CTF を学びの場にする秘訣、トレンドマイクロCTF 問題作成と運営のこだわり | ScanNetSecurity
2019.12.13(金)

CTF を学びの場にする秘訣、トレンドマイクロCTF 問題作成と運営のこだわり

2018年12月15日および16日の2日間、トレンドマイクロが主催するサイバーセキュリティの競技大会「Trend Micro CTF 2018~Raimund Genes Cup~」(Trend Micro CTF 2018)の決勝戦が東京都内で開催されました。

研修・セミナー・カンファレンス セミナー・イベント
参加者全員での記念撮影
参加者全員での記念撮影 全 9 枚 拡大写真
 2018年12月15日および16日の2日間、トレンドマイクロが主催するサイバーセキュリティの競技大会「Trend Micro CTF 2018~Raimund Genes Cup~」(Trend Micro CTF 2018)の決勝戦が東京都内で開催されました。同大会は2015年から行われており、今回で4回目となります。

●予選を勝ち抜いた10チームと招待3チームが優勝を目指す

 Trend Micro CTF 2018は、9月15、16日に全世界を対象としたオンライン予選が開催され、上位10チームが決勝戦に進みます。オンライン予選には、世界59以上の国と地域から740チームが参加しました。

 前回までは毎回決勝戦に進出していた日本人チームですが、今回は残念ながら1チームも決勝にたどり着くことはできませんでした(2チームは10位台にとどまりました)。一方で、昨年のエジプトに続き、今回も世界各地のトレンドマイクロがそれぞれ地域大会を開催し、アラブ地域、ラテンアメリカ地域、ヨーロッパ地域の優勝チームも決勝戦に参加。合計13チームによる決勝戦となりました。

 決勝戦最終日、14時の会場は静かな熱気に包まれていました。会場は広く、また天井も高く、イベントホールという印象です。

 会場には出場13チームのテーブルがゆったりと並び、その中央には、工場や10分カットの床屋さんなどで見かける三色の警告灯が並んでいます。ステージの反対側には仕切りで区切られた運営側のスペースがありました。

 決勝戦は、設問を参加者が解いていき点数を競う「ジェパディ(Jeopardy)」形式と、サーバへの攻防戦を繰り広げる「King-of-the-Hill」形式で構成されます。会場ではそれぞれ、「J」「K」と呼んでいました。会場の中央に並んでいた警告灯はジェパディの問題の一つで、スマートファクトリーにあるIIoT(インダストリアルIoT)機器を想定したものです。IIoT環境でも利用される警告灯です。

 参加者はこの中に隠されているシステムの脆弱性を探りながら、フラッグを見つけていきます。この問題には3つの段階があり順番に解いていかないと、フラッグを見つけられないようにしてあります。競技の開始時点では、警告灯は消灯しており、一段階クリアするごとにランプが点灯し警告音を発していきます。

●あくまで「実際に確認されたリアルな攻撃や問題点」にこだわる

 「実際に工場などの生産環境で使われているシステムを使っています」と話すのは、トレンドマイクロの上級セキュリティエバンジェリストである染谷征良氏。Trend Micro CTFの第1回から運営責任者を務める、中心的な存在です。「トレンドマイクロがCTFを開催するからには、トレンドマイクロならではのリアルな知見が生かされたものでないと意味がありません。これは第1回からこだわっているポイントのひとつです」と染谷氏は言います。

 そのため問題は、「技術者が実際にモニタリングや調査で発見した攻撃」「実際に攻撃で使われている手法や調査の中で発見した脆弱性」「システムや技術の最新動向の反映」を条件としており、たとえ技術者にとって興味深いものであっても、現実的ではない、実際的ではないと判断されたものは採用されません。「CTFでトップを狙うことも大切ですが、実際に確認されている最新の攻撃手法や、実際に利活用されるシステムや技術に触れることで、『学びの場』にしたいと考えています。人材・スキル不足に対応していくことも、トレンドマイクロがCTFを開催する意義のひとつ。そこはずっと貫いています」(染谷氏)。

 King-of-the-Hillは、用意されたサーバを奪い合うというもの。サーバにサイバー攻撃を行って乗っ取るのですが、乗っ取った直後から別のチームが攻撃を仕掛けてくるので、対策をしていかなければなりません。全てのチームの攻撃状況は可視化され、ステージの大画面に表示されています。乗っ取りに成功したり、防御に成功したりするとアナウンスが流れ、拍手が起こります。この攻防が競技の終了時間まで続くのです。

 参加チームは1チーム最大4名となっていますので、メンバーにジェパディとKing-of-the-Hillをどのように振り分けるかといった戦略も重要になります。なお、今回はひとりだけのチームもいました。中国から参加したAzure Aficionado Associationで、しかも当日の朝にホテルに忘れ物をしてしまい、取りに戻ったため周囲よりも30分ほど遅れて競技を開始しています。それでも、決勝戦の2日間で誰よりもはやく最初に問題を攻略して『First Blood』の現金5万円を勝ち取ったというのですから驚きです。

●大会の成功を支える「技術力」

 スタッフ側のスペースには、インフラチーム、スコアサーバ・可視化チーム、問題制作チームなどがいます。インフラのチームは ネットワークやシステムが順調に動作しているかを監視し、スコアサーバ・可視化の管理チームもいて正しく加点されているかどうか、競技の状況が正しく可視化されているかどうかをチェックしています。また、問題を制作したチームは、各自の問題の稼働状況やチームの進捗状況を監視しています。「問題を作成した立場としては、やはり解いて欲しいと考えています」とのこと。そのため途中でヒントを出すこともあります。また、想定すらしていなかった解き方で正解するチームもあり、ここにも運営側にとっても学びと成長があるのです。

 染谷氏によると、準備開始はCTF開催のプレス発表が行われる直前の7月から。予選と決勝戦の運営は別々のチームで行い、問題制作のポリシーは前述の通り「実際に発見されている攻撃や利活用されるシステムや技術で実際的なもの」です。しかし、セキュリティは年々ジャンルが広がっているので、それをカバーすることにも苦労があるとのこと。「脆弱性や標的型攻撃、オープンソースインテリジェンス、そしてIoT、IIoTと、さまざまなジャンルをバランス良くカバーすることを意識しています。偏りがあると参加者の強みや弱みで結果が左右されるリスクもあります」と染谷氏。

 今回の問題制作においても、近年主流になるファイルレス攻撃を取り入れ、メモリダンプを解析してC&Cサーバを見つけ出し、そのC&Cサーバ、つまり攻撃者の環境を乗っ取ったり、ランサムウェアの暗号解読なども用意したといいます。また、オープンソースインテリジェンスを活用して攻撃者を特定し、さらにそこからフラグを発見するなどができるようになっています。まさに、セキュリティ対策の現場を再現しているといえそうです。

 競技終了の1時間前になると、King-of-the-Hillのモニター画面が匿名化され、攻防の状況がわからなくなります。これは勝負は最後まで分からないので、すべての参加者に最後まで頑張り続けてほしいためだそうです。2015年のイベントで競技終了5分前の大逆転があったように、実際にここからの順位変動も多いそうで、このタイミングで打ち合わせを始めるチームもちらほら見られました。最後の1時間の争奪戦はめまぐるしく、あっという間に時間が過ぎた印象です。そして、カウントダウンとともに競技が終了。タイムアウトともに拍手が沸き起こりました。

●台湾のチーム「217」が二度目の優勝

 結果はトレンドマイクロの発表の通り、以下となりました。

1位:217(台湾)6080
2位:p4(ポーランド)4380
3位:PwnThyBytes(ルーマニア)4230
4位:r3kapig(中国)3330
5位:Azure Aficionado Association(中国)3290
6位:NSA Litomerice(チェコ)2760
7位:koreanbadass(韓国)2550
8位:Balsn(台湾)2390
9位:m3t4m0rph0s1s(エジプト)1500
10位:r00timentary(米国)1380
11位:reverselab(韓国)1110
12位:EPIC LEET TEAM [ELT](ブラジル)930
13位:dcua(ウクライナ)540

 1位となった台湾のチーム「217」は初回から毎回決勝戦に進出しており、2016年に続き2回目の優勝となりました。2位のポーランドのチーム「p4」は、2016年にも決勝戦に進出、2位となっていました。3位となったルーマニアのチーム「PwnThyBytes」も、2016年、2017年とともに6位でした。「PwnThyBytes」は残り10分で「p4」に追いついたものの、「K」を持ち続けていた「p4」が最後の5分で追加点を取って引き離すなど、ここでも最後にドラマがありました。ひとりでエントリーした中国のあの「Azure Aficionado Association」は、なんと5位と健闘しました。

 表彰式が終わると、会場の隣で懇親会となりました。競技中、ずっとインカムを耳に走り回っていた染谷氏も一息ついた様子で、話を聞くことができました。「今回も大きなトラブルもなく、2日間のライブなイベントを終えることができました。プランニングからインフラ構築、問題作成、ロジ周り、開催まで、携わってくれた方たちには感謝しかありませんが、随所に細やかな気遣いが見られ、日本ならではと感じました。今後も日本らしくクオリティを上げていきたいですね」と今回のCTFを振り返りました。

 また、「1年目は手探りの状態で、多くの業界のボランティアの方々に手伝っていただきました。2年目から単独で開催し、欧米からも参加、3年目にはトレンドマイクロのフィリピンのラボも参加しました。今回はこれまでも携わっている日本、台湾、アイルランド、アメリカ、フィリピンに加えて、チェコ、カナダが加わり、運営にかかわる部署やメンバーも倍増、さらにアラブ地域、ラテンアメリカ地域、ヨーロッパ地域でも地域大会を開催して優勝者が参加するなど、日本を中心として実施してきた中でグローバル色が広がっています」

 「CTFのための社内のプロジェクトも、規模が大きくなりました。今後も単純に大きくするだけでなく、質や種類、量を上げて、トレンドマイクロだからできる “学びのある” CTFにしていきたいですね。一方で運営メンバーはお客様やマーケットを相手にした日常業務もあるので、本業とのバランスも考えなければなりません。よりグローバルに展開して、地域性の高いサイバー攻撃をグローバルにも周知してもらうことも重要です。それも、セキュリティの現場に豊富な経験と知見を持つトレンドマイクロだからこそ、できることだと思います」と話してくれました。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 業務用PCが「Emotet」に感染、迷惑メールを送信(おめめどう)

    業務用PCが「Emotet」に感染、迷惑メールを送信(おめめどう)

  2. ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

    ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)

  3. 同一IPから大量の不正アクセス、サーバダウンしプレスリリース配信行えず(PR TIMES)

    同一IPから大量の不正アクセス、サーバダウンしプレスリリース配信行えず(PR TIMES)

  4. リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

    リース会社に返却したHDDを委託会社の社員が横領、オークションサイトに流出(神奈川県)

  5. 従業員がハードディスク等3,904個をオークションで売却、懲戒解雇に(ブロードリンク)

    従業員がハードディスク等3,904個をオークションで売却、懲戒解雇に(ブロードリンク)

  6. 「リクナビDMPフォロー」サービス利用企業へも指導(個人情報保護委員会)

    「リクナビDMPフォロー」サービス利用企業へも指導(個人情報保護委員会)

  7. 業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

    業務を受託している2病院から患者情報を紙資料で持ち出し(インテック)

  8. 「OpenSSL」に任意コード実行の脆弱性、パッチ適用を呼びかけ(JVN)

    「OpenSSL」に任意コード実行の脆弱性、パッチ適用を呼びかけ(JVN)

  9. 業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

    業務用PCが「Emotet」に感染、不正メールの送信を確認(サンウェル)

  10. 業務を受託した病院からの個人情報持ち出し、新たに2病院が判明(インテック)

    業務を受託した病院からの個人情報持ち出し、新たに2病院が判明(インテック)

ランキングをもっと見る