サイバーセキュリティなくして東京2020大会なし 秋葉原で「サイバーコロッセオ×SECCON 2016」開催：追われる社会人、追う小中学生という構図も（2/2 ページ）

総務省、SECCON実行委員会、日本ネットワークセキュリティ協会（JNSA）が主催する「サイバーコロッセオ×SECCON 2016」が開催。学生チーム、若手社会人チームの全24チームが昨今のセキュリティ動向を織り込んだ難題に挑んだ。

[高橋睦美，＠IT]

昨今の動向を反映した問題を攻略、優勝は「dodododo」

　今回の競技には学生チームだけでなく、若手社会人チームも参加して腕を競った。競技は、OSやシェルコードなど、6分野の問題サーバを攻略して得られる「攻撃ポイント」と、フラグを書き込んでそれを守る「防御ポイント」を合わせた総合点で順位を競うKing of Hill形式で行われた。ただし日程はSECCON決勝大会とは異なり1日のみで、競技時間も11時から16時までの5時間という短期決戦だ。もちろん競技の状況は、おなじみNICTの「NIRVANA改」で可視化されている。

　設問には、最近のセキュリティ動向を反映した内容が織り込まれた。つい先日、兼ねてから指摘されてきたSHA-1の衝突が可能であることが発表され、いよいよ危殆化が明らかになったが、これを応用した暗号に関する問題が用意された。また、IoT（Internet of Things）の普及を受け、Webカメラを題材に取り、管理画面やデバッグポートをうまくハックすることでキーワードが得られる問題もあった。一連の謎解きを聞いた参加者からは「うわー」「そうだったのか！」などと声が漏れる場面もあった。

普及に対してセキュリティ意識の低さが危惧されているWebカメラのWeb管理ツールも問題に使われた

　中にはネットワークパケットの解析に取り組む問題かと思わせて、実はパケット送信のタイミングが鍵となっており、モールス信号が隠れているという問題もあった。エスパーでなければ解けない問題のようにも思えるが、運営を担い、この問題を提供したNECの担当者は「実際にこうした攻撃はあり、それを参考に問題を作成した。こうした手法があることも知ってほしい」と述べている。

　競技の結果、3位に入賞したのは「NaruseJun」、2位は「urandom」。そして、CTF大会ではすっかりおなじみの「dodododo」が優勝を飾った。dodododoのメンバーは、「チームメンバーそれぞれの得意分野を生かし、手広く回答できたことが勝因ではないか」とコメントしている。

上位に入賞した「NaruseJun」「urandom」、そして優勝した「dodododo」のメンバー

追われる社会人、追う小中学生

　図らずも学生を主体としたチームが上位に並ぶことになり、社会人参加者からは「やはり、過去問題を解いたりする時間のある学生に比べると、十分な準備をするのは難しい」というぼやきに近い声があった。一方でdodododo側も「CTF for ビギナーズなどの取り組みを通じてCTFの参加者が増えるのはうれしいことだが、追われる怖さもある」と述べている。

　事実、サイバーコロッセオ×SECCON 2016の会場には、「追う立場」に加わりそうな小中学生の姿も見られた。無事高校受験が終わったので久しぶりに秋葉原に来て、ジャンクショップで自作PCを買った後、たまたまこのイベントに出くわしたという中学三年生の生徒は、片手にPC本体をぶら下げながら「工業科のある高校に進学するので、セキュリティも含め、幅広く学んでいきたい。CTFというものを知ったのは今回が初めてだが、ぜひいろいろ調べてやってみたい」と語っていた。また、両親に連れられ、サイバー攻撃を目撃せよ！ 2017と合わせてセキュリティに関心を持ったという小学生の姿もあった。

　近い将来、コロッセオの柵の内側で、より若い世代の挑戦者の姿が見られることに期待したい。