CTF を学びの場にする秘訣、トレンドマイクロCTF 問題作成と運営のこだわり | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.22(木)

CTF を学びの場にする秘訣、トレンドマイクロCTF 問題作成と運営のこだわり

2018年12月15日および16日の2日間、トレンドマイクロが主催するサイバーセキュリティの競技大会「Trend Micro CTF 2018~Raimund Genes Cup~」(Trend Micro CTF 2018)の決勝戦が東京都内で開催されました。

研修・セミナー・カンファレンス セミナー・イベント
参加者全員での記念撮影
参加者全員での記念撮影 全 9 枚 拡大写真
 2018年12月15日および16日の2日間、トレンドマイクロが主催するサイバーセキュリティの競技大会「Trend Micro CTF 2018~Raimund Genes Cup~」(Trend Micro CTF 2018)の決勝戦が東京都内で開催されました。同大会は2015年から行われており、今回で4回目となります。

●予選を勝ち抜いた10チームと招待3チームが優勝を目指す

 Trend Micro CTF 2018は、9月15、16日に全世界を対象としたオンライン予選が開催され、上位10チームが決勝戦に進みます。オンライン予選には、世界59以上の国と地域から740チームが参加しました。

 前回までは毎回決勝戦に進出していた日本人チームですが、今回は残念ながら1チームも決勝にたどり着くことはできませんでした(2チームは10位台にとどまりました)。一方で、昨年のエジプトに続き、今回も世界各地のトレンドマイクロがそれぞれ地域大会を開催し、アラブ地域、ラテンアメリカ地域、ヨーロッパ地域の優勝チームも決勝戦に参加。合計13チームによる決勝戦となりました。

 決勝戦最終日、14時の会場は静かな熱気に包まれていました。会場は広く、また天井も高く、イベントホールという印象です。

 会場には出場13チームのテーブルがゆったりと並び、その中央には、工場や10分カットの床屋さんなどで見かける三色の警告灯が並んでいます。ステージの反対側には仕切りで区切られた運営側のスペースがありました。

 決勝戦は、設問を参加者が解いていき点数を競う「ジェパディ(Jeopardy)」形式と、サーバへの攻防戦を繰り広げる「King-of-the-Hill」形式で構成されます。会場ではそれぞれ、「J」「K」と呼んでいました。会場の中央に並んでいた警告灯はジェパディの問題の一つで、スマートファクトリーにあるIIoT(インダストリアルIoT)機器を想定したものです。IIoT環境でも利用される警告灯です。

 参加者はこの中に隠されているシステムの脆弱性を探りながら、フラッグを見つけていきます。この問題には3つの段階があり順番に解いていかないと、フラッグを見つけられないようにしてあります。競技の開始時点では、警告灯は消灯しており、一段階クリアするごとにランプが点灯し警告音を発していきます。

●あくまで「実際に確認されたリアルな攻撃や問題点」にこだわる

 「実際に工場などの生産環境で使われているシステムを使っています」と話すのは、トレンドマイクロの上級セキュリティエバンジェリストである染谷征良氏。Trend Micro CTFの第1回から運営責任者を務める、中心的な存在です。「トレンドマイクロがCTFを開催するからには、トレンドマイクロならではのリアルな知見が生かされたものでないと意味がありません。これは第1回からこだわっているポイントのひとつです」と染谷氏は言います。

 そのため問題は、「技術者が実際にモニタリングや調査で発見した攻撃」「実際に攻撃で使われている手法や調査の中で発見した脆弱性」「システムや技術の最新動向の反映」を条件としており、たとえ技術者にとって興味深いものであっても、現実的ではない、実際的ではないと判断されたものは採用されません。「CTFでトップを狙うことも大切ですが、実際に確認されている最新の攻撃手法や、実際に利活用されるシステムや技術に触れることで、『学びの場』にしたいと考えています。人材・スキル不足に対応していくことも、トレンドマイクロがCTFを開催する意義のひとつ。そこはずっと貫いています」(染谷氏)。

 King-of-the-Hillは、用意されたサーバを奪い合うというもの。サーバにサイバー攻撃を行って乗っ取るのですが、乗っ取った直後から別のチームが攻撃を仕掛けてくるので、対策をしていかなければなりません。全てのチームの攻撃状況は可視化され、ステージの大画面に表示されています。乗っ取りに成功したり、防御に成功したりするとアナウンスが流れ、拍手が起こります。この攻防が競技の終了時間まで続くのです。

 参加チームは1チーム最大4名となっていますので、メンバーにジェパディとKing-of-the-Hillをどのように振り分けるかといった戦略も重要になります。なお、今回はひとりだけのチームもいました。中国から参加したAzure Aficionado Associationで、しかも当日の朝にホテルに忘れ物をしてしまい、取りに戻ったため周囲よりも30分ほど遅れて競技を開始しています。それでも、決勝戦の2日間で誰よりもはやく最初に問題を攻略して『First Blood』の現金5万円を勝ち取ったというのですから驚きです。

●大会の成功を支える「技術力」

 スタッフ側のスペースには、インフラチーム、スコアサーバ・可視化チーム、問題制作チームなどがいます。インフラのチームは ネットワークやシステムが順調に動作しているかを監視し、スコアサーバ・可視化の管理チームもいて正しく加点されているかどうか、競技の状況が正しく可視化されているかどうかをチェックしています。また、問題を制作したチームは、各自の問題の稼働状況やチームの進捗状況を監視しています。「問題を作成した立場としては、やはり解いて欲しいと考えています」とのこと。そのため途中でヒントを出すこともあります。また、想定すらしていなかった解き方で正解するチームもあり、ここにも運営側にとっても学びと成長があるのです。

 染谷氏によると、準備開始はCTF開催のプレス発表が行われる直前の7月から。予選と決勝戦の運営は別々のチームで行い、問題制作のポリシーは前述の通り「実際に発見されている攻撃や利活用されるシステムや技術で実際的なもの」です。しかし、セキュリティは年々ジャンルが広がっているので、それをカバーすることにも苦労があるとのこと。「脆弱性や標的型攻撃、オープンソースインテリジェンス、そしてIoT、IIoTと、さまざまなジャンルをバランス良くカバーすることを意識しています。偏りがあると参加者の強みや弱みで結果が左右されるリスクもあります」と染谷氏。

 今回の問題制作においても、近年主流になるファイルレス攻撃を取り入れ、メモリダンプを解析してC&Cサーバを見つけ出し、そのC&Cサーバ、つまり攻撃者の環境を乗っ取ったり、ランサムウェアの暗号解読なども用意したといいます。また、オープンソースインテリジェンスを活用して攻撃者を特定し、さらにそこからフラグを発見するなどができるようになっています。まさに、セキュリティ対策の現場を再現しているといえそうです。

 競技終了の1時間前になると、King-of-the-Hillのモニター画面が匿名化され、攻防の状況がわからなくなります。これは勝負は最後まで分からないので、すべての参加者に最後まで頑張り続けてほしいためだそうです。2015年のイベントで競技終了5分前の大逆転があったように、実際にここからの順位変動も多いそうで、このタイミングで打ち合わせを始めるチームもちらほら見られました。最後の1時間の争奪戦はめまぐるしく、あっという間に時間が過ぎた印象です。そして、カウントダウンとともに競技が終了。タイムアウトともに拍手が沸き起こりました。

●台湾のチーム「217」が二度目の優勝

 結果はトレンドマイクロの発表の通り、以下となりました。

1位:217(台湾)6080
2位:p4(ポーランド)4380
3位:PwnThyBytes(ルーマニア)4230
4位:r3kapig(中国)3330
5位:Azure Aficionado Association(中国)3290
6位:NSA Litomerice(チェコ)2760
7位:koreanbadass(韓国)2550
8位:Balsn(台湾)2390
9位:m3t4m0rph0s1s(エジプト)1500
10位:r00timentary(米国)1380
11位:reverselab(韓国)1110
12位:EPIC LEET TEAM [ELT](ブラジル)930
13位:dcua(ウクライナ)540

 1位となった台湾のチーム「217」は初回から毎回決勝戦に進出しており、2016年に続き2回目の優勝となりました。2位のポーランドのチーム「p4」は、2016年にも決勝戦に進出、2位となっていました。3位となったルーマニアのチーム「PwnThyBytes」も、2016年、2017年とともに6位でした。「PwnThyBytes」は残り10分で「p4」に追いついたものの、「K」を持ち続けていた「p4」が最後の5分で追加点を取って引き離すなど、ここでも最後にドラマがありました。ひとりでエントリーした中国のあの「Azure Aficionado Association」は、なんと5位と健闘しました。

 表彰式が終わると、会場の隣で懇親会となりました。競技中、ずっとインカムを耳に走り回っていた染谷氏も一息ついた様子で、話を聞くことができました。「今回も大きなトラブルもなく、2日間のライブなイベントを終えることができました。プランニングからインフラ構築、問題作成、ロジ周り、開催まで、携わってくれた方たちには感謝しかありませんが、随所に細やかな気遣いが見られ、日本ならではと感じました。今後も日本らしくクオリティを上げていきたいですね」と今回のCTFを振り返りました。

 また、「1年目は手探りの状態で、多くの業界のボランティアの方々に手伝っていただきました。2年目から単独で開催し、欧米からも参加、3年目にはトレンドマイクロのフィリピンのラボも参加しました。今回はこれまでも携わっている日本、台湾、アイルランド、アメリカ、フィリピンに加えて、チェコ、カナダが加わり、運営にかかわる部署やメンバーも倍増、さらにアラブ地域、ラテンアメリカ地域、ヨーロッパ地域でも地域大会を開催して優勝者が参加するなど、日本を中心として実施してきた中でグローバル色が広がっています」

 「CTFのための社内のプロジェクトも、規模が大きくなりました。今後も単純に大きくするだけでなく、質や種類、量を上げて、トレンドマイクロだからできる “学びのある” CTFにしていきたいですね。一方で運営メンバーはお客様やマーケットを相手にした日常業務もあるので、本業とのバランスも考えなければなりません。よりグローバルに展開して、地域性の高いサイバー攻撃をグローバルにも周知してもらうことも重要です。それも、セキュリティの現場に豊富な経験と知見を持つトレンドマイクロだからこそ、できることだと思います」と話してくれました。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

    不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

  2. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  3. サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

    サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

  4. Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

    Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

  5. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  6. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  7. 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

    6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

  8. 「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

    「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

  9. 毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか

    毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したかPR

  10. マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

ランキングをもっと見る