検索
特集

日本最大のセキュリティコンテスト、その頂点に立ったのは?「SECCON全国大会2013」リポート(1/2 ページ)

2014年3月1〜2日、東京電機大学で「SECCON全国大会2013」が開催された。各地の予選を勝ち抜いた20チームが2日間の頂上決戦に挑んだ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

問題を解くだけじゃなく「妨害」するのも攻防戦の醍醐味?

 情報セキュリティ人材の発掘および育成、自己研磨の場として注目を集めるセキュリティコンテスト「SECCON」。2013年度からは、年齢問わず誰もが参加できる形に生まれ変わり、2013年8月の横浜を皮切りに、長野、福岡、香川、札幌、オンラインなど、計10回の予選が催された。

 全予選の参加者は合計1312名(509チーム)。「世界でも最大規模かもしれない」(SECCON実行委員長の竹迫良範氏)中から、20チームが決勝に進んだ。


静かな熱気に包まれる競技会場

 その決勝戦「SECCON全国大会2013」は、2014年3月1〜2日の2日にわたって東京電機大学で開催された。決勝戦は、学生を対象として行われた2012年度の「SECCON CTF全国大会」の方式を踏襲している。すなわち、サーバー攻略型の攻防戦だ。

【関連記事】

知力、体力、時の運! 2日間にわたる攻防戦

http://www.atmarkit.co.jp/ait/articles/1303/08/news010.html

来年は「U-50」大会も? シニアの血も沸く夏の戦い

http://www.atmarkit.co.jp/ait/articles/1309/06/news013.html



SECCON実行委員長の竹迫良範氏

 用意された問題用サーバーは、「Hanoi」「Pisa」「2.kaku」「Babel」「Druaga」「Korin」の6台。それぞれに配置された問題を解いて隠されたフラッグ(旗)を獲得し、競技終了時点で最も多くポイントを稼いだチームが優勝となる。

 点数は、各サーバーに用意された問題(問題数はサーバーによって異なる)を解いた場合の「サブミットポイント」と、全問題のクリア後にチーム固有の「フラッグワード」を所定のファイルへ書き込んで獲得する「フラッグポイント」の2種類だ。後者に関して、運営側はサーバーのファイルを5分おきにチェックする。その時点で、5分ごとに変更される最新のフラッグワードを書き込んでいるチームにフラッグポイントが都度加算される。


問題作成から競技環境の構築、会場設営まで、SECCONを裏で支える運営チーム

 フラッグポイントは、フラッグワードを書き込んだチーム間で分配する。書き込んだチームが多ければ多いほど、1チーム当たりの獲得ポイントは低くなる。逆にいえば、他チームの書き込みを「妨害」して全排除できれば、ポイントがまるまる手に入るということだ。

 競技ルールでは、サーバー内で他チームの攻略を妨害することが認められている。前述した「攻防戦」とはまさにこれを指し、SECCON全国大会の面白さの1つでもある。


フラッグワードを書き込むファイルの一例(Korinサーバー)

 13時半、東京電機大学の佐々木良一教授の掛け声とともに競技は開始した。最初に開放されたのは、Pisa、2.kaku、Korinの3サーバー。開始からわずか数分後、札幌予選を1位で通過したチーム「dodododo」がPisaサーバーの1問目を突破。他のチームがそれに続く中、電気通信大学の学生チーム「MMA」が最初のフラグを獲得する。

「ドドドドとポイントを稼いでいきたい」と意気込むチーム「dodododo」(左)、昨年の全国大会では5位と善戦した電気通信大学の学生チーム「MMA」(右)

あの可視化システムがSECCON特別バージョンで登場

 今回新たに導入され、見るもの全員を興奮させたのが「NIRVANA改 SECCONカスタム」だ。


うっかり見入ってしまう「NIRVANA改 SECCONカスタム」

 独立行政法人 情報通信研究機構(NICT)のネットワーク可視化システム「NIRVANA」をカスタマイズした同システムは、競技環境をリアルタイムに可視化。問題サーバーとチームサーバー間を飛び交うパケットや通信量の他、各チームの解答状況を色の濃淡で示したり、フラッグ獲得時にはチーム名の上に旗を立てたり、問題を解くと赤文字で「突破」と表示したり……と、さまざまな工夫を凝らして競技状況を「見える化」した。


問題を解くと「突破」のグラフィックが点滅

パケットが飛び交う様子をリアルタイムに表示

【関連記事】

NICTが「かっこいいセキュリティ技術」にこだわる理由

http://www.atmarkit.co.jp/ait/articles/1212/04/news021.html

NICT、サイバー攻撃アラートシステム「DAEDALUS」を自治体やASEANに水平展開

http://www.atmarkit.co.jp/ait/articles/1311/20/news044.html


15分間のサーバー独占権がもらえる「ミニゲーム」

 競技が進むにつれ、各チームの「突破」が続いた。そして前半の勢いも徐々に落ち着き、やや膠着(こうちゃく)状態に入り始めた16時ごろ、「ミニゲーム」の開催がアナウンスされた。

 ミニゲームの種目は、予選でもおなじみの「アセンブラかるた大会」だ。読み上げられた機械語コードに対応するx86の1バイト命令が書かれた札を取るという、極めてマニアックなゲームである。紙やPCでニーモニック表を持ち込み、競技中に参照してもよい。

 参戦できるのはチーム代表の1名のみ。優勝したチームには、任意のサーバーを15分間独占する権利が与えられる。なお、ミニゲームへの参加は任意だ。ゲームが終わるまでの間は1名が本競技から離れることになるため、参加しないという選択肢もある。

 名乗りを上げたのは5チーム。かるたを12回読み上げて最も多く札を獲得したチームがサーバー独占権を得られることになった。

 対戦は、見ていて楽しいものになった。わざとフェイントをかけて相手のお手つき(1回休み)を誘う者、テーブル横を素早く移動しながら札を探し回る者など、参加者は真剣ながらも遊び心満点で楽しんでいた。


本競技とはまた違った熱気で盛り上がるアセンブラかるた大会

 結果は、「MMA」の代表が優勝。落ち着いて札を見極め、最後の1枚を確実に押さえての勝利だった。

 アセンブラかるた大会が終わったとき、本戦は残すところ2時間弱となっていた。スコアボードを見ると、攻防戦を経験しているチームが上位にランクインしている。特に、前回のSECCON全国大会でトップ争いを繰り広げた「0x0」「urandom」「EpsilonDelta」の3チームが大量に点数を稼ぐ展開となっていた。

 こうして初日は18時半に終了した。この時点での暫定1位はEpsilonDelta。2位は、前回の学生向けSECCON全国大会で優勝した0x0(1158点)。3位は、urandom(1117点)だった。

この1年間、海外のCTFやコンテストに参加してさらにパワーアップして帰ってきた「EpsilonDelta」(左)、前回SECCONで第3位に輝いた長野予選1位の「urandom」(右)

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
  10. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
ページトップに戻る