパスワードを抜くのが「何年も修行が必要な超絶技巧」だと信じ込んでいるから、ハッカーへの憧れを抱いてバカな講師に金を払う。そして後になって、自分がカモられたことに気づくんだ。

実際、北京の某機関で500万円も払って学んだ学生が、現場でBurp Suiteすら使えなかった(誇張じゃなく、マジで)なんてケースも見てきた。

バカな研修機関がスクリプトキディを大量生産し、そいつらが経歴を盛り、「コード監査ができる」「脆弱性を見つけた」「HW(演習)に参加した」と嘘をついて業界に流れ込む。そうやってゴミがどんどん増えていく。

ゴミが増えれば、仕事はブラック化する

業界にゴミが溢れた結果、HR(人事)は履歴書を信じなくなり、学歴というハードスペックで足切りをするようになった。リストラされるのは、決まって低学歴のエンジニアだ。

学歴は、少なくとも受験戦争を勝ち抜いた「学習能力」の証明になる。セキュリティ業界には、そこまで替えのきかない高度な技術なんてほとんどない。なら、「高学歴+技術あり」を残すのは当然だ。たとえ技術が少し劣っていても、学習能力があれば教えれば済む話だから。

かつて、この業界は野蛮な成長期にあり、草の根出身や低学歴の独学派にもチャンスがあった。だが、中国人の「悪知恵」にかかれば、そんな業界もあっという間に食い潰されてしまう。

发布于

サイバーセキュリティって、実はまやかしなんじゃないかな

トレーダーになる前、僕の主な収入源はサイバーセキュリティだった。だからブログにもこの業界の話をよく書いていたんだけど、まずは一つ、こんな話をしてみよう。「サイバーセキュリティって、実は偽りの命題(フェイク)なんじゃないか?」

絶対的に安全なネットワークなんて存在するのか?

ハッカー文化に「心酔」している人の多くは、「絶対安全なネットワークなんてない」と言う。僕も中学でセキュリティーを学び始めた頃はこの言葉にシビれたもんだ。「技術さえ極めれば無敵になれる、脆弱性を見つけてエンターキーを叩けば一瞬でシェルが取れる」なんてね。

でも、いざ本気で勉強して業界に入ってみると、気づくんだ。「絶対的に安全」なネットワークなんて、実はいくらでもあるってことに。

周知の通り、この業界には「護網(HW)」と呼ばれる演習がある。みんなHWとかHVVとか略して、まともに言わないけどね。要はブルーチームとレッドチームに分かれた攻防シミュレーションだ。大学生も小遣い稼ぎやマウント取りに参加したりする。

中でもレッドチームはみんなの憧れだ。行けない奴らは羨望の眼差しを向ける。僕も最初は「初級ブルー」だったけど、努力すればレッドに近づけると思ってた。でも実際に入ってみたら、レッドなんて大したことない。大手のラボにいる凄腕たちだって、別に魔法を使ってるわけじゃないんだ。

どんなに天才的なハッカーでも、攻撃するには基本的なネットワーク通信プロトコルの原理に従うしかないからね。

じゃあ、「絶対防御」は存在するのか?

ごく簡単な例を挙げよう。VPSを一台借りて、SSHログインのみ許可する。パスワードは16桁の英数字・記号のランダムな組み合わせ。その中にDockerでMySQL+Nginx+WordPressの構成を組み、記事を一つ投稿する。タイトルは「クソ喰らえレッドチーム、かかってこいよ」。ポートは22、80、443以外すべて閉じ、22番ポートには「パスワードを一度でも間違えたら即IP BAN」というスクリプトを仕込む。ドメインを買った瞬間からサイト全体にCloudflareを噛ませる。

この単純な構成だけで、国内のいわゆる「ハッカー先生」たちの99%は手も足も出ないと断言できる。彼らが突破できる可能性があるとすれば、僕のリアルIPを特定するか、NginxやWordPressの0day(未公開の脆弱性)を見つけるか、あるいは将来0dayが出るのを待つしかない。今この瞬間にこのサイトを落とすなんて、まず不可能だ。

これって、シンプルだけどほぼ「絶対防御」の事例だよね?大物ハッカー様が、自分たちをバカにしている相手に手も足も出ない。そう、ハッカーなんて外野が思っているほど万能じゃないんだ。

じゃあ、なんで世の中にはこんなに脆弱性が溢れているのか?

もし僕が会社を立ち上げるとして、さっきのシンプルなサイトにサブドメインを増やし、色んなサービスを展開するとしよう。一人じゃ回らないから、プログラマーを大量に雇う。中には「コメント欄でポップアップが出る(XSS)」ことの意味すら分かっていないような連中もいるけど、社畜として毎日コードを書いてくれる。

ここで初めて、サイバーセキュリティ業界が育つ「土壌」ができる。雇った連中が一体どんなクソコードを書いてるか、僕には把握しきれないからだ。人が増えれば増えるほど、脆弱性も増える。ひどい時には、人事が採用した大学生が作った管理画面のログイン認証が、某大手企業のサイトみたいに「JavaScriptで止めてるだけ」なんてことすら起きる。

要するに、関わる人間が増えれば増えるほどバカも増える。バカが増えれば脆弱性が増える。脆弱性が増えれば、サイバーセキュリティという商売が成り立つ。それだけのことだ。

結局、サイバーセキュリティは偽りの命題なのか?

技術的な面で言えば、僕はセキュリティを独立した「業界」として扱うのは好きじゃない。ずっと「ソフトウェアテスト」の一分野だと思っている。例えばSRC(脆弱性報奨金制度)でのバグ探しやペネトレーションテストなんて、実質的なワークフローはソフトウェアテストとそっくりだ。

ただ、ソフトウェアテストをやってるのは、大学で大して勉強しなかったけどIT業界にしがみつきたい連中だ。彼らがロボットみたいにスクリプトを回して退屈なチェックをしている間に、リリースされたソフトからセキュリティ屋が山ほど脆弱性を見つけて金に変える。だから、セキュリティが別枠で隔離されているのも、まあ理にはかなっているんだけどね。