ハッキング競技「Capture The Flag（CTF）」の基礎から学ぶ講座

女性のためのハッキングワークショップ「CTF for Girls」初開催

2014年07月02日 14時00分更新

文● 谷崎朋子

　6月29日、女性限定のCTFワークショップ「CTF for Girls」が開催された。ハッキング競技の1つ「CTF（Capture The Flag）」に興味があって勉強会にも参加したいが、男性だらけで気が引ける、話についていけなかったらどうしよう…。そんな不安を抱える女性向けに、セキュリティ業界で活躍する女性エンジニアが集結、演習を中心としたCTF基礎講座を開催した。

男性の中に混ざるのは、実は少しだけ不安なのです

　2012年より、本格的な全国展開に踏み出したセキュリティ競技イベント「SECCON」。その中で、攻撃者や防御者の視点で情報セキュリティの知識や技術力を競うハッキングコンテスト「Capture The Flag（CTF）」は開催のたびに注目を集め、新たなファンを着々と増やしている。

　これまで筆者は、何度かCTFを取材する機会があった。そのたびに、知識を総動員しながら謎解きに挑む参加者の姿を見て、楽しそうだな、自分も知識があればやってみたいなと、いつもうらやましく見つめていた。

　だが勉強会も含めて、こうしたイベントの参加者は大抵、9割9分が男性。女性である筆者が、知識レベルのかけ離れた“男塾”の中にぽつんと入る勇気はなかなか出てこないのが正直なところだ。

　興味あるけど、ちょっと不安。そんな女性たちの声に応え、情報セキュリティをこよなく愛する女性技術者たちが立ち上がった。女性限定のビギナー向け「CTF for Girls」は、申し込み開始からわずか3日で定員を大幅に超えて募集終了。当日は、約70人の参加者がノートPCを携えて会場に集まった。

「CTF for Girls」会場で講義に熱心に耳を傾ける参加者たち

　講義では、CTFの問題分野から「ネットワーク」「Web」「フォレンジック」「バイナリ」をピックアップし、基本的な知識の解説と、それぞれでよく使われるツールの使い方が紹介された。

　たとえばネットワークの講義では、通信パケットを解析してフラグ（解答）を取得するCTF問題を取り上げ、無償のネットワーク解析ツール「Wireshark」でよく使う機能を紹介、解析方法を学習した。また、事前のアンケート調査で一番人気だったWeb講義では、Webアプリケーションの脆弱性を狙う攻撃手法の中から、SQLインジェクションとディレクトリトラバーサルが解説された。

　講義を終えた午後は、いよいよ演習タイムだ。参加者には、事前に仮想ソフトウェア「Oracle VM VirtualBox」のインストールと演習用イメージファイルのダウンロードおよびセットアップが促される。この演習環境には、各分野の講義資料や演習問題、利用するツールなどが入っており、この“閉じられた箱庭”の中でCTFに挑戦する。インターネット上で試せば「不正アクセス禁止法違反」に該当する攻撃手法も、仮想環境の中ならば思いっきり試せる。

VirtualBox内の演習用環境。講義資料もツールもすべてパッケージされた、至れり尽くせりの環境で演習スタート！

　演習前半の約1時間半は、各自で好きな問題に取り組んだ。参加者は10のグループに分かれて座り、テーブルを回る講師やチューターに質問したり、同じテーブルの仲間と相談したりしながら、フラグ探しに勤しんだ。

　とは言うものの、ほとんどの参加者はCTF未経験者だ。「ところで『フラグ』って何？」など、会場からはCTF独特の表現に戸惑う声もあがっていた。

講義資料を参考にしながら、演習問題とにらめっこ

　また、「当たりを付けながら、あり得そうなこと（バグや脆弱性）をいろいろ試す」ことも、慣れていないと分かりづらいものだ。たとえばWebの初級問題のHTMLページを立ち上げると、IDとパスワードの入力画面が表示される。ここでは、ありがちなID/パスワードを試したり、SQLインジェクションが効くと踏んで入力欄にさまざまな文字列を入れながらHTTPレスポンスを見たりしながら、ヒントを探る。受講者は、こうした解き方を手探りで考えたり質問しながら、一歩ずつ前進していった。