今週のお役立ち情報
【セキュリティ魂】今年の問題は? 世界最大のハッキングコンテストで聞く
2008年07月21日09時00分 / 提供:ネットセキュリティ
毎年夏、ラスベガスで開催されるセキュリティ会議 DefCon のハッキングコンテスト CTF(Capture the Flag)は、世界から集まった個人やチームが、システム侵入や暗号解読などのハッキングミッションを競う。同種のイベントとしては世界最大規模を誇る。
昨年に引き続き、このCTFの予選に挑んだ、チームdumbtech のリーダー、ジャック飯沼氏と5人のチームメンバーに、今年のCTFの戦績や、問題の傾向について聞いた。サイバーディフェンス研究所の精鋭チームdumbtech は、日本人初のCTF本戦出場を果たしたのだろうか。
・DefCon
・DefCon CTF08 Quals
・サイバーディフェンス研究所
---
SCAN:
今年の問題の傾向はどうでしたか?
dumbtech:
CTFは「Binary Leetness」「Forensics」「Real World」「Trivia」「Potent Pwnables」の5種類のカテゴリーにそれぞれ5問、計25問の課題が与えられます。この5題は難易度がばらばらで、解けると難易度順に500点、400点、300点、200点、100点のスコアを獲得できます。もし満点を獲得すれば、7,500点です。昨年あった「Web Hacking」というカテゴリは、今年から「Real World」に変わりました。Webアプリの問題が無くなって、バイナリやアセンブリなどの解析系の問題が増えた印象です。
全体的に昨年より難しい問題が多かったです。誰も答えを見つけられなかった問題(unopened)が4つもありましたから。CTFは、難問にみんなで挑戦して楽しむための祭ですから、参加者と出題者が激しく競い合い、毎年どんどん難しくなっています。
SCAN:
どんなチームが出場したのですか?
dumbtech:
CTFはWebから簡単に申し込めます。我々もWebから予約しました。数人のチームでも、一人でも申し込みできます。
・CTF申込ページ
正確な数字は把握していませんが、約500件程度のエントリーがあって、最終的に100点以上のスコアを獲得したのは約400チームです。この中から本戦に進めるのは上位わずか7チームだけです。なかでも今年は、WOWHACKER などの韓国チームが多数上位に入りました。韓国では、国家的にセキュリティ技術者育成に力を入れているので、その成果だと思います。
日本からも、個人も含めて、3〜4チーム参加したと聞いています。もっと多数の日本チームが参加して競い合うようになったら面白いんですけどね。
・各チームの順位とスコア一覧
SCAN:
昨年のインタビューでは、準備不足を dumbtech の敗因のひとつに挙げていましたが、今年は充分な準備をして臨んだのですか?
dumbtech:
それがほとんど準備できなかったんですよ。みんな仕事に忙しくて。とはいえ、BSD系のOSなど、必要となる環境等は準備していました。
SCAN:
手こずった問題はありますか?
dumbtech:
Binary Leetnessの200点の問題は手こずりましたね。TCPが異常動作をするように設定されたサーバと通信しなければならなかったのですが、どうしても通信を確立できなかった。10数時間はこの問題に取り組んだでしょうか。あらゆる可能性を試した結果、スリーウェイハンドシェイクの過程で、転送許可要求に対して戻ってくる転送許可で、Seq番号とAckのバイトの配置、つまりエンディアンが逆になっていることに気付いて、Seq番号とAck番号を変換して返したら、通信が確立できました。深夜2時に会社の会議室で、歓喜の雄叫びを上げている男がいると思ったら、それは自分でした。
・DefCon CTF08 模範解答
SCAN:
自宅ではなくて会社でよかったですね。
最終的な結果を教えて下さい。
dumbtech:
スコアは昨年と同じ4,000点、順位は15位でした。昨年の25位からは躍進したものの、今年も残念ながら予選落ちでした。ただ、ベスト15に入ったことで、チーム名がスコアボードに記載されたことが嬉しいです。
・図1:最終結果のスクリーンショット
また、CTFの予選では1つの問題を最も早く解いたチームだけが次の問題を開くことができます。今回dumbtechは、「Potent Pwnable」の100を最速で解くことができました。次の問題を選ぶことができたのも今回が初めてで、この時も大きな歓声が上がりました。
・図2:「Potent Pwnable」の100を最速で解いた画面
トップ3にいるチームにはまだまだ手が届かない実力差を感じますが、本戦出場(上位7位内)ははっきり見えたと思います。
SCAN:
CTFのようなイベントは、有志が集まって参加することが多いと思いますが、サイバーディフェンス研究所が、組織として毎年参加している理由はなんですか?
dumbtech:
親睦やチームワーク育成をかねた、年に一回の社内イベントですね。実はCTFで必要とされる技術そのものは、ペネトレーションテストのような業務とは、直接的な関わりはありません。それよりも、自分達よりも強い奴らがゴロゴロしているCTFに参加することに意味があると考えています。勉強を続けることと、技術研鑽するための強いモチベーションになります。来年こそは、本戦出場を果たし、我々全員で DefCon の開催されるラスベガスへ慰安旅行、いえ、セキュリティ技術研修の旅に行こうと思います。
SCAN:
来年こそ本選の体験を聞かせてください。
執筆:SCAN編集部
関連リンク
・取材協力 サイバーディフェンス研究所
・チームdumbtechメンバー
・ぺネトレーションテスト
関連記事
・デフコン旗取りゲーム、日本チーム参戦マニュアル (1)
・デフコン旗取りゲーム、日本チーム参戦マニュアル (2)
■こちらもオススメ!【セキュリティ魂】
・2008オリンピックは中止か? 四川大地震に便乗するマルウエア
・身代金を要求するマルウエア「ファイルを救いたければ$200払え!」
・ハッキング大学生と結びつく韓国セキュリティ業界
・あきれた性犯罪者リスト漏えい事件
・ハッキングの餌食となったATM
・【セキュリティ魂】バックナンバー
昨年に引き続き、このCTFの予選に挑んだ、チームdumbtech のリーダー、ジャック飯沼氏と5人のチームメンバーに、今年のCTFの戦績や、問題の傾向について聞いた。サイバーディフェンス研究所の精鋭チームdumbtech は、日本人初のCTF本戦出場を果たしたのだろうか。
・DefCon
・DefCon CTF08 Quals
・サイバーディフェンス研究所
---
SCAN:
今年の問題の傾向はどうでしたか?
dumbtech:
CTFは「Binary Leetness」「Forensics」「Real World」「Trivia」「Potent Pwnables」の5種類のカテゴリーにそれぞれ5問、計25問の課題が与えられます。この5題は難易度がばらばらで、解けると難易度順に500点、400点、300点、200点、100点のスコアを獲得できます。もし満点を獲得すれば、7,500点です。昨年あった「Web Hacking」というカテゴリは、今年から「Real World」に変わりました。Webアプリの問題が無くなって、バイナリやアセンブリなどの解析系の問題が増えた印象です。
全体的に昨年より難しい問題が多かったです。誰も答えを見つけられなかった問題(unopened)が4つもありましたから。CTFは、難問にみんなで挑戦して楽しむための祭ですから、参加者と出題者が激しく競い合い、毎年どんどん難しくなっています。
SCAN:
どんなチームが出場したのですか?
dumbtech:
CTFはWebから簡単に申し込めます。我々もWebから予約しました。数人のチームでも、一人でも申し込みできます。
・CTF申込ページ
正確な数字は把握していませんが、約500件程度のエントリーがあって、最終的に100点以上のスコアを獲得したのは約400チームです。この中から本戦に進めるのは上位わずか7チームだけです。なかでも今年は、WOWHACKER などの韓国チームが多数上位に入りました。韓国では、国家的にセキュリティ技術者育成に力を入れているので、その成果だと思います。
日本からも、個人も含めて、3〜4チーム参加したと聞いています。もっと多数の日本チームが参加して競い合うようになったら面白いんですけどね。
・各チームの順位とスコア一覧
SCAN:
昨年のインタビューでは、準備不足を dumbtech の敗因のひとつに挙げていましたが、今年は充分な準備をして臨んだのですか?
dumbtech:
それがほとんど準備できなかったんですよ。みんな仕事に忙しくて。とはいえ、BSD系のOSなど、必要となる環境等は準備していました。
SCAN:
手こずった問題はありますか?
dumbtech:
Binary Leetnessの200点の問題は手こずりましたね。TCPが異常動作をするように設定されたサーバと通信しなければならなかったのですが、どうしても通信を確立できなかった。10数時間はこの問題に取り組んだでしょうか。あらゆる可能性を試した結果、スリーウェイハンドシェイクの過程で、転送許可要求に対して戻ってくる転送許可で、Seq番号とAckのバイトの配置、つまりエンディアンが逆になっていることに気付いて、Seq番号とAck番号を変換して返したら、通信が確立できました。深夜2時に会社の会議室で、歓喜の雄叫びを上げている男がいると思ったら、それは自分でした。
・DefCon CTF08 模範解答
SCAN:
自宅ではなくて会社でよかったですね。
最終的な結果を教えて下さい。
dumbtech:
スコアは昨年と同じ4,000点、順位は15位でした。昨年の25位からは躍進したものの、今年も残念ながら予選落ちでした。ただ、ベスト15に入ったことで、チーム名がスコアボードに記載されたことが嬉しいです。
| 図1:最終結果のスクリーンショット |
・図1:最終結果のスクリーンショット
また、CTFの予選では1つの問題を最も早く解いたチームだけが次の問題を開くことができます。今回dumbtechは、「Potent Pwnable」の100を最速で解くことができました。次の問題を選ぶことができたのも今回が初めてで、この時も大きな歓声が上がりました。
| 図2:「Potent Pwnable」の100を最速で解いた画面 |
・図2:「Potent Pwnable」の100を最速で解いた画面
トップ3にいるチームにはまだまだ手が届かない実力差を感じますが、本戦出場(上位7位内)ははっきり見えたと思います。
SCAN:
CTFのようなイベントは、有志が集まって参加することが多いと思いますが、サイバーディフェンス研究所が、組織として毎年参加している理由はなんですか?
dumbtech:
親睦やチームワーク育成をかねた、年に一回の社内イベントですね。実はCTFで必要とされる技術そのものは、ペネトレーションテストのような業務とは、直接的な関わりはありません。それよりも、自分達よりも強い奴らがゴロゴロしているCTFに参加することに意味があると考えています。勉強を続けることと、技術研鑽するための強いモチベーションになります。来年こそは、本戦出場を果たし、我々全員で DefCon の開催されるラスベガスへ慰安旅行、いえ、セキュリティ技術研修の旅に行こうと思います。
SCAN:
来年こそ本選の体験を聞かせてください。
執筆:SCAN編集部
関連リンク
・取材協力 サイバーディフェンス研究所
・チームdumbtechメンバー
・ぺネトレーションテスト
関連記事
・デフコン旗取りゲーム、日本チーム参戦マニュアル (1)
・デフコン旗取りゲーム、日本チーム参戦マニュアル (2)
■こちらもオススメ!【セキュリティ魂】
・2008オリンピックは中止か? 四川大地震に便乗するマルウエア
・身代金を要求するマルウエア「ファイルを救いたければ$200払え!」
・ハッキング大学生と結びつく韓国セキュリティ業界
・あきれた性犯罪者リスト漏えい事件
・ハッキングの餌食となったATM
・【セキュリティ魂】バックナンバー
|
|
コメントするにはログインが必要です
Ads by Google
前後の記事
- OpenDNS: フィッシングとポルノをフィルタして1日に2万ドル稼ぐ TechCrunch Japanese 21日20時42分
- 【セキュリティ魂】今年の問題は? 世界最大のハッキングコンテストで聞く
ネットセキュリティ 21日09時00分
- システム管理者、サンフランシスコ市ネットワークをハック、パスワードを書き換える GIZMODO 19日17時00分
- 【赤恥青恥セキュリティ】知らないうちに犯罪にされる? チェーンメールにご用心 ネットセキュリティ 20日09時00分
(3)
- 【コラム】 海外からの電脳攻撃!? サイバーテロの現状とは? R25.jp 21日07時30分
ITアクセスランキング
- 1
- PS3にWindows Vistaをインストールして起動してみたムービー GIGAZINE 12日16時13分
- 2
- 「iPhone 3G」ネットワーク環境問題、高まる不満の声にアップル側は沈黙 CNET Japan 12日11時50分
- 3
- 履歴書に絶対書いてはいけない10個のウソ GIGAZINE 12日10時26分
- 4
- 雷が落ちる様子をスローモーションでとらえたムービー GIGAZINE 13日08時11分
- 5
- 【知っ得!虎の巻】ログオンパスワードを忘れたときのために備えよう
- 6
- 過激な「引き算」が進行するノートPC市場?/金森 努 INSIGHT NOW! 13日07時15分
- 7
- ケータイは何のための道具?――10代は“メール”、30代後半は“通話”がトップに ITmedia 13日07時00分
- 8
- 低価格ノートパソコンが空前のブーム、年内にシェア5割達成へ GIGAZINE 12日12時09分
- 9
- 世界を巻き込むGmailの障害 TechCrunch Japanese 12日07時49分
- 10
- 北京オリンピック開会式の花火による「巨人の足跡」は本当にCGだったのかどうかを検証してみた GIGAZINE 12日15時23分
注目の情報
アメックスのカードは充実した人生を、心から楽しむ人の一枚。
旅や日常に存在するストレスや手間を取り除いてくれる心強い
サービスたちが、このうえない心地よさを届けてくれます。
あなたの世界が広がっていく。