1月30日と31日、SECCON実行委員会と日本ネットワークセキュリティ協会(JNSA)が主催するセキュリティコンテスト「SECCON 2015」が東京で開催された。情報セキュリティ分野の総合知識と実践的技能を競うゲーム形式の本競技会だが、今年は学生大会と国際大会が日を分けて開催され、例年以上の盛り上がりを見せた。熱戦の模様をレポートする。
チーム間の激しいポイントの削り合いがアツイ!学生大会
今年のSECCONは、学生大会の「Intercollege決勝大会」と国際大会の「International決勝大会(国際大会)」に分けて開催された。その理由について、SECCON実行委員会 委員長の竹迫良範氏は「人材育成や発掘という目的を意識した結果」だと話す。
昨年のSECCON決勝大会は、優勝すれば米国で開催されるハッカーカンファレンス「DEF CON」のCTF出場権が獲得できることもあり、世界各国から競合チームが集まった。それはそれでよかったのだが、一方でCTFを始めたばかりのチームと実力差がつきすぎてしまい、「せっかくCTFやセキュリティに興味を持ち始めた若年層を委縮させたかもしれない」と竹迫氏は振り返る。「チャレンジしたいという関心の芽を育てるために、今年は新たに学生大会を設立することにした」(竹迫氏)。
SECCON 2016決勝大会、18チームが一堂に会した1日目の学生大会の様子
こうした経緯で新設された1日目の学生大会には、地方予選や連携大会を勝ち抜いた18チームが出場した。競技形式は、自分のチームに割り当てられたサーバーを守りつつ、他チームのサーバーを攻撃する「Attack & Defense」だ。
自チームのサーバー上では、脆弱性だらけの3つのサービスが稼動している。その“穴”を塞ぎながら稼働状態を維持し続けると、定期的に「防御ポイント」が加算される。同時に、他チームのサーバーを攻撃してサービス内に隠された「フラグ」(キーワード)を盗み出し、スコアボードにサブミット(登録)すると「攻撃ポイント」が獲得できる。この防御ポイントと攻撃ポイントを加算した総合得点の一番高いチームが優勝となる。
なお本大会では、攻撃に成功した場合、相手チームの総合得点から3%を削って自チームの得点にできるというルールも採用された。「保有得点の多いチームからポイントを削って蹴落とすか、弱いチームから確実に削るか。臨機応変に戦術を考える必要がある」(SECCON実行委員会 上野宣氏)。
今回の競技は4時間の短期決戦だ。序盤から積極的に他チームへの攻撃を仕掛ける「MMA」、各チームのポイントが溜まり始めた頃に攻撃して1000ポイントをごっそり稼いだ「m1z0r3」、攻撃と防御の両方で着実にポイントを稼ぐ「0x0」、「Attack & Defenseは初体験で前半は防御しかできなかった」と明かす「TomoriNao」など、時間を追うごとに各チームの経験や得意/不得意、瞬発力、戦術などが見えてくる、面白い展開となった。
昨年、攻殻機動隊 REALIZE PROJECTとCTF for Girlsのコラボで完成したCTF可視化エンジン「AMATERAS零」のSECCONカスタム版。各チームは青いリングで表現されており、攻撃すると他チームに波動砲が飛ぶ。攻撃が成功すれば「突破」の文字が画面に躍る
そして後半には、高得点チームからポイントを削り合う攻防戦が発生。上位チームの防御ポイントがマイナスになってチームの順位が激しく入れ替わるなど、戦いはますますヒートアップしていった。
競技中盤からは、壮絶な攻撃/防御によるポイント応酬合戦が各チームで繰り広げられた
学生大会の結果は、1位が「dodododo」、2位が「0x0」、3位が「MMA」であった。
1日目の学生大会の得点結果。攻撃ポイントが3万点超えだったり、防御ポイントがマイナス1万点以上だったりと、お互いにポイントを奪い合った激戦のようすが伝わってくる
「SANS NETWARSトーナメント 2015」を優勝して本大会に出場した、1位のdodododo。文部科学大臣賞に加えて、副賞としてさくらインターネットからクラウドクーポン80万円分が贈られた
これまでSECCONで2年連続優勝の実績を持つ0x0は、今回2位の好成績を収めた。「Attack & Defense形式は初めて」と話すメンバーのひとりは、経験のあるメンバーが戦法のまとめを作り、それを全員で共有して「勉強」してきたと明かす。「とにかく瞬発力が求められた。僕はじっくり問題を解くタイプなので、少し戸惑った」。
オンライン予選から勝ち上がってきた0x0は2位に。副賞はJPRSよりメンバーひとりずつに汎用JPドメイン名新規登録1年分が贈呈された
3位のMMAは、「攻撃は自動化ツールで行い、防御をがっちり固める戦法」で臨んだと話す。MMAは、競技終了の直前に隠し持っていたフラグを一気に放出して上位に急浮上する、いわゆる「サブマリン戦法」で知られている。だが、本大会ではフラグに有効期限が設定されていたことや、他チームが同じフラグを先にサブミットしてしまうおそれもあったことから、その戦法は封印したという。「最後の最後で、dodododoなどに1万ポイント近く持っていかれてしまった。あとは、総合得点がマイナスのチームにうっかり攻撃してしまい、3%分の“マイナスポイント”をもらってしまったのもつらい……」
3位のMMAは、副賞としてNTTより書籍「サイバーセキュリティプログラミング」が贈られた
実は、そのサブマリン戦法によって最後の追い上げを見せ、優勝したのがdodododoだった。「フラグの有効期限は1時間程度と想定していたが、どのタイミングまで隠し持つべきかは判断が難しかった」。そう話すdodododoのメンバーは、「でも、MMAは防御が固くて他チームにそうそう破られないから、MMAから入手したフラグを有効期限ギリギリまで隠し持っていても大丈夫だろうと思った」と振り返る。サブマリン戦法で有名なMMAにサブマリン戦法で返したと、嬉しそうに笑った。
