中国の大学のハッキングコンテストは本当に被害者を狙ったのか？

セキュリティ カンファレンスでのキャプチャー ザ フラッグハッキング コンテストには、通常、参加者がコンピューター ハッキングとセキュリティのスキルを開発および実証できるようにすることと、雇用主や政府機関が新しい人材を発掘して採用できるように支援するという 2 つの目的があります。

しかし、中国で行われたある安全保障会議では、コンテストがさらに一歩進んだものとなり、参加者に未知の標的から情報を収集させるための秘密スパイ活動として利用される可能性がある。

中国の珠江カップ（全国大学サイバーセキュリティ攻撃・防御コンテストとしても知られる）の資料を翻訳した西洋の研究者2人によると、昨年初めて開催された3部構成のコンテストのうちの1つの部分には、その秘密主義的かつ型破りな目的を示唆するいくつかの珍しい特徴があったという。

キャプチャー・ザ・フラッグ（CTF）をはじめとするハッキング競技は、通常、クローズドネットワーク、つまり「サイバーレンジ」と呼ばれる専用インフラで開催されます。サイバーレンジとは、参加者が現実のネットワークを混乱させるリスクを回避するために設置された、競技専用のインフラです。これらのレンジは、現実世界の構成を模倣した模擬環境を提供し、参加者はシステムの脆弱性を見つけたり、ネットワークの特定の部分にアクセスしたり、データをキャプチャしたりといった課題を課されます。

中国には、競技会用のサイバーレンジを設置する大手企業が2社あります。ほとんどの競技会では、レンジを設計した企業に敬意を表しています。特に、Zhujian Cupの資料には、サイバーレンジやそのプロバイダーについては一切記載されていませんでした。研究者たちは、これは競技会がシミュレーションではなく実際の環境で行われたためではないかと考えています。

このコンテストでは、学生たちにいくつかの異例の条件に同意する文書への署名も求められました。コンテストで求められた課題の内容について誰とも話し合うことが禁じられ、標的のシステムを破壊したり妨害したりしないことに同意する必要がありました。また、コンテスト終了時には、システムに仕掛けたバックドアやそこから取得したデータをすべて削除する必要がありました。さらに、研究者が調査した中国の他のコンテストとは異なり、珠江杯のこの部門の参加者は、コンテストの内容やその一環として行った課題を明らかにするソーシャルメディアへの投稿を禁止されていました。

参加者は、コンテストに使用されたデータ、文書、印刷物の複製、発見した脆弱性に関する情報の開示、および個人的な目的での脆弱性の悪用も禁止されました。参加者が署名した誓約書によると、これらのデータまたは資料の漏洩が発生し、コンテスト主催者または中国に損害を与えた場合、法的責任を問われる可能性があります。

誓約書には「万一、私個人の都合により情報漏洩事件等が発生し、主催者及び国家に損害を与えた場合、私個人が関係法令に従い法的責任を負うことを誓います」と記されている。

このコンテストは、陝西省西安市にある理工系大学、西北工業大学が昨年12月に主催した。同大学は中国工業情報化部の傘下にあり、中国政府と軍のために業務を行うための最高機密の許可も取得している。同大学は中国人民解放軍の監督下にある。

大学もコンテストの共同スポンサー数社も、コンテストに関するWIREDの問い合わせには回答しなかった。

セキュリティ企業Sentinel Oneの戦略アドバイザリー・コンサルタントであるダコタ・キャリー氏と、スイスのETHチューリッヒ大学セキュリティ研究センターの上級サイバー防衛研究者であるエウジェニオ・ベニンカーサ氏は、中国のハッキングコンテストについて調査中に、この異例のコンテストとその要件を発見した。2人はアトランティック・カウンシルに報告書を提出し、木曜日にアリゾナ州で開催されるセキュリティ会議Labsconで調査結果を発表する予定だ。

彼らは、コンテストが現実世界の標的への攻撃に利用されたという確固たる証拠はなく、彼らが有する証拠は状況証拠に過ぎないことを認めている。しかし、他に説明のしようがないため、これが実際に起こったという確信度は85%であると述べた。

「代わりとなる説明はたくさんあるが、どれも裏付ける証拠がない」と、中国語に堪能で、中国の攻撃的なハッキング能力を何年も徹底的に研究してきたケアリー氏は言う。

もう一つ考えられるのは、攻撃の標的が、学生たちに実際のネットワークの脆弱性を見つける経験を与え、また企業に現実世界の敵からネットワークをより安全に守るのに役立つ脅威評価を提供するためにコンテストに協力した国内企業または組織であったというものである。

しかし、キャリー氏によると、中国ではこのような演習は「クラウドテスト」コンテストと呼ばれているという。しかし、珠江カップの説明にはこのフレーズはどこにも見当たらない。「もし本当にCTF演習なら、なぜ参加者はデータを削除したり…バックドアを仕掛けたりするのでしょうか？」と彼は疑問を呈する。そして、なぜ学生たちは、競技中に保有するデータや資料が漏洩した場合、法的責任を問われる可能性があると言われるのだろうか？そして、学生たちがサイバーレンジ内の標的を攻撃していたとしたら、誓約書の文言にあるように、それがどうして「主催者と国家に損失や損害」をもたらす可能性があるのだろうか？

このコンテストは昨年の年末年始の週末、12月30日と31日に開催されました。もし標的が実際に現実世界のネットワークだったとすれば、研究者たちは、休暇中はセキュリティチームの人員が不足したり、侵入に対する注意力や警戒心が低下したりすることが多いと指摘しています。29校から約200人の学生がこの週末のコンテストに参加しました。学校が公開したコンテスト概要によると、コンテストは3つのパートで構成されており、理論知識コンテスト、脆弱性発見コンテスト、そして「公共ネットワークを標的とした実戦攻撃コンテスト」です。キャリー氏とベニンカサ氏は、後者の部分が現実世界の標的に焦点を当てていたと考えています。

研究者たちは、2004年以降中国で開催された120以上のキャプチャー・ザ・フラッグ競技（多くは毎年開催）を調査し、中国がこうした競技をどのように人材獲得とサイバー攻撃・防御能力の拡大に活用してきたかを明らかにした。中国がサイバー人材の育成に本格的に力を入れ始めたのは、エドワード・スノーデン氏の情報漏洩によって米国国家安全保障局（NSA）が諜報目的で実施していた大規模なハッキング活動が暴露された2015年以降だと研究者らは述べている。

中国はサイバー防御を強化するため、2015年から2021年の間にサイバーセキュリティ教育プログラムと採用活動の刷新と拡大に注力した。後者の大きな部分を占めたのは、キャプチャー・ザ・フラッグ競技の開発と規制だった。

もちろん、CTFは中国に限った話ではありません。世界中で開催されており、中でも米国では、ラスベガスで毎年開催されるハッキングカンファレンス「デフコン」で開催されるCTFが最も古いイベントの一つで、20年近く続いています。米国政府も人材獲得のためにハッカソンを開催していますが、中国ほどの規模ではありません。

研究者らによると、2014年以降、中国では540回以上のキャプチャー・ザ・フラッグ競技が開催されている。最も活発な活動は2018年に始まり、この年、中国の中央サイバースペース事務局と公安部が、こうした競技の規制と促進に関する通知を出した。現在、中国国民は、中国国外のハッキング競技に参加するには、公安局に許可を申請しなければならない。中国の指導者たちは、中国の学生やセキュリティ専門家が国際的なハッキング競技で大きな成功を収めていることに気付き、こうした競技で中国人が優勝するたびに、競技中に彼らが公開した脆弱性によって、国が潜在的に貴重な資産を失っていることを認識した。現在、中国国民が発見した脆弱性はすべて政府に報告しなければならず、公表してはならない。

しかし重要なのは、中国が国内のキャプチャー・ザ・フラッグ・コンテスト構築に注力してきた結果、今日では世界で最も堅牢なハッキングコンテスト・エコシステムの一つが構築されていることだ、と研究者らは述べている。このエコシステムには、医療や法執行機関といった分野に特化したコンテストも含まれる。研究者らは、過去10年間で約30万人がコンテストに参加したと推定しているが、学生も参加できるコンテストはわずか4つしか見つかっていない。コンテストは全国の大学が主導し、企業や政府の支援も受けている。コンテストの優勝者や優れたスキルを示した者は、国家データベースに登録される。

キャリー氏は、もし珠江杯に実際に生きた標的が関与していたとすれば、主催者が学生たちを、もし捕まった場合に法的責任を問われる可能性がある立場に置いたことは「注目に値する」と述べている。しかし、もしそうだとすれば、政府が学生を諜報活動に利用したのは今回が初めてではない。2022年、フィナンシャル・タイムズ紙は、中国が自国のハッカー集団によるスパイ活動で盗まれた文書やデータの翻訳を、何も知らない大学生に依頼していたと報じた。報道によると、学生たちには資料の出所は伝えられていなかったという。

中国で行われたハッキン​​グ大会が、後に中国に起因するとされた現実世界の情報漏洩事件に関与した事例は、今回が初めてではないかもしれない。2015年、Threat Connectの研究者らは、中国の東南大学が2014年に主催したハッキン​​グ大会「TOPSEC Cup」と、同年に発生した医療大手Anthemへのハッキング事件との間に、重複の可能性を示す興味深い証拠を発見した。東南大学は、中国の民間情報機関である国家安全部と金銭的なつながりを持っている。