★☆★JNSAメールマガジン 第161号 2019.5.7 ☆★☆

こんにちは
JNSAメールマガジン 第161号 をお届けします。
※今回は大型連休のため通常の発行日から数日遅れでの発行です。

JNSA主催、サイバーセキュリティ小説コンテストで大賞を受賞した「目つきの悪い女が眼鏡をかけたら美少女だった件」がスニーカー文庫から以下のライトノベルとして5月1日に発売されます。
著者は瓜生聖さん、イラストは西沢5ミリさんです。

【発売書籍名】
「噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか?」

ぜひお手にとってご覧下さい!

さて、今回のメールマガジンでは、SECCON事務局長の園田 道夫様による、昨年12月に秋葉原で開催しましたSECCON2018の開催レポートの後編です。

【連載リレーコラム】
SECCON2018開催レポート(後編)

SECCON事務局長 園田 道夫

CTF(Capture The Flag)は国際大会の方が素晴らしいデッドヒートとなり、盛り上がりました。CTFは見ている人にその楽しさや難しさを感じてもらうのがとても難しいのですが、年々改良されるNICTの井上大介さん部隊によるNIRVANAのインタフェースの良さに加えて、会場のレイアウトに余裕が出た今年は実況セッションや問題解説セッションなども加えてわかりやすさを向上することができたと思います。近年急速に勢いを増しているeSportsなどの先例を参考に、次回開催時ももっともっとわかりやすいビジュアルや解説にチャレンジしていきたいと考えています。

ちなみにどんな問題が出されたのかご紹介しておきましょう。
CTFの出題形態はクイズ形式と攻防戦形式、そしてKing of the hill形式というものがあります。今や世界では年間170もの国際大会が開催されているほど盛んになっていますが、実はそのほとんどがクイズ形式です。その理由は小規模な問題を数多く用意すれば良いので作問側も作りやすいからです。
それに対し攻防戦は運営のコントロールが難しいためこの形式はあまり見ません。Kingof the hillは攻防戦よりコントロールしやすいと言えますが、こちらも数は少ないです。SECCONは毎年のファイナルでこの数少ないKing of the hillを選んでいますが、すべては比較的コントロールしやすく難易度の高い問題を出しやすいからです。
今年の国際問題は以下のようなものでした。

壱:「攻撃」検知力を競う問題で、謎文字列を当てる問題が4つあり、それぞれを解くと攻撃点を得る。次に、その謎文字列の入力を検知するルールを作成し、最も攻撃検知力が高い(≒網羅性が高い)検知ルール(シグネチャ)を書いたチームが防御点を総取りする。防御ポイントに対する判定は5分に1回行われる。

弐:イメージデータを入れて反応を見ながらオリジナルのイメージデータと、その識別装置の特性を探る問題。RGBごとにデータを入れると何%くらい近いという反応があるので、反応を見て探ることができる。2時間ごとに難易度などが変わる。

参:アセンブラ力等を問う問題で、一定時間ごとに異なる動作が出題され、その動作をするプログラムを書いて難読化し、それを他チームに公開する。公開したプログラムを解析して難読化されたものを復元できたら他チームはそれを撃墜できたことになる。撃墜されるまでは君臨し(つまり防御点が入り)続ける

肆(四):CPUに独自命令を追加した疑似環境で実行したらパスワードをGETできるプログラムが配布される。プログラムは実行上の制限がある上に徐々に中身が変化するため、段々推測が困難になっていくので、プレイヤーは同様疑似環境を自分で作成できるようになる必要がある。なおマルチアーキテクチャ(鬼)。
ちなみにこの四番の出題者は坂井さんなのですが、2月のオープンソースカンファレンス
(https://www.ospn.jp/osc2019-spring/modules/article/article.php?articleid=4
)で詳しく解説するセッションをされていました。

伍:制限されたシェルにログインし、プログラミング関連のクイズ(技術とトライアルと知識が必要)を解くとじゃんけんへの参加権を得る。クイズは7問あり、すべて解くと攻略点を得られる。防御点は他のチームとじゃんけんして勝てばGETできる

陸(六):Code-golf問題。MD5とSHA256のハッシュを計算するプログラムで最小のものを作ったら防御点の総取り状態を獲得できる。

ちなみにこういう問題を作りたい!という方がいらっしゃったら、info@seccon.jp の方までご連絡ください(笑)。

最終結果は日本勢が驚きの1-2-3フィニッシュ。国際大会となって今回で5回目で、これまで韓国勢の4連覇を許していましたが、東京大学のチームTSGが5連覇を阻止しました。優勝したTSGには経済産業大臣賞が贈られました。

今年は場所を広くしたおかげで、国内大会も同時に開催することができました。
これはなかなか運営的にはチャレンジでしたが、二つの競技用ネットワークを安定的にハンドルするという難題をクリアしてくれたSECCON NOCのおかげでトラブル無く乗り切れました。大規模イベントの場合は有線・無線LAN等のサービス提供を安定して行うことはけっこう大変なのですが、機材のスポンサーになってくださったYAMAHAさんの多大なる技術的サポートのおかげもあり、競技用ネットワークに加えて会場のどの場所も安定供給を実現できたと思います。
国内大会の問題もご紹介しておきましょう。

天橋立:XSS Challenge(クロスサイトスクリプティング問題)をチーム間で1問ずつ出題し合う。出題した問題が解かれるまで防御点が入り続ける
松島:乱数発生器を使ったビデオポーカー。乱数発生器の性質を解析し、良い役を狙う。フルハウス以上を出すと攻撃フラグ1の100点が手に入る。4カード以上を出すと攻撃フラグ2の300点が手に入り、防御フラグの入力ページに飛ぶ
宮島:アセンブラ力等を問う問題で一定時間ごとに異なる動作が出題され、その動作をするプログラムを書いて投稿する。誰も解いていない問題で、指定の通りに動作したら防御点を獲得できる。より短くて同じ動作をするプログラムが投稿されるまで防御点を獲得し続ける。攻撃点付きの問題を解いた場合には攻撃点を獲得出来る

こちらは国内では老舗のチームdodododoが優勝しました。学生で最終週だったチームm1z0r3と個人ではHarekazeのst98さんに文部科学大臣賞が贈られました。
その他の順位などの結果はWebに掲載しています。
https://2018.seccon.jp/2019/01/final-result-of-seccon-ctf-2018.html

今回もSECCONらしいユニークな(笑)問題を揃えることができたと思っていますが、2012年からこのイベントを開催している中の人としては、問題作成で協力してくれる方をもっともっと増やしていきたいですね。そのための企画もいろいろと検討中ですのでご期待ください。
SECCONも8年目に入るわけですが、今年もおそらく冬に「お祭り」を開催することになりそうです。そのためにはもちろん、スポンサーさんが集まってくれることが重要なのです(絶賛募集中)。われわれにできることは中身の質の向上と充実ということになりますが、同時に今年は発信力も増強していきたいと考えています。これからもSECCONにご期待ください。

 

 

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★ISEPAより以下の成果物を公開しました。ぜひご覧下さい。
「セキュリティ業務を担う人材の現状調査」の現状報告(2018年下期調査)
https://www.jnsa.org/isepa/

★JNSA活動報告会を以下の日程で行います。申し込み開始は近日中の
予定です!
日時:2019年6月12日(水)
会場:ベルサール神保町

★SECCON2019スポンサー募集を開始しました。詳細についてはJNSA事務局までお問合せ下さい。

【事務局からのお知らせ】
★2019年度JNSA総会は活動報告会と同日に行います。JNSA会員の方は御参加よろしくお願い致します。
 日時:2019年6月12日(水)16時から(会場:ベルサール神保町)

★JNSAは、(ISC)2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。
 7月のSANSトレーニング受付を開始しました。
 受講の際にはぜひ事務局までご連絡下さい。

 

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第161号
発信日:2019年5月7日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.