[SECCON 2014決勝] 運営が考え抜いた難問に強豪チームも苦戦――僕らはバイナリに強いチームだ。Webなんて知らない | ScanNetSecurity
2024.04.25(木)

[SECCON 2014決勝] 運営が考え抜いた難問に強豪チームも苦戦――僕らはバイナリに強いチームだ。Webなんて知らない

歴史あるDEF CON CTF出場権が与えられるのはSECCON CTFしかない。SECCON CTF 2014には世界58か国から応募があり、「PPP」(米DEF CON CTF2年連続優勝)、「Dragon Sector」(ポーランド:世界CTFランキング1位)といった世界のトップチームも参加する大会となった。

研修・セミナー・カンファレンス セミナー・イベント
facebookLINE
「みなさん、ぜひ内閣サイバーセキュリティセンターの門をたたいてください」と応援スピーチをした山口大臣
「みなさん、ぜひ内閣サイバーセキュリティセンターの門をたたいてください」と応援スピーチをした山口大臣 全 23 枚 拡大写真
SECCON CTF 2014の決勝戦は、年をまたいで2015年の2月7日、8日に行われた。全国で行われた地区予選を突破した24チームが、会場となる東京電機大学 千住キャンパスに集まり熱戦を繰り広げた。

SECCON CTFはもともと学生向けのイベントとして開催されたものだが、回を追うごとに対象を広げ、3回目となる2014年度大会は海外チームにも門戸を開き、いままでにない規模での開催となった。しかも優勝チームは、次のDEF CON CTFの正規の出場登録・審査が免除され、無条件で出場権が得られる。加えて、主催者から大会参加のためのホテルが用意される(旅費はチーム負担)。

人気の高いDEF CON CTFに確実にエントリーできるとあって、SECCON CTF 2014には世界58か国から応募があり、「PPP」(米国:DEF CON CTF2年連続優勝)、「Dragon Sector」(ポーランド:世界CTFランキング1位)といった世界トップクラスのチームも参加する大会となった。

世界中で開催されるCTFの国際大会はいくつもあるが、歴史のあるDEF CON CTFの出場権が与えられるCTFは、いまのところSECCON CTFしかない。その理由について大会実行委員長 竹迫良範氏は「国際大会となったことで、CTFイベントの元祖ともいえる「DEF CON CTF」から、ラスベガスでのCTFの優先出場枠を与えるCall for Competitionに応募してみないかとオファーがありました。とくに意識して国際大会にしたわけではありませんが、せっかくなのでと申請したところ、DEF CON出場枠が獲得できました。」と説明した。

なお、竹迫氏は、今後の方針について次のように語ってくれた。

「出場権は得ましたが、DEF CONのコピーにはしたくないので、これからもSECCONのカラーを生かした日本独自のCTFとして大会運営を続けたいと思っています。また、今後は地方予選の他、インターハイ、インターカレッジのようなイベントを増やしたいですね。海外チームも参戦するとレベルが上がりますから、エントリーレベルのCTFも必要だと思います。」

決勝の競技は主催者が用意した6台のサーバーに対して、参加チームが攻撃を仕掛ける。それぞれのサーバーには攻略課題(バイナリ、Web、フォレンジックなど)のテーマが設定され、そのテーマに沿った方法で侵入方法や攻略ポイントを発見し、成功すれば(フラグをとる)得点となる。また、侵入したサーバー経由で他チームを攻撃することも可能だ。このとき他からの攻撃や侵入を防いだ場合、そのチームには防御ポイントが加算される。基本的にはこのようなハッキングを2日間行い、攻撃・防御の合計ポイントで順位を争う。

決勝戦の最終順位は、1位:TOEFL Beginner(韓国:4506ポイント)、2位:HITCON(台湾:3112ポイント)、3位:PPP(米国:2848ポイント)という結果となった。日本チームは4位にbinja、5位に0x0と続いた。多くは0x0(SECCON連続優勝)、Dragon Sector、PPPなどの優勝を予想していたが、結果は韓国チームが2位に1000ポイント以上の差をつけての勝利となった。主催者によれば、問題にSECCONらしさを出すため他のCTFにはないような工夫を凝らしたという。例えば、TCP/IPのプロトコルに精通していないと、一般的なCTFツールでは解析できないレベルの課題だ。他の国際大会とは違った傾向の問題に強豪チームも苦戦したようだ。

表彰式のあとは、会場を変えて参加者による交流会が開催された。競技が終わった各チームメンバーや関係者が親睦を深め、情報交換などを行う場だ。各国の強豪チームも参加していたので、主だったチームのコメントを拾ってみよう。

TOEFL Beginner:
DEF CONの出場権が得られるとあったので、当然それを狙っていました。優勝できてうれしいです。手強かったのはPPPでした。

HITCON:
競技中にチームの攻撃状況がリアルタイムでわかるNIRVANAは画期的だと思いました。DEF CONの出場枠は狙っていたので、2位は残念でした。やはり実力の差ですね。

PPP:
うちのチームはバイナリ―問題が得意なのに、Webの問題が難しいというか時間が足りなかった。TOEFL Beginnerは強かったね。DEF CONでリベンジするよ。


0x0:
SECCONでは2回優勝していたので、問題の傾向などつかんでいたはずですが、海外勢が強かったですね。問題のレベルも上がっていたと思います。攻めるポイントが見えにくかったのが敗因です。

大会最年少の参加者は14歳の中学生だった。コンピュータとのかかわりや将来の夢を聞いたところ、

「普段はScalaやJavaでプログラミングしています。覚えたてのころはゲームプログラムをやっていましたが、いまはライブラリを作ったりロジックを考えたり処理を作るのが楽しいです。将来はエンジニアになりたいですが、CTFは趣味で続けていきたいと思っています。」

と答えてくれた。チームは大学生との混成チームだが、長野県の予選で知り合った仲間でチームを作ったとのことだ。

《中尾真二》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  3. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  4. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  9. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  10. LINE client for iOS にサーバ証明書の検証不備の脆弱性

    LINE client for iOS にサーバ証明書の検証不備の脆弱性

ランキングをもっと見る
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事
TOP