24チームの強豪が参加した決勝大会、ビギナー向けCTF勉強会のもようを現地レポート

SECCON 2016、決勝大会や初心者勉強会で“CTF漬け”の2日間

2017年02月02日 08時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

400人規模のCTF勉強会は国内初？ CTF for ビギナーズ

　サイバーセキュリティに対する関心の高まりを受けて、ここ数年で国内でも一気にCTF大会の開催機会が増えている。ただ、これからCTFにチャレンジしてみようという人にとっては、興味があってもどこから手を着けていいのかわからないかもしれない。

　そんな人にもCTFの楽しさを知ってもらうため、SECCON実行委員会では「CTF for ビギナーズ」を定期的に開催してきた。2016年度は、5月の長野を皮切りに、香川、弘前（青森）、博多、東京、金沢（石川）で開講。いずれの会場でも定員を超える応募があり、抽選となるほど人気が高いという。

　その2016年度を締めくくる最後のビギナーズ勉強会が、SECCON 2016の2日目に行われた。日曜日の朝9時半からという早いスタート時間にもかかわらず、受付には長蛇の列ができていた。

「CTF for ビギナーズ」の入場を待つ行列。これまで抽選に漏れて参加できず、今回が初参加という人も多かった

　参加者の内訳は、学生よりも社会人がやや上回った。IT企業に勤務するある男性参加者は、これまでビギナーズに応募してきたが落選ばかりで、今回が初参加だと語った。「将来的にはセキュリティ関連の業務に就きたく、勉強しようと思って参加した」という。

　また「エンジニアだったのは20年以上も前の話」と笑う別の参加者は、企業向けの技術トレーニングを提供する会社に勤めており、攻撃者の視点や手口を学び、何か業務に活かせる情報を持ち帰ることができれば、と勉強会への期待を語った。

500人が収容可能な東京電機大学丹羽ホールも、座席がほぼ埋まって圧巻

　勉強会ではまず、CTF参戦経験者であるやぎはしゅ氏、もりたこ氏、しふくろ氏が教壇に立ち、「Web」「フォレンジック」「リバースエンジニアリング」という3つのテーマについて、CTFにおける出題傾向、問題の解き方、お勧めツールの使い方など、基礎的な部分をわかりやすく講義していった。

　たとえば、Webの講義ではSQLインジェクションを突いてデータを抽出するテクニックが、フォレンジックの講義では「Wireshark」ツールを使って通信を解析し、隠されたフラグを探り出す方法が、リバースエンジニアリングの講義ではアセンブリの読み方などがレクチャーされた。参加者も熱心に聞き入っており、講義後も「商用データベースを題材としたCTF問題は出題されるのか」といった積極的な質問の声が上がった。

Web問題の解説で登壇した、やぎはしゅ氏。セキュリティの知識や技術を学ぶ合宿型のワークショップ「セキュリティ・キャンプ全国大会」に参加、チームkatagaitaiなどでCTFにも参戦

　勉強会後半は、参加者によるCTF大会が行われた。講義で学んだ内容を振り返れば解ける問題から、応用が求められる問題まで、難易度の異なる問題が計15問出題された。

「CTF for ビギナーズ」参加者向けの問題ページ

　運営側からは「ポイントの高い問題は少しひねりのある応用問題だが、その他は講義資料を読めば解けるはず。落ち着いて取り組んでほしい」とアナウンスされ、参加者たちはPCの画面をにらみながら黙々と取り組む。「ビギナー」と言えども、ふだんからIT業務に携わる社会人やITについて学ぶ学生が多かったためか、次々と解答していく様子が見られた。

講義資料を振り返りながら問題と格闘する参加者たち

　この演習CTF大会でトップ3になったのは、1位のh_noson氏（大学生）、2位のkuroneko氏（開発エンジニア）、3位のsota1235氏（Webエンジニア）。kuroneko氏は「（問題は）難しかったが、どんどん深掘りしていくと見えなかったことが見えてきて、とても楽しかった」と感想を語った。この3名には書籍や非売品のオフィシャルTシャツが贈呈された。