実際のサイバー攻撃を摸したセキュリティコンテスト――アジア決戦を制したのは「コンテスト慣れ」しているほど不利?

トレンドマイクロは、2015年11月21〜22日の2日間にわたり、同社としては初の試みとなるセキュリティコンテスト「Trend Micro CTF Asia Pacific & Japan 2015 Final」を開催した。本稿では、同イベントのリポートをお届けする。

» 2015年12月22日 05時00分 公開
[高橋睦美@IT]

多様化し、ますます盛り上がるCTF

 競技形式でサイバー攻撃/防御に関する技術を競い合うことを通じて、セキュリティ人材の発掘・育成などを目指すイベント「CTF(Capture The Flag)」。毎年ラスベガスで開催されるセキュリティイベント「DEFCON」で併催されるCTFや、日本国内の有志が開催する「SECCON」などはよく知られたところだが、その他にも、主催者や競技内容を異にする大小のCTFが、各所で開催されるようになってきている。「競技は競技に過ぎず、実務には直結しない」といった批判や疑問の声がないわけではないが、その盛り上がりは増すばかりだと言ってよいだろう。

 こうした動きの中、トレンドマイクロも、同社では初となるCTF「Trend Micro CTF Asia Pacific & Japan 2015 Final」を、2015年11月21〜22日の2日間にわたって開催した。本稿では、オンライン予選を勝ち抜いたアジア各国の10チームが参加して熱戦を繰り広げた同イベントのリポートをお送りする。

実践力を評価できるCTFを目指して

 CTFは、パケットやバイナリファイルの解析、Webアプリケーションに存在する脆弱(ぜいじゃく)性の分析といった、セキュリティ対策やインシデント対応に求められるスキルを活用して問題を解き、得点を競い合う競技の総称。「ハッカーコンテスト」などと称されることもある。

 サイバー犯罪に対抗する「セキュリティ人材の不足」が叫ばれるようになって久しいが、その育成手段の一つとして、こうしたCTFや演習形式のコンテストが注目を集めている。座学や勉強会、実践を通した学習も有効だが、これらのコンテストは、楽しみながらスキルを磨き、普段の業務では見落としてしまいそうなポイントに気付ける機会を提供しているといえるだろう。

 CTFにもさまざまな種類がある。例えば、「DEFCON」に代表されるセキュリティカンファレンスで併催されるCTFは、一般に難易度が高く、突き抜けたスキルを持ったエンジニアたちが技を競い合う場となっている。

 その対極として、「そもそもCTFって何?」「興味はあるけれどよく分からない」という人たちに向けた入門的なCTFも開催されている。また、一般の企業の現場で必要とされるのは、世界トップレベルのCTFで必要とされるような突き抜けた技術よりも、周囲の人々とコミュニケーションを取り、事業継続や利便性といった要素ともバランスを取りながら、最善のセキュリティ対策を講じられるような能力だ。こうした部分を磨くことを目的としたイベントも実施されている。

トレンドマイクロ 上級セキュリティエバンジェリスト 染谷征良氏

 Trend Micro CTF Asia Pacific & Japan 2015の場合はどうか。「せっかくトレンドマイクロとして企画するからには、他と同じようなCTFにするのではなく、少し毛色の違う内容にしたかった」と、本イベントの企画・準備に当たった同社の上級セキュリティエバンジェリスト 染谷征良氏は言う。

 「われわれが普段のリサーチ活動を通じて直面しているサイバー攻撃を模したイベントにしたかった。例えば、標的型攻撃で使われているバックドアプログラムとC&Cサーバーとの通信を解析するといった、実践力を評価できる問題を用意した」という。逆に言えば、他のCTF大会の問題に慣れている参加者にとっては、今回のCTFは少々てこずるものになったかもしれないという。

最後の最後まで繰り広げられた熱戦

 Trend Micro CTF Asia Pacific & Japan 2015は、「より安全な社会を実現する」というビジョンに向け、セキュリティ人材の発掘・育成を通じて社会貢献することを目的に開催されたCTFだ。本戦に先立ち9月26日、27日に開催された「オンライン予選」には、日本を含むアジア太平洋地域から計881チーム、2283人が参加し、30個の問題を解いて点数を競う「ジェオパディ形式」でスキルを競った。

 本戦には、この予選を勝ち抜いた上位10チームが参加した。日本国内の3チームに加え、韓国、中国、台湾、オーストラリアから、さまざまなCTFへの参加経験を持つチームが参加し、「アタック&ディフェンス」形式の競技に挑んだ。

 競技では、運営側が用意した「ターゲットサーバー」を攻略し、自チームに割り当てられた「フラグ」(キーワードのようなもの)を指定のエリアに書き込むと、ポイントが付与される。このフラグの有無は5分間隔でチェックされる仕組みになっており、いったんフラグの書き込みに成功したチームは、今度は他チームの攻撃からターゲットサーバーを保護し続けなければポイントを獲得できない。

 サーバーをめぐる攻防とは別に、「チャレンジ問題」も用意された。これは、USBメモリ内のバイナリデータを解析し、フラグを見つけ出して運営に提出するとポイントが加算されるというものだが、各問それぞれに制限時間が設けられている点がユニークだった。

最多となる420点を獲得し、優勝した韓国の「CyKor」チーム

 2日間の熱戦を終えて最多得点を獲得したのは、韓国の高麗大学校の学生らで構成されたチーム「CyKor」で、賞金100万円と、12月に台湾で開催された「HITCON CTF」への参加権が贈呈された。同チームは、トレンドマイクロの代表取締役社長兼CEOのエバ・チェン氏が開会式で「最初にフラグを書き込んだチームに贈呈する」と宣言していたボーナスもゲットするなど優秀な成績を収めていたが、実はオンライン予選の成績は11位。別チームの辞退による繰り上がり参加から、大きく躍進した。

 2位には、競技終了5分前にチャレンジ問題を解いて大逆転を果たした中国の「blue lotus」。3位には、CyKorとサーバーの取り合いを繰り広げ、追い上げを見せた日本のチーム「Tokyo Westerns」が入賞した。

チームワークと柔軟な視点が攻略のポイントに

 染谷氏は「運営側から見ていても、CyKorは1人がリーダーシップを取ってリソースをうまく割り振り、チームワークを発揮していることが感じられた。メンバーそれぞれの得意分野を把握し、どの問題を誰に任せるかを適切に指示していたことが、全体的に安定した成績につながったのではないか」と分析した。

 同氏は、むしろ他のCTF大会の問題に慣れている人の方が苦戦したかもしれないとも述べた。「参加チームの様子を見ていると、まずスキャンをかけて空いているポートを探そうとするところが多かったが、現実の攻撃は、『ここが空いているから入ってやろう』というような単純なものではない。多重防御の壁が張り巡らされており、中にはダミーも含まれている。こうした事柄を見分け、ある方法が駄目ならば、二の手、三の手と状況に応じて臨機応変に対応することが求められる」(同氏)。

 トレンドマイクロでは、今後も継続的にCTFを開催し、3年以内にグローバルなイベントに拡大できればと考えているという。また、今回は準備の都合上割愛したIoT(Internet of Things:モノのインターネット)や制御システムのセキュリティといった新しい領域もカバーしていく方針だ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。