東京で開催の「Trend Micro CTF Asia Pacific & Japan 2015 Final」レポート
ハッキング競技会にAPACの強豪チーム集結!熱戦を見てきた
2015年11月28日 09時00分更新
賞金100万円&HITCON CTF出場権をかけた2日間
2015年11月21日から2日間、都内でトレンドマイクロ主催のセキュリティコンテスト「Trend Micro CTF Asia Pacific & Japan 2015 Final」が開催された。社会インフラを安全に守る次世代人材の発掘と育成を目的に初開催された本コンテストでは、優勝チームには賞金100万円と、12月に台湾で開催される「HITCON CTF 2015 Final」大会への出場権が授与される。
本決勝戦に先立ち、9月26・27日にはオンライン予選が実施された。日本を含むアジア太平洋地域の国/地域に在住する20歳以上を対象に行われた予選には、29カ国/地域から合計881チーム、2283名が参戦。その中から10チームが決勝へと駒を進めた。いずれも、世界各国で開催されるCTF(Capture the Flag、ハッキング競技)で豊富な出場経験を持つメンバーばかりだ。
国際色豊かな会場は、やはり学生の参加が目立つ
配布されたTシャツ。年齢層が若干上の運営陣は「Yes, We scan」を、若年層の参加者たちは「No silver bullet」を選んだとか選ばなかったとか
「企業が今まさに直面するサイバー攻撃をベースに問題を作成」
競技は「アタック&ディフェンス」形式で行われた。各チームは、競技用のサーバーを攻略し、指定されたエリアに自チームの「フラグ」を立てる(書き込む)ことで「ディフェンスポイント」を獲得できる。攻略対象のサーバーは複数台ある。
ただし、1台のサーバーにフラグを立てられるのは原則1チームだけで、ポイントが付与されるのは、運営側が5分おきにサーバーをチェックするタイミングでフラグが立っているチームのみ。つまり、フラグを立てて自陣にしたら、他のチームにフラグを書き込ませないようにサーバーを「防御」する側に回ることで、自分のチームの獲得ポイントを増やしていくことができる。
いかに早くサーバーを攻略し、うまく他チームの書き込みを妨害し、あるいはその妨害を突破してサーバーを奪い返すのかが、アタック&ディフェンスの面白いところだ。
ちなみに今回の攻略対象サーバーは3台あったが、うち1台だけは最大2チームがフラグを書き込めるようになっていた。運営側の5分おきのチェック時に、1チームだけがフラグを書き込んでいる場合は毎回10ポイント、2チームならば半分の5ポイントが加算される。
ポイントを稼ぐ方法としてはもう1つ、「チャレンジポイント」もある。USBメモリで配布されるバイナリ問題を解き、イベント会場後方に設置された「Flag Submission」デスクに解答を提出する。正解すれば100ポイントがゲットできる。
バイナリ問題の回答用紙はこちらに提出
いずれのバイナリ問題も時間制限付きで順次公開され、時間内に解かなければポイントは獲得できない。残り時間や状況を見ながら柔軟にゲームを進める力は、実際のサイバー攻撃への対応力とも呼応する。
「各問題は、トレンドマイクロがこれまで実務で対応してきた、日本企業が今まさに直面するサイバー攻撃をベースに作成した。一般的なCTFとは少し毛色の違う、実践力を試される問題が揃ったと思う」。本コンテストの総指揮を務めるトレンドマイクロの染谷氏はこう述べる。
トレンドマイクロ 上級エヴァンジェリスト 染谷征良氏
特にサイバー攻撃の対応では、その時々で臨機応変に正しい判断を下すことが要求される。「AがダメならB、Cを試す、といった柔軟な切り替えが大切だ」(染谷氏)。
(→次ページ、1日目から白熱する競技、2日目にはサーバーの奪い合いも!)
