ユニークな5つの種目を用意
「攻撃を受けてから対策を考えていては間に合わない。攻撃者に先回りして守れる技術者を育てることが重要だ」(SECCON CTF 実行委員長の竹迫良範氏)——。
会場の様子2013年8月22日、23日の2日間にわたって、「CEDEC 2013」の併催イベントとして、セキュリティ技術や知識を問うコンテスト「SECCON 2013 横浜大会」(SECCON×CEDEC CHALLENGE)がパシフィコ横浜において開催された。
レジストレーションには長蛇の列ができ、あっという間に参加枠が埋まったSECCON CTF(Capture The Flag)は、何かと不足が指摘されるセキュリティ人材の裾野の拡大とレベルアップを目的として行われるセキュリティコンテストだ。2012年に実施された学生向けの「SECCON CTF」や社会人チームが参加した「CTFチャレンジジャパン」を統合したオープンな大会で、今回の横浜大会を皮切りに、全国10カ所で地方大会を開催していく。2014年1月にはオンライン大会も開催し、その勝者らによる「全国大会」を2014年3月1日〜2日に実施する予定だ。
22日の予選会では、5種類の種目が用意された。古典的な情報漏えいの手口である「SQLインジェクション」による攻撃をいかに速く入力し、攻撃を成立させるかを競う「SQLインジェクションチャレンジ」、同様にクロスサイトスクリプティング成立の速さを競う「クロスサイトスクリプティング・スピードラン」、プロジェクターに映し出されたバイナリダンプの羅列を元に対応するファイル形式を見つける「バイナリかるた」、読み上げられた機械語(要は数字)に対応するアセンブラ命令が記された札を探す「アセンブラかるた」、そして「セキュリティ早押しクイズ」だ。
頭を抱えながらも競技に没頭
アセンブラかるたのコーナーでは、参加者らが「『NOP』ならすぐ分かるんだけどなぁ……」などとぼやきながら取り札に向かった。さすがに人間がすべてのアセンブラ命令に対応した機械語を覚えておけるはずもなく、モバイルデバイスやアンチョコといった「参考書籍可」というレギュレーションの下で進められたが、それでもmov、popなど比較的なじみのある命令が読み上げられると、すぐに正答者が現れていた。
一方のバイナリかるたは、いわゆる「目grep」の技を競う競技だ。スクリーンに表示されたバイナリダンプの表示を元に、それがどんな種類のファイルかを当てていく。C言語やgzipなど、特徴があったり可読性が高いファイルはすぐに正答者が現れたが、「FFS」などマイナーなファイルも出題され、参加者は頭を抱えていた。
こうした競技に参加することが、一体どのようにセキュリティに役立つのか。例えば、攻撃者が送り込んできたファイル、すなわちマルウェアがどのような挙動を示し、どんな脆弱性を狙ってくるかを理解しなければ、効果的な対策を打つことはできない。その解析には、バイナリやアセンブラ命令についての深い理解は必須、というわけだ。
同様に、SQLインジェクションチャレンジやXSSスピードランでは、Webアプリケーションにはどういった脆弱性が作り込まれがちなのかを理解した上で、そこを突くスピードを競った。「スピード」をうたう競技に参加するだけあって、早い人はものの5分程度で予選を突破していた。
クロスサイトスクリプティングスピードランまた、SQLインジェクションチャレンジには、警視庁情報通信局からの参加者があったことから、マスコミの注目を集めていた。参加した野本靖之警視正は、もともとフォレンジックを専門にしているという。警視庁がSECCONを後援していることもあり、こうした競技を今後の教育に活用し、例えば「庁内CTF」といった形式を考えることもあり得るとした。
SQLインジェクションチャレンジ。警視庁の野本氏はマスコミに囲まれてのチャレンジセキュリティ早押しクイズでは、ITやセキュリティに関する基本用語に始まり、ウェルノウンポートや「Morrisワーム」「Stuxnet」といった古今東西有名なマルウェアの特徴について問う問題が出題された。中には、出題者が「毎年8月にラスベガスで開催される……」と問題文を読み終える前に「BlackHat!」と回答するなど、テレビのクイズ番組顔負けのシーンも繰り広げられた。
ほかの競技よりもハードルが低く思えるためか、盛況となった「セキュリティ早押しクイズ」「はじめてのCTF体験」も
横浜大会は、ゲーム開発者向けのカンファレンスであるCEDECの並催イベントという位置付けもあって、これまでセキュリティコンテストに触れたことのない人、セキュリティ専門家以外の人に、「CTFとはどういったものか」を知ってもらう試みも用意された。それが「CTF体験コーナー」で、XSSスピードランやSECCONの過去問が用意され、自由に試すことができるようになっていた。
CTF体験コーナー。@ITの記事も参考にしていただきました!実際にXSSスピードランにチャレンジしてみた参加者の1人は、普段はゲーム開発に携わっており「Webに触れるのは久しぶり」。こうしたコンテストも初めてだったという。「万が一不正アクセスを受けてしまうと大変なことになる。ゲーム開発者にとってもセキュリティは非常に重要な要素だ」と述べていた。
SECCON 実行委員の1人である園田道夫氏は、参加者側はもちろん、出題者側に回る技術者が増えてCTFの裾野が広がり、ひいてはセキュリティに携わるエンジニアの拡大につながっていってほしいと述べる。「例えば海外のように、高校、大学単位でCTF部が生まれたり、草大会が実施されたりすれば面白いことになるのではないか」(同氏)。実際会場には、北海道でCTFに関する勉強会を開催しており、大会に合わせてはるばる横浜にまで足を運んだという参加者もあった。
もう1つ、CTFをより分かりやすくする試みとして、競技の「可視化」への取り組みも進んでいる。これまでも、問題サーバと連携して参加者の点数がリアルタイムに表示される仕組みはあったが、NICTの「NIRVANA改」も注目を集めていた。
昨年のSECCON CTF決勝大会のトラフィックを再生していた「NIRVANA改」NIRVANA改は、InteropのShowNetでも使われている、トラフィック可視化の仕組みだ。昨年のSECCON CTF決勝大会では、攻防戦方式で競技が行われたが、NIRVANA改はこの競技ネットワークでどんなパケットが流れているか、つまりを可視化するために利用された。今回の会場では、その全国大会のトラフィックを「再生」し、どのような攻防がなされていたかを擬似的に再現していた。
Copyright© 2013 ITmedia, Inc. All Rights Reserved.