CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した？」から学べる知識とは：CTF問題から学ぶセキュリティ基礎知識（1）

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。初回は、「攻撃者は機密情報ファイルのURLをどうやって特定したのか？」という問題について解説します。

[青山桃子，株式会社日立ソリューションズ]

CTFから何を学ぶか

　近年、テレワークの普及やデジタルトランスフォーメーションの促進により、あらゆる業務が情報システムに移行しつつあります。それらの情報システムを扱う全ての人にとって、セキュリティ知識はなくてはならないものです。一従業員にも容赦なくマルウェアが添付されたメールが届きますし、ささいな操作ミスでも重要な情報が全世界に漏えいする可能性があります。個人のSNS利用が重大なセキュリティ違反を起こす場合もあります。

　ところで読者の皆さんは「CTF（Capture The Flag）」をご存じでしょうか？　CTFとは、情報セキュリティの技術を競うコンテストです。参加者には情報セキュリティに関する課題が与えられ、課題を解決することで得られる得点を競います。出題される課題のジャンルは「Web」「ネットワーク」「バイナリ解析」「暗号」など幅広く、与えられる課題はクイズやパズルのような形で、つい興味を持って取り組んでみたくなるようなものになっています。一見、遊びのように思われるかもしれませんが、セキュリティ技術を実践的に学ぶことができる場であり、学んだ技術の腕試しの場でもあります。

　今やCTFは、人材育成や人材発掘の手段として、世界中の多くの組織や企業に注目されています。筆者が所属する会社も、このような観点でCTFに注目して活用している企業の一つです。全従業員のセキュリティ知識の底上げとセキュリティ人材の育成、発掘を掲げて、社内向けのセキュリティコンテスト（CTF）を2017年から毎年開催しています。

　本連載では、このコンテストで出題された問題から毎回一問一答をします。そして、その問題からどのような技術や学びが盛り込まれているのかを解説していきます。連載を通して、情報システムの仕組みやセキュリティを理解し、興味を持っていただけたら幸いです。

問題

　早速、コンテストで出題された問題を紹介します。今回は「Web」ジャンルの問題です。なお、以下に書かれた問題文中のURLは架空のものですが、社内向けのコンテスト開催時は有効なURLを用意して出題していました。今回は、試すことはできませんが、解答を考えてみてください。どうしたら秘密の情報を見つけることができるでしょうか？

ジャンル：Web

　株式会社H社の2017年度第2四半期の決算情報は、2017年10月30日の15時に開示されることになっています。今回開示する決算情報はかなりの好業績なので、公開されれば株価はかつてない高値がつくのに違いありません。

　IR（Investor Relations）担当のYくんは、決算開示の1週間前に決算情報ファイルをWebサーバ上にアップロードしました。開示時間になったら決算情報ファイルへのリンクを公開するつもりです。

　なお、昨年（2016年）度の第2四半期決算は2016年10月29日に開示されていて、URLは次の通りです。

http://xxx.xxx.xxx.xxx/kessan/h28/kessan-2q_161029.pdf

（※URLは架空のものなので、アクセスできません）

　しかし、決算開示の3日前、H社の株価がなぜかすでに急上昇していたのです。

　「もしかして社内にインサイダーが？　お、俺じゃないよぉー」と、Yくん。

　インサイダーじゃないとしたら、どこかから決算情報が漏れたに違いありません。でもいったいどうやって……。

　H社の決算はどうやって漏れたのでしょうか。原因を究明し、決算情報ファイルに書かれている秘密の情報を見つけてください。

この問題から学べる知識

　この問題に取り組むことで、以下のようなセキュリティに関する知識を学ぶことができます。

• Webサーバにおけるアクセス制御
• 推測可能なパス／ファイル名に対する脅威