初の試み、Capture the Flagも白熱

今年もアツかった！セキュリティ＆プログラミングキャンプ開催

2010/08/19

　8月12日から16日にかけて、全国各地から選抜された22才以下若者が4泊5日の合宿形式で集まり、ITについて深く学びながら交流を深める「セキュリティ＆プログラミングキャンプ 2010」が行われた。

修了式の模様

　セキュリティ＆プログラミングキャンプは、将来のIT産業の担い手になり得る優れた人材の発掘、育成を目的に、情報処理推進機構（IPA）が主催するイベントだ。今年で7回目の開催となり、59名が参加した。最年少は13才の中学生というから驚きだ。「毎年『これはすごい、これ以上の人材はなかなか出てこないだろう』という若手に出会うが、次の年には必ず、いい意味でその予想を裏切られている」と、講師の1人、園田道夫氏は述べている。

　キャンプは「セキュリティコース」と「プログラミングコース」の2コースに分かれ、豪華な講師陣とチューターがつきっきりで、4泊5日の間、座学と実習を組み合わせたカリキュラムに取り組んだ。

　各コースは、興味に合わせてさらに3組ずつの専門コースに分かれている。セキュリティコースは、「ソフトウェアセキュリティ組」「Webセキュリティ組」「ネットワークセキュリティ組」の3つ。一方のプログラミングコースは「OSを作ろう組（OS自作組）」「プログラミング言語組（言語組）」「Linuxカーネル組（Linux組）」だ。例えばセキュリティコースのネットワーク組ならば、パケット工作や偽装通信といった、不正を見抜くための解説に加え、IDSやハニーポットを用いた総合演習、P2P通信で記録された4GBに上るダンプファイルの解析に至るまで、実践的な課題に取り組んだ。

　ただしキャンプの目的は、技術を極めることだけではない。IT技術は何のためにあり、どう使うのかというモラル面での理解を深めることに加え、参加者同士、あるいは講師やチューターとのコミュニケーションを通して「つながり」を築くこともキャンプの大事な役割だ。

　キャンプ修了式で挨拶に立った日本ネットワークセキュリティ協会（JNSA）の下村正洋氏は、「今日ここで出合った友人を大切にしてほしい」と述べた。さらに、アップルの成功が技術だけでなくビジネスモデルと組み合わさってのことであることに触れ、「IT系だけでなく、違う分野の人ともぜひ交流を深めてほしい」と語った。

　セキュリティ＆プログラミングキャンプ実行委員長の三輪信雄氏も「技術もあるけれど、キャンプの一番の収穫はコミュニティであり、仲間たちだ」と語った。そして、「日本を支えるには、技術とビジネスモデルとを組み合わせていく必要がある」と述べ、セキュリティ分野とプログラミングの分野、さらにはビジネス分野の人と広く交流していってほしいと期待を述べた。

初の試み、Capture the Flag

　今回のキャンプにおける特筆すべき取り組みとして、セキュリティコースの「CTF（Capture the Flag）」がある。

　CTFは、DEF CONをはじめとするセキュリティ関連のカンファレンスでしばしば実施されるイベントだ。コンピュータやITに関する知識を問う、一種の「謎解きゲーム」である。ただし謎解きゲームといってもその内容は高度で、ソフトウェアやバイナリ、Webのセキュリティに関する知識やトリビアを題材にした問題が用意された。問題には難易度に応じて点数が付けられており、学生は6人ずつ5チームに分かれ、知恵を出し合いながら取り組んだ。学生はもちろん、講師陣も（むしろ講師陣の方が）楽しんでいたようだ。

　最終日の成果発表会では、Cチーム、それにMVPに選ばれた学生が代表して登壇し、どのようにCTFに取り組んだかのプレゼンテーションを行った。

Capture the Flagの成果報告

　ある問題では、講師の披露宴の写真が張られたWebページがヒントになっていたが、答を見つけるのは楽勝だったようだ。「ソースコードを見て、キーワードっぽいものを検索してみたらすぐ見つかった」という。同じく、何の変哲もないPowerPointのファイルからキーワードを探す問題でも、ファイルのプロパティを見ればすぐに回答が見つかった。こうした問題から得られる教訓は、すなわち「ファイルのプロパティには重要な情報が含まれている」ということだ。

　「会場内に用意されたSNSを攻略せよ」という問題は、もう少し手が込んでいた。この問題を解いたのが、CTFのMVPに選ばれた学生だ。彼は用意されたSNSサイトにアクセスする際に、デバッグツールの「Fiddler」を活用してトラフィックを解析。その中から、cookieにセットされているuser idが怪しいとにらんで、Googleによる検索を使って文字列の正体が、「SHA-1」で取ったハッシュ値であることを把握。ほかのヒントも組み合わせ、設定を変えてWebアプリケーションにアクセスしたところ、正答にたどり着いたという次第だ。

　三輪氏はCTFの盛り上がりを受けて、「これまで毎年、『ハッカー甲子園』ができるといいなと思っていたけれど、今年ようやくそれが実現した」と述べている。

独自OSの統合は「デスマージ」？

　プログラミングコースも負けてはいない。例えばLinux組は実際にカーネルのハックに取り組んだ。学生が作成したkprobeやkconfigを改善するパッチは、昨年に続きLinux Kernel メーリングリストに投稿されている。

　またプログラミング言語組ではRubyを例にとって実習を行い、Rubyのボトルネックの解析／高速化や処理系の可視化に取り組んだ。さらに、Rubyのバグフィックスに取り組んだ学生もおり、その成果はRuby-MLに投稿されたという。

　自作OS組は、文字通り自力でのOS作成に挑戦。これまでプログラミングを行う上で「OSが何とかしてくれるだろう」と任せていた部分に対する理解が深まったという。

　このうちC班が、それぞれ「独自路線を突っ走っていた」という自作のOS、3種類をマージしたという集団学習の成果を披露した。「もっとウィンドウを見たい！」というコンセプトに基づいてとにかくウィンドウを出しまくるOSと、「ラーメンタイマー」と化したOS、そしてSystem Monitorという、てんでばらばらなコンセプトだっただけに、マージ作業は「デスマージ」だったそうだ。だが成果物は、しっかり内部でメモリ管理などの処理を行うほか、ユニークな「うさみみ」インターフェイスを実装するなど、興味深い仕上がりになっていた。