DefCon CTF 参加チーム AV Tokyo のCTFプロジェクトに聞く今大会への意気込み | ScanNetSecurity
2024.04.24(水)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

DefCon CTF 参加チーム AV Tokyo のCTFプロジェクトに聞く今大会への意気込み

 今年の夏もラスベガスでセキュリティ会議 DefConが開催される。同会議ではハッキングコンテスト CTF(Capture the Flag)の本選も行われ、世界中から集まった参加者がハッキング技術を競う。

特集 特集
 今年の夏もラスベガスでセキュリティ会議 DefConが開催される。同会議ではハッキングコンテスト CTF(Capture the Flag)の本選も行われ、世界中から集まった参加者がハッキング技術を競う。

 本選に先駆けて6月6日8時〜8日8時までの48時間、オンライン上でCTFの予選が行われる。そこでSCAN編集部は、過去3回の参加実績を持つチームチドリを前身とするAV Tokyo のCTFプロジェクトに、今大会の抱負と戦略を聞いた。

 AV Tokyo のCTFプロジェクトは、昨年開催されたBlack Hat Japan 2008の後に行われたAV Tokyo 2008というカンファレンスを契機に結成されたチームで、日本のIT先進企業に勤めるセキュリティ技術者達が参加している。メンバーは20名弱にも及び、その専門も、企業のセキュリティ担当者やプログラマ、リバースエンジニアなど多岐にわたる。

 インタビューは都内某所のセキュリティ企業の会議室の一角を借りて行われた。今回、取材に応じたAV Tokyo のCTFプロジェクトのメンバーは、tessy氏、yoggy氏、愛甲健二氏の3名だ。

 なお、それぞれ一流セキュリティ企業に勤務するtessy氏、yoggy氏だが、本人の希望でハンドルネームのみを記載した。

●そもそもCTFとは

SCAN:
CTFの予選・本選では、そもそもどんな競技を行うのですか?

AV Tokyo:
予選では、オンライン上で出される問題を解答していきます。昨年は、「Binary Leetness」、「Forensics」、「Real World」、「Potent Pwnables」、「Trivia」の5つのカテゴリから、難易度によって100〜500点の5段階の点数が設定された問題が計25問出題されました。この問題を解いていき、最終的に獲得点数の高い上位9チームがラスベガスで行われる本選に出場できます。

本選は、上位9チームと昨年の優勝チームの計10チームで争われます。ラスベガスのホテルの一室を借り切って10チームがそれぞれ、自らのサーバを守りつつ相手のサーバの脆弱性を発見することを競います。サーバには予め点数の割り振られた幾つかの脆弱性が設定されており、相手サーバの脆弱性を見つけたら200点、自チームのサーバの脆弱性を見つけてそれを埋めたら100点といった風に点数を積み重ねていき、最終的に点数の高いチームが優勝となります。

SCAN:
CTFに参加するためには、どんな手続きが必要ですか?

AV Tokyo:
主催チームのWebサイトで登録することにより参加できます。申込期間は主催チームによって多少前後しますが、今年は4月1日から予選直前までです。登録情報もチーム名、連絡用のメールアドレス、パスワードくらいしかなく、とてもシンプルです。

DefCon CTF 参加登録ページ
http://ddtek.biz/ctf/register.html

SCAN:
CTFに参加するのにチームあたりの人数制限などはありますか?

AV Tokyo:
特に設けられていませんので、1人からでも参加できますし、数十人でも参加することが可能です。AV Tokyoでは最大20人くらいでの参加を考えています。

SCAN:
CTFで勝つと良いことはありますか?

AV Tokyo:
CTFで優勝すると、"Black Badge"が貰えます。このバッヂを持っていると一生無料でDefConに入場できますが、ハッカーにとってはそれ以上にこのバッヂを持っていること自体が名誉なことです。

●AV Tokyo のCTFプロジェクトがCTFに参加するにあたって

SCAN:
CTFにはいつから参加していますか?

AV Tokyo:
2006年のCTFに、前身のチームチドリで参加したのが最初です。飲み会の席での話がきっかけでした。2006年は70チーム参加で60位でしたが、2007年は150チーム参加で27位、2008年は370チーム参加で26位と着実に順位を上げています。

昨年の、Black Hat Japanの後に行われたAV Tokyo 2008というカンファレンスでもともとのチームチドリ以外のメンバー参加の気運が高まり、今年からはAV Tokyo のCTFプロジェクトでの参加となりました。今までは大会の様子見といったところもありましたが、今年は本気でフラッグを取りにいきます。

SCAN:
なぜCTFに参加しているのですか?

AV Tokyo:
CTFに参加してしていると楽しいからです。みんなで協力して一つの問題に取り組むと、思いかげないヒントが得られ、自分一人では解けない問題も解くことができ、何物にも代え難い達成感を得られます。また、他の参加者の技術・手法やツールの使い方等を間近で見ることができ、とても勉強になります。

SCAN:
CTFに向けて、どんな対策をしていますか?

AV Tokyo:
月に1回ほど勉強会を行っています。そこでは、過去のCTFの問題やCODEGATEの問題を解いています。過去の問題と同じものが出ることはないですが、問題をこなすことによって、解くための手法を学び経験を積んでいます。

今年は、昨年までの3年間、問題を作成した主催者が変更になったため、出題の傾向がかなり変わってくると思います。

次回の勉強会では、主催者の過去の実績から出題される傾向をみんなで予測し、その対策を立てる予定です。

SCAN:
CTF予選の当日は、具体的にどう取り組む予定ですか?

AV Tokyo:
当日は基本的に参加メンバー全員が集まって、それぞれが別個に問題を解く予定です。ただ、20人近くのメンバー全員が集まれるちょうど良い場所がなく、未だに探している最中です。下記条件に当てはまる会場をご存知の方はぜひご連絡ください。

日時:6月6日(土)8:00〜6月8日(月)8:00
場所:都内近郊
収容人数:20人
条件:安定したネット環境があること
お問い合わせ先: contact [at] avtokyo dot org

SCAN:
海外のハッカーと日本のハッカーの違いについて感じることはありますか?

AV Tokyo:
日本人はシャイな人が多く、自分から技術をPRすることをあまりしません。逆に海外、特にアメリカと韓国は、CTFなどの大会に積極的に参加し自らを強くPRします。彼らは競争して勝つためにCTFに参加しています。

アメリカはもちろん強いですが、韓国からもセキュリティにかける強い意気込みを感じます。また最近はベトナムもレベルが上がってきていると思います。

SCAN:
CTFに参加して良かったことは何ですか?

AV Tokyo:
日頃は知り合えない世界中の国々に友人ができました。自分の世界が凄く広がった感じがします。

また、世界を相手に競うことが自身のスキルアップに繋がり、さらに世界から見た日本のセキュリティの位置、自分自身の位置を知ることが出来ました。

SCAN:
メンバーがCTFで用いる使用機材やツール類を教えて下さい。

AV Tokyo:
Mac OS Xユーザが多く、全体の4割程度居ます。残りのユーザはWindowsを使用していますが、Windowsの問題が出ることはほとんどありません。過去、問題の出たFreeBSDやSolarisなどの各OSをVMwareで動作させています。ツールもGDBやIDA Proなど一般的なものを使用しており、あまり特殊なツールは使っていません。問題によっては…

【執筆:編集部】

【関連リンク】
AV Tokyo のCTFプロジェクト
http://ja.avtokyo.org/projects/
チームチドリ
http://www.t-dori.net/
DefCon
http://www.defcon.org/
CTF主催チーム Diutinus Defense Technologies Corp.
http://ddtek.biz/
CTF参戦者 募集(AVTokyo CTFプロジェクト)
http://d.hatena.ne.jp/tessy/20090522/1242989567
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

LINE client for iOS にサーバ証明書の検証不備の脆弱性 画像

LINE client for iOS にサーバ証明書の検証不備の脆弱性
Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 画像

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害
PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性 画像

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性
WordPress 用プラグイン Forminator に複数の脆弱性 画像

WordPress 用プラグイン Forminator に複数の脆弱性
Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ

インシデント・事故 記事一覧へ

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に 画像

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず 画像

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず
東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信

調査・レポート・白書・ガイドライン 記事一覧へ

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査

研修・セミナー・カンファレンス 記事一覧へ

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開
脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×