[SECCON 2014決勝] 運営が考え抜いた難問に強豪チームも苦戦――僕らはバイナリに強いチームだ。Webなんて知らない | ScanNetSecurity
2021.07.31(土)

[SECCON 2014決勝] 運営が考え抜いた難問に強豪チームも苦戦――僕らはバイナリに強いチームだ。Webなんて知らない

歴史あるDEF CON CTF出場権が与えられるのはSECCON CTFしかない。SECCON CTF 2014には世界58か国から応募があり、「PPP」(米DEF CON CTF2年連続優勝)、「Dragon Sector」(ポーランド:世界CTFランキング1位)といった世界のトップチームも参加する大会となった。

研修・セミナー・カンファレンス セミナー・イベント
「みなさん、ぜひ内閣サイバーセキュリティセンターの門をたたいてください」と応援スピーチをした山口大臣
「みなさん、ぜひ内閣サイバーセキュリティセンターの門をたたいてください」と応援スピーチをした山口大臣 全 23 枚 拡大写真
SECCON CTF 2014の決勝戦は、年をまたいで2015年の2月7日、8日に行われた。全国で行われた地区予選を突破した24チームが、会場となる東京電機大学 千住キャンパスに集まり熱戦を繰り広げた。

SECCON CTFはもともと学生向けのイベントとして開催されたものだが、回を追うごとに対象を広げ、3回目となる2014年度大会は海外チームにも門戸を開き、いままでにない規模での開催となった。しかも優勝チームは、次のDEF CON CTFの正規の出場登録・審査が免除され、無条件で出場権が得られる。加えて、主催者から大会参加のためのホテルが用意される(旅費はチーム負担)。

人気の高いDEF CON CTFに確実にエントリーできるとあって、SECCON CTF 2014には世界58か国から応募があり、「PPP」(米国:DEF CON CTF2年連続優勝)、「Dragon Sector」(ポーランド:世界CTFランキング1位)といった世界トップクラスのチームも参加する大会となった。

世界中で開催されるCTFの国際大会はいくつもあるが、歴史のあるDEF CON CTFの出場権が与えられるCTFは、いまのところSECCON CTFしかない。その理由について大会実行委員長 竹迫良範氏は「国際大会となったことで、CTFイベントの元祖ともいえる「DEF CON CTF」から、ラスベガスでのCTFの優先出場枠を与えるCall for Competitionに応募してみないかとオファーがありました。とくに意識して国際大会にしたわけではありませんが、せっかくなのでと申請したところ、DEF CON出場枠が獲得できました。」と説明した。

なお、竹迫氏は、今後の方針について次のように語ってくれた。

「出場権は得ましたが、DEF CONのコピーにはしたくないので、これからもSECCONのカラーを生かした日本独自のCTFとして大会運営を続けたいと思っています。また、今後は地方予選の他、インターハイ、インターカレッジのようなイベントを増やしたいですね。海外チームも参戦するとレベルが上がりますから、エントリーレベルのCTFも必要だと思います。」

決勝の競技は主催者が用意した6台のサーバーに対して、参加チームが攻撃を仕掛ける。それぞれのサーバーには攻略課題(バイナリ、Web、フォレンジックなど)のテーマが設定され、そのテーマに沿った方法で侵入方法や攻略ポイントを発見し、成功すれば(フラグをとる)得点となる。また、侵入したサーバー経由で他チームを攻撃することも可能だ。このとき他からの攻撃や侵入を防いだ場合、そのチームには防御ポイントが加算される。基本的にはこのようなハッキングを2日間行い、攻撃・防御の合計ポイントで順位を争う。

決勝戦の最終順位は、1位:TOEFL Beginner(韓国:4506ポイント)、2位:HITCON(台湾:3112ポイント)、3位:PPP(米国:2848ポイント)という結果となった。日本チームは4位にbinja、5位に0x0と続いた。多くは0x0(SECCON連続優勝)、Dragon Sector、PPPなどの優勝を予想していたが、結果は韓国チームが2位に1000ポイント以上の差をつけての勝利となった。主催者によれば、問題にSECCONらしさを出すため他のCTFにはないような工夫を凝らしたという。例えば、TCP/IPのプロトコルに精通していないと、一般的なCTFツールでは解析できないレベルの課題だ。他の国際大会とは違った傾向の問題に強豪チームも苦戦したようだ。

表彰式のあとは、会場を変えて参加者による交流会が開催された。競技が終わった各チームメンバーや関係者が親睦を深め、情報交換などを行う場だ。各国の強豪チームも参加していたので、主だったチームのコメントを拾ってみよう。

TOEFL Beginner:
DEF CONの出場権が得られるとあったので、当然それを狙っていました。優勝できてうれしいです。手強かったのはPPPでした。

HITCON:
競技中にチームの攻撃状況がリアルタイムでわかるNIRVANAは画期的だと思いました。DEF CONの出場枠は狙っていたので、2位は残念でした。やはり実力の差ですね。

PPP:
うちのチームはバイナリ―問題が得意なのに、Webの問題が難しいというか時間が足りなかった。TOEFL Beginnerは強かったね。DEF CONでリベンジするよ。


0x0:
SECCONでは2回優勝していたので、問題の傾向などつかんでいたはずですが、海外勢が強かったですね。問題のレベルも上がっていたと思います。攻めるポイントが見えにくかったのが敗因です。

大会最年少の参加者は14歳の中学生だった。コンピュータとのかかわりや将来の夢を聞いたところ、

「普段はScalaやJavaでプログラミングしています。覚えたてのころはゲームプログラムをやっていましたが、いまはライブラリを作ったりロジックを考えたり処理を作るのが楽しいです。将来はエンジニアになりたいですが、CTFは趣味で続けていきたいと思っています。」

と答えてくれた。チームは大学生との混成チームだが、長野県の予選で知り合った仲間でチームを作ったとのことだ。

《中尾真二》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. チャットサポートから顧客情報不正入手し無断契約変更:東京電力から東京ガスへ

    チャットサポートから顧客情報不正入手し無断契約変更:東京電力から東京ガスへ

  2. 時事通信社記者がUSBメモリ紛失、だんまりを決め込むも一年後警察からの連絡で発覚

    時事通信社記者がUSBメモリ紛失、だんまりを決め込むも一年後警察からの連絡で発覚

  3. プライバシーが重視されるコミュニティに起こりうる最悪の事態、銃販売店の顧客データ 11 万件盗難

    プライバシーが重視されるコミュニティに起こりうる最悪の事態、銃販売店の顧客データ 11 万件盗難

  4. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  5. KLab IDに外部から大量の不正アクセス、約52万件の確認メールを送信

    KLab IDに外部から大量の不正アクセス、約52万件の確認メールを送信

  6. コロナ対策リーダーへのワクチン接種案内メール、約44,000名に誤送信

    コロナ対策リーダーへのワクチン接種案内メール、約44,000名に誤送信

  7. proofpoint Blog 第3回 「セキュリティと業務効率性の矛盾を両立する」

    proofpoint Blog 第3回 「セキュリティと業務効率性の矛盾を両立する」

  8. IPA脆弱性届出、製品別は「Webアプリ」が最多に -- 四半期レポート

    IPA脆弱性届出、製品別は「Webアプリ」が最多に -- 四半期レポート

  9. 個人情報保護委員会、マイナンバーのヒヤリハット・漏えい事例をまとめた資料を公表

    個人情報保護委員会、マイナンバーのヒヤリハット・漏えい事例をまとめた資料を公表

  10. ランサムウェア対策ポータルサイト開設

    ランサムウェア対策ポータルサイト開設

ランキングをもっと見る