知力、体力、時の運! 2日間にわたる攻防戦:第1回SECCON CTF全国大会 詳細レポ(2/2 ページ)
幅広い情報セキュリティの知識や経験を問う「第1回SECCON CTF全国大会」が、2013年2月末に開催された。2日間にわたって攻防戦スタイルで争われた旗取り合戦。その熱戦の模様をレポートする。
先手優勢? 妨害行為に翻弄された大会初日
大会には、10チームが思い思いのネットワーク機器や書籍などを持ち込んだ。中には「マイ冷蔵庫」を持参するチームや大量のモニターを床に並べるチームもいた。
運営側も、名物のエネルギー飲料タワーとお菓子コーナーを設けて参加者を強力バックアップ。不正行為や禁止行為などに目を配り、円滑な競技運営に取り組んだ。
初日は、競技開始わずか10分で東北大学大学院生チームのmofuppが突破。その後、高専生・高校生チームの0x0、電気通信大学チームのMMA、筑波大学チームのifconfigが後に続く。
最初にMercuryサーバを攻略してフラッグを立てたのは、筑波大チームのurandomだ。海外CTF経験者もいる同チームは、攻防戦の“防”を理解しており、早速他チームへの“罠”を仕掛ける。次のステップへ進む際のPHPファイルのアップロード作業を、「system("rm -rf *"), sleep 1 while(1);」で1秒ごとに潰したのだ。
これをシステム上のバグと思いこんだ0x0は、大会運営側に質問、状況を説明しているうちに他チームの“罠”だと気付き、「こういうのもアリなのか!」と叫ぶ場面もあった。urandomは妨害作戦が功を奏し、順調にフラグを維持しながらポイントを稼いだ。しかし、後半には0x0、MMA、wasamusumeなどが妨害をくぐり抜けてフラグをゲットするという、熱い展開となった。
優勝はロスタイムに逆転した0x0の頭上に
最終日は、公開された他サーバへの攻略が進んだ。初日で攻“防”戦がどんなものかを体感した各チームは、妨害作戦にも力を入れるようになり、混戦が続いた。
MMAは、初日夜にホテルへ戻ってから妨害スクリプトをいくつか作成し、成功しているのを知ったときは快感だったと話す。一方のmofuppは、「(スクリプトで)自動化すればよかった」ともらしながらも、手わざで乗り切った。mofuppは、サークルのホームページ運営のためにサーバを立てたとき、インターネットに接続していると何かしらの攻撃を受けることに気付き、何千件もある会員のメールアドレスを守るためにセキュリティを勉強、興味を持ち始めたという。
初めての攻防戦に苦しめられるチームも続出した。九州工業大学チームのUbel Panzerや名古屋大学チームのhnp6は、経験したことのないスタイルに戸惑いながらも点数を稼ぎ、善戦する。また、セキュリティ人材育成プログラム「IT-Keys」に参加したバイナリアン3人組のitokagiチームは、「クイズ形式はひらめきで解けるものもあったが、攻防戦は知識や実力が試される。全然知らない話もあり、勉強すべきポイントもたくさん発見できた」と話す。
最年少チームのEpsilonDeltaは、先に解くべき問題を飛ばして次の問題を解いてしまうという、思わぬトラブルに見舞われた。また、持参したネットワーク機器が圧倒的に足りず、有線ではなく(他チームも使っていた)無線に頼っていたことから通信の遅延が発生し、思うように作業できなかった。そんな苦境の中でも、メンバーは「とにかく楽しい」と笑顔だ。こうしたセキュリティの大会は日本では少なく、うれしくて仕方がないという。
こうして大会最終日は、終了間際にurandom、wasamusume、0x0の3チームによるトップ争いとなり、最後のロスタイムで諦めずに攻め続けた0x0が逆転劇を演じ、第1回優勝者となった。
「パソコンが好きで、どうやって動いているのか調べるうちに、セキュリティに興味を持った」と話す0x0メンバーは、今後もCTFに参加して腕を磨き、いずれは社会貢献できるよう頑張りたいと抱負を語る。
表彰状や賞品の授与後、竹迫実行委員長が「今回の攻防戦で使用したサーバのイメージコピーは欲しいか」と会場に質問したところ、全員が一斉に挙手した。「地元に戻ったら、ぜひ周りの人を巻き込んでCTFの楽しさを伝えてほしい。そして、海外やオンラインのCTFにたくさんチャレンジして、さらに力を磨いて戻ってきてほしい」(竹迫氏)
そんな呼びかけに、早くも呼応する動きがある。今回のCTF参加者が「CTF攻防戦を経験しよう in 大阪」の開催を発表した(http://atnd.org/events/37303)。セキュリティの面白さと難しさを体験できる絶好のチャンスだ。また、大会の興奮さめやらぬ中、すでにオンラインCTFへ参戦し、好成績を収めて実践を積むメンバーも出ている。
「おじさんたちが作ったCTFなんかつまらない、これからは僕たちが新しいCTFをやる番だ。そんな産声をどんどん聞きたい。これからが本当に楽しみだ」(トライコーダ・上野宣氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- パケット解析にクルシミマス? SECCON横浜大会開催
クリスマスソングが流れる横浜の町に、ノートPCやディスプレイ、技術専門書を抱えた面々が集い、ひたすら謎解きに取り組むセキュリティイベントが開催された。 - SECCON CTF福岡大会レポート
- プレイ・ザ・ゲーム! CTFが問いかけるハックの意味
- 魂を奪え! 隠されたシークレット・パスワード