米空軍3回目のハッカーによる脆弱性探査 [米空軍]
2016年4月に当時のカーター国防長官の肝いりで始まったホワイトハッカーを活用したITシステムの脆弱性探しイベントですが、これが各軍種にも広がり、7日から始まった米空軍による3回目の「Hack the Air Force 3.0」は、191か国から参加者を募るこれまで最大の規模になるようです
これまでのイベントを振り返ると
●国防省の「Hack the Pentagon」
---2016年4月 約1か月間 250名が参加し130のバグ発見(費用1700万円)
---2017年2月 約1か月間 精鋭80名が参加 3年契約で4.3億円
初めは公開ネットワークが対象だったが、少しづつ国防省内ネットワークにも対象拡大
●米空軍の「Hack the Air Force」
---2017年8月 米英加豪NZのみから募集
---2017年12月 米英加豪NZに加え、NATO諸国とスウェーデン
---2018年11月 191か国に募集拡大
7日付米空軍協会web記事によれば
●7日に始まった「Hack the Air Force 3.0」は11日まで実施され、191か国から参加者を募る国防省史上で最大規模の取り組みとなる
●今回のハッキングの対象となるのは、国防省から米空軍に提供されたソフト(vulnerabilities with Defense Department applications that have been recently migrated to a USAF-owned cloud)で、発見された「バグ」の重大性に応じて報奨金がハッカーに支払われる
●昨年行われた同イベントでは、合計約1100万円の報奨金が支払われ、報奨金1件当たりの最高額は約140万円であった。この額は国防省内で行われたすべての同種イベントの中で最高額である
●米空軍のCIOで同イベントを監督するWanda Jones-Heath女史は、「このイベントは、米空軍ネットワークに内在する重大な脆弱性を改善しようとする意志を示すものである」と表現している
●米空軍は、国防省レベルの「Hack the Pentagon」を運営する「HackerOne」との企業と連携している
///////////////////////////////////////////////////////
参加者の募集や選定、ホワイトハッカーによる悪意あるハッキングの防止、ハッキング対象システムの選定など、イベントの運営には技術的にややこしいコツやノウハウが必要な気がしますが、もう一つ重要なのは、発見された脆弱性を直ちに修復することだそうです
そのために米空軍は特別修復チームを待機させ、イベント終了までにすべての脆弱性への対処を終了していることをめざしとの事。サイバーの世界はスピード勝負らしいです
日本でもなんとかならないでしょうか・・・これ。
民間ハッカーにチェックを依頼
「第2回米空軍をハッカーがチェック」→http://holyland.blog.so-net.ne.jp/2017-12-23
「発展版Hack the Pentagon」→http://holyland.blog.so-net.ne.jp/2017-02-16
「第1弾Hack the ・・成果発表」→http://holyland.blog.so-net.ne.jp/2016-06-20-1
「米サイバー戦略がもたらすもの」→https://holyland.blog.so-net.ne.jp/2018-11-02
「サイバー軍司令官が課題を」→https://holyland.blog.so-net.ne.jp/2018-03-04
「サイバー人材の苦悩:米海兵隊」→https://holyland.blog.so-net.ne.jp/2018-01-31
これまでのイベントを振り返ると
●国防省の「Hack the Pentagon」
---2016年4月 約1か月間 250名が参加し130のバグ発見(費用1700万円)
---2017年2月 約1か月間 精鋭80名が参加 3年契約で4.3億円
初めは公開ネットワークが対象だったが、少しづつ国防省内ネットワークにも対象拡大
●米空軍の「Hack the Air Force」
---2017年8月 米英加豪NZのみから募集
---2017年12月 米英加豪NZに加え、NATO諸国とスウェーデン
---2018年11月 191か国に募集拡大
7日付米空軍協会web記事によれば
●7日に始まった「Hack the Air Force 3.0」は11日まで実施され、191か国から参加者を募る国防省史上で最大規模の取り組みとなる
●今回のハッキングの対象となるのは、国防省から米空軍に提供されたソフト(vulnerabilities with Defense Department applications that have been recently migrated to a USAF-owned cloud)で、発見された「バグ」の重大性に応じて報奨金がハッカーに支払われる
●昨年行われた同イベントでは、合計約1100万円の報奨金が支払われ、報奨金1件当たりの最高額は約140万円であった。この額は国防省内で行われたすべての同種イベントの中で最高額である
●米空軍のCIOで同イベントを監督するWanda Jones-Heath女史は、「このイベントは、米空軍ネットワークに内在する重大な脆弱性を改善しようとする意志を示すものである」と表現している
●米空軍は、国防省レベルの「Hack the Pentagon」を運営する「HackerOne」との企業と連携している
///////////////////////////////////////////////////////
参加者の募集や選定、ホワイトハッカーによる悪意あるハッキングの防止、ハッキング対象システムの選定など、イベントの運営には技術的にややこしいコツやノウハウが必要な気がしますが、もう一つ重要なのは、発見された脆弱性を直ちに修復することだそうです
そのために米空軍は特別修復チームを待機させ、イベント終了までにすべての脆弱性への対処を終了していることをめざしとの事。サイバーの世界はスピード勝負らしいです
日本でもなんとかならないでしょうか・・・これ。
民間ハッカーにチェックを依頼
「第2回米空軍をハッカーがチェック」→http://holyland.blog.so-net.ne.jp/2017-12-23
「発展版Hack the Pentagon」→http://holyland.blog.so-net.ne.jp/2017-02-16
「第1弾Hack the ・・成果発表」→http://holyland.blog.so-net.ne.jp/2016-06-20-1
「米サイバー戦略がもたらすもの」→https://holyland.blog.so-net.ne.jp/2018-11-02
「サイバー軍司令官が課題を」→https://holyland.blog.so-net.ne.jp/2018-03-04
「サイバー人材の苦悩:米海兵隊」→https://holyland.blog.so-net.ne.jp/2018-01-31
コメント 0