知力、体力、時の運！ 2日間にわたる攻防戦：第1回SECCON CTF全国大会 詳細レポ（2/2 ページ）

幅広い情報セキュリティの知識や経験を問う「第1回SECCON CTF全国大会」が、2013年2月末に開催された。2日間にわたって攻防戦スタイルで争われた旗取り合戦。その熱戦の模様をレポートする。

[谷崎朋子，＠IT]

先手優勢？ 妨害行為に翻弄された大会初日

写真7●ミニ冷蔵庫と大量の参考書籍を持ち込んだifconfig

　大会には、10チームが思い思いのネットワーク機器や書籍などを持ち込んだ。中には「マイ冷蔵庫」を持参するチームや大量のモニターを床に並べるチームもいた。

誰かが何かを発見するたびに肩を寄せ合い真剣に取り組む「EpsilonDelta」（左）と最も多数のモニターや備品を持ち込び床に広がる「wasamusume」（右）

　運営側も、名物のエネルギー飲料タワーとお菓子コーナーを設けて参加者を強力バックアップ。不正行為や禁止行為などに目を配り、円滑な競技運営に取り組んだ。

名物・エネルギー飲料タワー。大量に消費されていたにもかかわらず、常時補充で最後まで崩れることはなかった（左）。そして（右）は不正・禁止行為を厳しく見守る運営チーム

　初日は、競技開始わずか10分で東北大学大学院生チームのmofuppが突破。その後、高専生・高校生チームの0x0、電気通信大学チームのMMA、筑波大学チームのifconfigが後に続く。

　最初にMercuryサーバを攻略してフラッグを立てたのは、筑波大チームのurandomだ。海外CTF経験者もいる同チームは、攻防戦の“防”を理解しており、早速他チームへの“罠”を仕掛ける。次のステップへ進む際のPHPファイルのアップロード作業を、「system("rm -rf *"), sleep 1 while(1);」で1秒ごとに潰したのだ。

　これをシステム上のバグと思いこんだ0x0は、大会運営側に質問、状況を説明しているうちに他チームの“罠”だと気付き、「こういうのもアリなのか！」と叫ぶ場面もあった。urandomは妨害作戦が功を奏し、順調にフラグを維持しながらポイントを稼いだ。しかし、後半には0x0、MMA、wasamusumeなどが妨害をくぐり抜けてフラグをゲットするという、熱い展開となった。

優勝はロスタイムに逆転した0x0の頭上に

　最終日は、公開された他サーバへの攻略が進んだ。初日で攻“防”戦がどんなものかを体感した各チームは、妨害作戦にも力を入れるようになり、混戦が続いた。

MMAは、初日夜にホテルへ戻ってから妨害スクリプトをいくつか作成し、成功しているのを知ったときは快感だったと話す。一方のmofuppは、「（スクリプトで）自動化すればよかった」ともらしながらも、手わざで乗り切った。mofuppは、サークルのホームページ運営のためにサーバを立てたとき、インターネットに接続していると何かしらの攻撃を受けることに気付き、何千件もある会員のメールアドレスを守るためにセキュリティを勉強、興味を持ち始めたという。

写真12●他サーバへの攻略が進んだ大会2日目のスコアボード

　初めての攻防戦に苦しめられるチームも続出した。九州工業大学チームのUbel Panzerや名古屋大学チームのhnp6は、経験したことのないスタイルに戸惑いながらも点数を稼ぎ、善戦する。また、セキュリティ人材育成プログラム「IT-Keys」に参加したバイナリアン3人組のitokagiチームは、「クイズ形式はひらめきで解けるものもあったが、攻防戦は知識や実力が試される。全然知らない話もあり、勉強すべきポイントもたくさん発見できた」と話す。

　最年少チームのEpsilonDeltaは、先に解くべき問題を飛ばして次の問題を解いてしまうという、思わぬトラブルに見舞われた。また、持参したネットワーク機器が圧倒的に足りず、有線ではなく（他チームも使っていた）無線に頼っていたことから通信の遅延が発生し、思うように作業できなかった。そんな苦境の中でも、メンバーは「とにかく楽しい」と笑顔だ。こうしたセキュリティの大会は日本では少なく、うれしくて仕方がないという。

　こうして大会最終日は、終了間際にurandom、wasamusume、0x0の3チームによるトップ争いとなり、最後のロスタイムで諦めずに攻め続けた0x0が逆転劇を演じ、第1回優勝者となった。

写真13●接戦を制して優勝した0x0

　「パソコンが好きで、どうやって動いているのか調べるうちに、セキュリティに興味を持った」と話す0x0メンバーは、今後もCTFに参加して腕を磨き、いずれは社会貢献できるよう頑張りたいと抱負を語る。

　表彰状や賞品の授与後、竹迫実行委員長が「今回の攻防戦で使用したサーバのイメージコピーは欲しいか」と会場に質問したところ、全員が一斉に挙手した。「地元に戻ったら、ぜひ周りの人を巻き込んでCTFの楽しさを伝えてほしい。そして、海外やオンラインのCTFにたくさんチャレンジして、さらに力を磨いて戻ってきてほしい」（竹迫氏）

写真14●大健闘した参加者一同

　そんな呼びかけに、早くも呼応する動きがある。今回のCTF参加者が「CTF攻防戦を経験しよう in 大阪」の開催を発表した（http://atnd.org/events/37303）。セキュリティの面白さと難しさを体験できる絶好のチャンスだ。また、大会の興奮さめやらぬ中、すでにオンラインCTFへ参戦し、好成績を収めて実践を積むメンバーも出ている。

　「おじさんたちが作ったCTFなんかつまらない、これからは僕たちが新しいCTFをやる番だ。そんな産声をどんどん聞きたい。これからが本当に楽しみだ」（トライコーダ・上野宣氏）