CTF問題「C＆Cサーバと社内PCのパケットキャプチャーから機密情報を見つけるには？」から学べる知識とは：CTF問題から学ぶセキュリティ基礎知識（2）

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。第2回は、「C＆Cサーバに送信された機密情報を特定せよ」という問題について解説します。

[青山桃子，株式会社日立ソリューションズ]

　情報セキュリティの技術を競うコンテストであるCTF（Capture The Flag）は、セキュリティ教育や優秀な人材発掘に役立てようとする組織や企業が注目する、実践的な学習の環境でもあります。本連載「CTF問題から学ぶセキュリティ基礎知識」では、筆者が所属する会社で実施している社内向けCTFの問題を中心に毎回一問一答をしていきます。

　例えば、前回はアクセス制御に問題のあるWebサーバから公開前の情報が漏えいしてしまう状況の問題でした。このように、現実に起こりそうなストーリー仕立ての問題にすることで、参加者に、業務において気を付けなければならないポイントを実感してもらえるようにしています。

問題

　さて、今回は「ネットワーク」ジャンルの問題です。今回も、調査対象のファイルの解析を実際に試すことはできませんが、ファイルの内容を一部、画像として添付していますので、どのような観点で調査すればよいか、解き方を考えてみてください。

ジャンル：ネットワーク

　H社が契約しているセキュリティ監視ベンダーから、「あなたの会社にある一部のPCが、C＆C（Command and Control）サーバと通信しているようだ」と連絡が入りました。その後、セキュリティ監視ベンダーからパケットキャプチャーのファイルが送られてきました。

　C＆Cサーバと通信しているということは、PCがマルウェアに感染して機密情報が漏えいしている可能性があります。

　あなたは、パケットキャプチャーを解析して、機密情報が含まれていないか、確認することになりました。機密情報を見つけることができるでしょうか？

送られてきたパケットキャプチャーをネットワークトラフィックの解析ツール「Wireshark」で開いた様子

※問題の都合上、PCとC＆CサーバにはプライベートIPアドレスが割り振られています。

この問題から学べる知識

　この問題に取り組むことで、以下のようなセキュリティに関する知識を学ぶことができます。

• 通常と異なる通信の検出方法
• 暗号化されていない通信の問題点および暗号化の重要性

問題の解き方

　前提としてCTFは、その名の通り、「フラグ」を見つけることが正解の条件です。フラグは、大会ごとに決められた特定の形式の文字列であることが多く、今回の場合、「HSCTF{xxx}」（xxxは問題ごとに割り当てられた任意の文字列）という形式です。この問題文では、機密情報を見つけることが目的なので、この機密情報がフラグであり、それを見つけることができれば正解となります。

解き方の方針