2024年9月13日、東京のベルサール六本木にてAutomotive CTF Japanが初開催され、興奮の中クライマックスを迎えました。経済産業省の委託を受け、Block Harbor とのパートナーシップの元、VicOne と三菱総合研究所 (MRI) が共同運営するこのキャプチャー・ザ・フラッグ (CTF) コンテストは、サイバーセキュリティのエキスパートのスキルアップを目的としており、初心者においては自動車サイバーセキュリティ分野に触れる機会を提供することを目指しています。また、このコンテストの開催にあたり、自動車技術会 (JSAE)、Japan Automotive ISAC、ティアフォー、トヨタ自動車からも後援をいただきました。
Automotive CTF Japan決勝 優勝チーム
競技は中盤まで、チーム「ierae」と「TeamONE」がともに18,600 ポイントでトップに立っていましたが、他の決勝進出チーム「藤原豆腐店」、「FCCPC」、「Pwn4s0n1c」も得点は大きく離れておらず、混戦状態にありました。
「ierae」は[ECU B] RAMピークの問題を解き、決勝進出5チームの中で唯一、15 問全問正解し、合計 20,600 ポイント獲得でコンテストの優勝を勝ち取りました。18,600ポイントで 2 位となったのは「TeamONE」でした。
Automotive CTF Japan 2024の上位チーム「ierae」と「TeamONE」がそれぞれ1位と2位に輝いた
Automotive CTF Japan 2024 の最終チームスコア
(出典: Automotive CTF Japan 2024)
ハードウェアとソフトウェアが混在する問題
[ECU B] RAMピークは、コンテスト中に行われたハードウェアベースの問題の1つで、トヨタ自動車の研究者により開発された、自動車システムの研究・調査に使用されるクレジットカードサイズの電子制御ユニット(ECU)テストベッドであるResistant Automotive Miniature Network (RAMN)を基に構築されました。
決勝進出チームは、VicOneの次世代VSOCプラットフォームであるxNexusをベースにした、さまざまなCANバスの異常を解決する問題のほか、車両の燃料シリンダーに関するものや、脆弱性 ID を特定する問題に挑戦しました。ソフトウェアの締めくくりとして出題された、「私はEV充電器」と命名された問題は、参加者がオンライン上に流出したと仮定されたファームウェアに基づき、電気自動車 (EV) 充電器のブランドを特定するという内容でした。
脅威が進化する中、サイバーセキュリティ人材不足への対応
Automotive CTFを通したハッキング演習は、模擬的な自動車システムの弱点をターゲットにしていますが、未知の脆弱性を発見する可能性も秘めており、最終的には自動車走行の安全性とセキュリティ向上につながります。Automotive CTFはフラグを発見するだけでなく、自動車業界における有能な人材を育成し、進化し続ける脅威環境から自動車を守るためのプラットフォームとしての役割も果たしています。
VicOneのマックス・チェン最高経営責任者(CEO)は、Automotive CTF Japanの冒頭で、次世代の自動車サイバーセキュリティのエキスパートを育成するこのCTFの重要性を強調した
成績に関わらず、すべての参加者にとってこのCTFが、実際の攻撃シナリオを通して実践的な実地経験を積む機会となり、コネクテッドカーの未来を守るために成長を続ける自動車サイバーセキュリティコミュニティへの参加に一歩近づくきっかけとなることを願っています。
次回:デトロイトで開催されるAutomotive CTF 2024 グローバル決勝
チーム「ierae」と「TeamONE」は、10月21日に米国ミシガン州デトロイトで開催されるAutomotive CTF 2024グローバル決勝に臨み、10月23日にMGM Grand Detroitで開催される第8回Auto-ISACサイバーセキュリティサミットにて表彰式が行われます。
グローバル決勝では、日本から参加の2チームが世界の強豪と戦い、自動車をテーマとした世界最大級のCTFコンテストの今年の最終優勝者という貴重な座をかけて競われます。
寄稿:Jay Turla(VicOne プリンシパルセキュリティリサーチャー)
