「穴を食べて、穴を寝て」

2023年はViettelチームがPwn2Ownコンペティションに参加して4年目となり、彼らは本当に栄光を手にしました。最初の大会は練習のみでしたが、2回目の大会（2021年）ではチームはトップ5に入り、2022年の大会では惜しくも優勝チームに敗れ、2位を獲得しました。チームリーダーのNgo Anh Huy氏は次のように述べています。「Pwn2Ownは世界最大かつ最も権威のあるサイバー攻撃コンテストであり、賞金総額が数百万ドルに上るセキュリティ界の『ワールドカップ』です。攻撃対象は、Microsoft、Apple、Google、Samsung、Xiaomiなど、大手サプライヤーが提供する、世界中で人気のデバイスやソフトウェアです。」

Pwn20wn コンテストは、2023 年 10 月 24 日から 27 日までトロント (カナダ) で開催され、最年少でもわずか 20 歳の 14 人の少年たちが優勝という目標を達成しようと決意しています。以前のコンテストのように多くの脆弱性を見つけることに重点を置くのではなく、このコンテストでは、若いエンジニアのグループは、ほとんどの人が発見して悪用していないエラーを探すという系統的な戦略を構築しました。チームリーダーのNgo Anh Huyさんがもっとも気にしていることの一つは、メンバー同士をいかに連携させてチームワークを発揮させるかということだ。大会前の最後の 2 週間、チーム全員が 1 日 20 時間働き、ほとんどその場で食事や睡眠をとり、組織委員会に送るレポートを準備したり、更新をチェックしたり、脆弱性を修正したりしなければなりませんでした。 「脆弱性は、競争が始まる前にメーカーによって発見され、修正される可能性があります。そのため、最高得点を獲得したいのであれば、できるだけ多くの脆弱性を発見し、予備の攻撃計画を準備しておく必要があるのです」と、メンバーのハ・アン・ホアン氏は付け加えた。すべては慎重に準備され、競技のためにカナダへ出発する日を待つだけでしたが、最も残念だったのは、競技日が近づいてもチーム全員がまだ入国ビザを受け取れなかったことです。 「チーム・ヴィエットルは対面での競技ではなく、自宅に留まりオンラインで競技しなければなりませんでした。これは対面での競技と比べて不利な点でもあります。カメラを通して遠隔でしか機材の確認ができないのです。対面で競技すれば、その場で相談したり、発生した状況をすぐに主催者に確認してもらったりすることができます。さらに、オンラインでの競技では、機械や設備に関連した予期せぬ問題が発生する可能性があります…」とホアン氏は振り返った。

息を呑むほどの、圧倒的な勝利

3か月間「食べて、寝て、脆弱性を探して」過ごし、ついにGアワーが到来し、ベトナムチームは短期間でセキュリティの脆弱性を攻撃する能力を発揮しなければなりません。メンバーのグエン・スアン・ホアン氏は次のように述べています。「他のセキュリティコンテストでは通常、時間制限はありませんが、このコンテストでは30分以内に脆弱性を発見する能力を証明しなければなりません。Pwn2Ownには、大手テクノロジー企業の最先端のターゲットとデバイスが集結し、最新のソフトウェアバージョンがインストールされています。競技チームの課題は、攻撃の方向を特定し、これまで発見されていない脆弱性を見つけることです。」各チームはターゲットごとに 1 回だけハッキングできます。ターゲットが難しいほど、スコアが高くなります。コンテスト終了時に、最高得点を獲得した個人または組織が賞を獲得します。 「私たちの最大の懸念は、重複したミスや、メーカーがすぐに発見して修正してしまうことです。チームメンバーはそれぞれ異なる穴を準備しました。カテゴリーのポイントが高ければ高いほど、準備しなければならないミスも増えます。このセクションでは、チームは満点を獲得し、昨年のようにポイントが減点された重複ミスはありませんでした。私たちは喜びの涙を流しました」とハ・アン・ホアンは語った。一番盛り上がったのは、決勝戦のSOHOスマッシュアップ（小規模オフィス機器）でした。チームにとっての問題は心理的なものだ。昨年優勝を逃したため、彼らは少し慎重になっている。それでも、計画通りに進まないこともありました。誰もが心配で汗をかいていた。 3つの穴を用意したにもかかわらず、最初の2回は失敗しました。 3回目に成功したとき、メンバーはようやく喜びを爆発させました...対戦相手もベトナムチームの粘り強い戦いぶりに感心せざるを得ませんでした。

T. トー

ディン・クアン・ヴー氏は、コンテストに初めて参加したにもかかわらず、携帯電話の脆弱性部門でチームの優勝に重要な貢献を果たしました。これはコンテストに新しく登場したカテゴリーです。 Vuさんは次のように語りました。「私たちのチームは、SamsungとXiaomiのモバイルデバイス2台を選択しました。コンテスト当日までに綿密な調査と準備を行い、メーカーのパッチテストに合格したにもかかわらず、Samsungでは最初の試みで不合格となりました。その時は息が詰まり、胸が張り裂ける思いでしたが、幸いにも冷静さを保ち、Xiaomiのモバイルデバイスでコンテストを勝ち抜くことができました。」世界各地から集まった最強のチームとの4夜にわたる激しい競争の後、10月27日午前1時に、チームViettelは合計スコア30で、2位チームに12.75ポイント差をつけて、見事に競争を終えました。ベトナムの若手エンジニアたちがPwn2Ownチャンピオンシップで見事優勝し、登録された7つの競技カテゴリーすべてで満点を獲得し、18万ドルの賞金を持ち帰りました。影響を受けることが判明した製品には、Xiaomi 13 Pro、QNAP ストレージ システム、Canon、HP、Lexmark プリンター、Sonos、SOHO Smashup スマート スピーカーが含まれます。この勝利は、ベトナムの情報セキュリティ業界にとって、権威ある国際トーナメントで初めて優勝したという新たな躍進を意味するものでもある。 Pwn2Own での受賞に加え、VSC 社の若手エンジニアたちは、Microsoft、Oracle、Google、Apache、VMWare などの主要な情報技術プラットフォームおよびシステムのゼロデイ セキュリティ脆弱性を 400 件以上発見しました。

新たな高みを目指す意欲

チームは大会後も満足することなく、新たな高みを目指す決意で、2024年初頭に東京（日本）で開催予定の次回大会に向けて準備を始めました。ハ・アン・ホアン氏は、「今日の勝利に至るまで、私たちは容易な段階から困難な段階へと一歩一歩進んできました。チーム全体の勝利は非常に喜ばしいものですが、この競争相手を無視することはできません。専門知識の面では、海外のチームが持つ研究分野や能力があり、Viettelチームにはそれができないからです。チームの当面の目標は、新たな研究テーマを見つけ、AppleやGoogleといった巨大サプライヤーのセキュリティ上の脆弱性を見つけることです。そして、さらなる目標は、世界のセキュリティ分野でリーダーシップを発揮することです。」と語りました。国際社会から認められ、数多くの有名なテクノロジー企業から数千米ドルの報酬で仕事に招かれているベトナムの若手セキュリティ専門家の一人である Ngo Anh Huy 氏は、今も Team Viettel に所属しています。 「私にとって、課題を克服することは、自分自身を主張し、新しいセキュリティランキングを達成することだけではありません。私はベトナムに留まり、同じ情熱を共有する若者とともに情報セキュリティ業界の新しい歴史のページを書き続け、国際舞台でベトナムを有名にしたいのです」とフイ氏は語った。 Viettelの取締役会長兼総裁であるタオ・ドゥック・タン大佐によると、これは正解を見つける競争ではなく、むしろ若いエンジニアが世界の主要な技術機器のサプライヤーやメーカーと「戦う」必要がある「単語キャッチ」ゲームです。サプライヤーの背後には、Canon、Xiaomi などの非常に大きなグループがいます。サプライヤーが最後の瞬間に突然パッチをリリースし、競合チームが受け身になり、対応できなくなるため、勝利するのは簡単ではありません。タオ・ドゥック・タン大佐は、Pwn2Own 2023 での優勝は単なる始まりに過ぎないと語った。サイバーセキュリティの分野は非常に広く、サイバースペースも広大で、若いエンジニアたちには多くの課題が待ち受けているため、「ホワイトハットハッカー」の道のりはまだ長い。 IoT分野に留まらず、産業、エネルギー、電力、安全などの分野もあり、若手エンジニアには活躍の場があります。