[SECCON 2014決勝] 運営が考え抜いた難問に強豪チームも苦戦――僕らはバイナリに強いチームだ。Webなんて知らない | ScanNetSecurity
2020.03.31(火)

[SECCON 2014決勝] 運営が考え抜いた難問に強豪チームも苦戦――僕らはバイナリに強いチームだ。Webなんて知らない

歴史あるDEF CON CTF出場権が与えられるのはSECCON CTFしかない。SECCON CTF 2014には世界58か国から応募があり、「PPP」(米DEF CON CTF2年連続優勝)、「Dragon Sector」(ポーランド:世界CTFランキング1位)といった世界のトップチームも参加する大会となった。

研修・セミナー・カンファレンス セミナー・イベント
「みなさん、ぜひ内閣サイバーセキュリティセンターの門をたたいてください」と応援スピーチをした山口大臣
「みなさん、ぜひ内閣サイバーセキュリティセンターの門をたたいてください」と応援スピーチをした山口大臣 全 23 枚 拡大写真
SECCON CTF 2014の決勝戦は、年をまたいで2015年の2月7日、8日に行われた。全国で行われた地区予選を突破した24チームが、会場となる東京電機大学 千住キャンパスに集まり熱戦を繰り広げた。

SECCON CTFはもともと学生向けのイベントとして開催されたものだが、回を追うごとに対象を広げ、3回目となる2014年度大会は海外チームにも門戸を開き、いままでにない規模での開催となった。しかも優勝チームは、次のDEF CON CTFの正規の出場登録・審査が免除され、無条件で出場権が得られる。加えて、主催者から大会参加のためのホテルが用意される(旅費はチーム負担)。

人気の高いDEF CON CTFに確実にエントリーできるとあって、SECCON CTF 2014には世界58か国から応募があり、「PPP」(米国:DEF CON CTF2年連続優勝)、「Dragon Sector」(ポーランド:世界CTFランキング1位)といった世界トップクラスのチームも参加する大会となった。

世界中で開催されるCTFの国際大会はいくつもあるが、歴史のあるDEF CON CTFの出場権が与えられるCTFは、いまのところSECCON CTFしかない。その理由について大会実行委員長 竹迫良範氏は「国際大会となったことで、CTFイベントの元祖ともいえる「DEF CON CTF」から、ラスベガスでのCTFの優先出場枠を与えるCall for Competitionに応募してみないかとオファーがありました。とくに意識して国際大会にしたわけではありませんが、せっかくなのでと申請したところ、DEF CON出場枠が獲得できました。」と説明した。

なお、竹迫氏は、今後の方針について次のように語ってくれた。

「出場権は得ましたが、DEF CONのコピーにはしたくないので、これからもSECCONのカラーを生かした日本独自のCTFとして大会運営を続けたいと思っています。また、今後は地方予選の他、インターハイ、インターカレッジのようなイベントを増やしたいですね。海外チームも参戦するとレベルが上がりますから、エントリーレベルのCTFも必要だと思います。」

決勝の競技は主催者が用意した6台のサーバーに対して、参加チームが攻撃を仕掛ける。それぞれのサーバーには攻略課題(バイナリ、Web、フォレンジックなど)のテーマが設定され、そのテーマに沿った方法で侵入方法や攻略ポイントを発見し、成功すれば(フラグをとる)得点となる。また、侵入したサーバー経由で他チームを攻撃することも可能だ。このとき他からの攻撃や侵入を防いだ場合、そのチームには防御ポイントが加算される。基本的にはこのようなハッキングを2日間行い、攻撃・防御の合計ポイントで順位を争う。

決勝戦の最終順位は、1位:TOEFL Beginner(韓国:4506ポイント)、2位:HITCON(台湾:3112ポイント)、3位:PPP(米国:2848ポイント)という結果となった。日本チームは4位にbinja、5位に0x0と続いた。多くは0x0(SECCON連続優勝)、Dragon Sector、PPPなどの優勝を予想していたが、結果は韓国チームが2位に1000ポイント以上の差をつけての勝利となった。主催者によれば、問題にSECCONらしさを出すため他のCTFにはないような工夫を凝らしたという。例えば、TCP/IPのプロトコルに精通していないと、一般的なCTFツールでは解析できないレベルの課題だ。他の国際大会とは違った傾向の問題に強豪チームも苦戦したようだ。

表彰式のあとは、会場を変えて参加者による交流会が開催された。競技が終わった各チームメンバーや関係者が親睦を深め、情報交換などを行う場だ。各国の強豪チームも参加していたので、主だったチームのコメントを拾ってみよう。

TOEFL Beginner:
DEF CONの出場権が得られるとあったので、当然それを狙っていました。優勝できてうれしいです。手強かったのはPPPでした。

HITCON:
競技中にチームの攻撃状況がリアルタイムでわかるNIRVANAは画期的だと思いました。DEF CONの出場枠は狙っていたので、2位は残念でした。やはり実力の差ですね。

PPP:
うちのチームはバイナリ―問題が得意なのに、Webの問題が難しいというか時間が足りなかった。TOEFL Beginnerは強かったね。DEF CONでリベンジするよ。


0x0:
SECCONでは2回優勝していたので、問題の傾向などつかんでいたはずですが、海外勢が強かったですね。問題のレベルも上がっていたと思います。攻めるポイントが見えにくかったのが敗因です。

大会最年少の参加者は14歳の中学生だった。コンピュータとのかかわりや将来の夢を聞いたところ、

「普段はScalaやJavaでプログラミングしています。覚えたてのころはゲームプログラムをやっていましたが、いまはライブラリを作ったりロジックを考えたり処理を作るのが楽しいです。将来はエンジニアになりたいですが、CTFは趣味で続けていきたいと思っています。」

と答えてくれた。チームは大学生との混成チームだが、長野県の予選で知り合った仲間でチームを作ったとのことだ。

《中尾真二》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  2. 脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

    脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

  3. 成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

    成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

  4. 機械学習アルゴリズムに脆弱性(JVN)

    機械学習アルゴリズムに脆弱性(JVN)

  5. 「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)

    「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)

  6. 新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)

    新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)

  7. CISO に求める役割ベスト3とこれから求める役割(IPA)

    CISO に求める役割ベスト3とこれから求める役割(IPA)

  8. プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)

    プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)

  9. GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター)

    GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター)

  10. Appleが8製品10バージョンのセキュリティアップデートを公開(JVN)

    Appleが8製品10バージョンのセキュリティアップデートを公開(JVN)

ランキングをもっと見る