SECCON CTF 2019 国内大会に出場しました。

はじめに

2019/12/21～22の日程で、東京の秋葉原UDXで開催された「SECCON 2019 Akihabara」の1企画、「SECCON CTF 2019 国内大会」にチーム「ids-TeamCC」として出場しました。

SECCONは情報セキュリティをテーマとしたイベントです。 本イベントではカンファレンスやワークショップ、有志のツール展示、企業・団体の展示、そしてCTF(詳細は後述)など、さまざまな関連企画が開催されます。 「SECCON 2019 Akihabara」は今年度のSECCON関連イベントの中でも最大のもので、私はその中のCTFに出場してきましたので、その模様などについて報告します。

SECCON CTFについて

CTFは「Capture The Flag(旗取り合戦)」の略で、情報セキュリティの分野では参加者のセキュリティ関連技術を競うイベントとして認知されています。 日本国内でも年に数回程度、さまざまな団体が主催でCTFが開催されており、その中でもSECCON CTFは多くのCTFプレイヤーが参加するイベントとして広く認知されています。

SECCON CTFには国際大会と国内大会の2種類あり、10月に開催されたオンライン予選を勝ち抜いたチームが出場できます。 国際大会に出場するためには予選で上位12チーム(全チーム中)、国内大会に出場するためには国際大会に出場するチームをのぞいた国内チームの中で上位13チームに入る必要がありました。 私が所属するチーム「ids-TeamCC」はなんとか国内大会出場枠に食い込むことができました。

チームについて

私が所属しているチーム「ids-TeamCC」は、当社有志で結成された「ids-team」と、株式会社日立ソリューションズ・クリエイトの有志で結成された「TeamCC」の合同チームです。 普段はそれぞれで活動しているのですが、DEF CON CTFやSECCON CTFの予選には合同で取り組んでいます。 SECCON CTFの国内大会には前々回の初出場以来、今回で3度目となります。

このチームでは毎週1回程度、社内で合同勉強会を開催しており、そこではCTFの過去問のほかペネトレーションテストやマルウェア解析などもテーマに、メンバーが持ち回りで講義・ハンズオンを行っています。

今回のような社外CTFイベントや勉強会への参加は、当社ではすべて就業扱いとなります。

競技形式

本大会では「King of the Hill」という競技形式が採用されていました。 これは攻撃ポイントと防御ポイントの合計ポイントを競う競技形式です。 攻撃ポイントは各問題を解くことで獲得でき、防御ポイントは原則、チームごとに割り当てられた文字列(ディフェンスワード)を、問題ごとに決められた場所に書き込むことで獲得できます。 防御ポイントは5分ごとに獲得でき、問題サーバーごとに最大20ポイントずつ獲得できます。 複数のチームが同時に1サーバーを防御していた場合は、20ポイントを各チームで分け合うかたちになります。 攻撃ポイントは1問あたり100ポイントなので、解いた問題数は少なくても防御ポイントを稼げれば高得点をおさめることができる、ということになります。

出題された問題について

大会では国際大会・国内大会で共通の問題が出題されました。 また問題サーバーは6つあり、防御ポイントの対象となるのは5つでした。 出題ジャンルとしてはネットワークや暗号をはじめ、画像認識やAI、シェルコード、ハードウェア、そしておなじみQRコードなどがありました。

今回印象的だったのはハードウェアに関する問題です。 デバッガ経由でデバイスに接続したり、ファームウェアの読み書きをしたりと、普段の業務ではやらないことを体験できて楽しかったです(問題が解けるかどうかは別の話)。

大会成績

気になる結果ですが、国内15チーム中11位という結果に終わりました。 攻撃ポイントは8問解いて800ポイント、防御ポイントは264ポイントの、合計1064ポイントでした。 解けた問題数は少なかったですが、国内大会では2チームしか解けなかったというBadUSB関連の問題を解けたのはうれしかったです。

私はハードウェア問題を中心に取り組んだものの1問も解けず、競技時間の大半を、チームメンバーが作成した防御ポイント自動投入スクリプトでエラーが起こっていないかをじっと見守る仕事をしていました。 いわゆる「地蔵」というやつです。 とはいえ、ディフェンスワードさえ書き込めていれば確実に防御ポイントを獲得できますし、地蔵の合間には他メンバーの問題取り組み状況を見つつ方針を決めていくという、よく言えば管制塔的なこともしていたので、広く浅いかたちでチームに貢献できたのではと思いたいです。

感想など

情報セキュリティに関する競技会という位置づけながら、サーバーへの侵入やフォレンジック的な問題はほぼ出題されませんでしたが、限られた時間の中でチームとして問題に取り組めたのは貴重な体験でした。 また、ハードウェア系の問題はオンサイト大会ならではのものなので、次回以降も出題されることに期待しつつ、今後も本選に出場できるよう精進していきたいと思います。

ちなみに大会後の懇親会では、他チームや運営の方々とお話ができて良かったです。 特にハードウェア系の問題を作成された方々から聞いた、問題に込めた意図や小ネタが面白かったです。 そんなネタが隠されてたのか、的な。

SECCONではCTFの他にもカンファレンスやワークショップなど、興味深いイベントが多数開催されていました。 次回以降もCTFの本選に出ることをめざしつつ、出られなくても他のイベントに参加することを楽しみに、今後のSECCONに期待したいです。