HOME>
研修>
セミナー・イベント

[SECCON 2014決勝] 運営が考え抜いた難問に強豪チームも苦戦――僕らはバイナリに強いチームだ。Webなんて知らない

2015年2月16日(月) 09時30分

Check

メールマガジン（無料会員登録）

【特集】CTF

「みなさん、ぜひ内閣サイバーセキュリティセンターの門をたたいてください」と応援スピーチをした山口大臣

インタビューに応えてくれた竹迫実行委員長

大会用にチューンされたNIRVAN改SECCONカスタム Mk-II

得点・順位もリアルタイムに表示され、参加者にも非常に好評だった

競技会場

1位のTOEFL Beginner。競技中、彼らはほとんど会話していない。チャットで指示しあっていたのだろうか

電通大MMAも参加。5位入賞を果たした

このチームは1名だが、地方大会でトップ通過をしている

課題サーバが攻略されると「突破」のアラートが表示される（NIRVANA改）

大学生に混ざった最年少参加者。サーバー1、2、6の攻略を担当

慣れない問題だったか思いの他苦戦したポーランドチーム

台湾チームはDEF CONでも活躍する強豪チーム

チームのうち3名が都合がつかず出国できなかったというロシアチーム

米国のチーム、その名も「Samurai」

決勝戦にはIT政策担当大臣山口俊一氏も視察に訪れた

最終的な順位と得点

大会実行委員長から健闘賞を受賞したチームscryptos。14歳のハッカーが副賞のアセンブラの本をもらう

3位入賞のPPP（アメリカ）

2位入賞のHITCON（台湾）

1位入賞のTOEFL Beginner（韓国）

2位のHITCONのメンバー（交流会にて）

1位のTOEFL Beginnerのメンバー（交流会にて）

3位のPPPのメンバー（交流会にて）

SECCON CTF 2014の決勝戦は、年をまたいで2015年の2月7日、8日に行われた。全国で行われた地区予選を突破した24チームが、会場となる東京電機大学千住キャンパスに集まり熱戦を繰り広げた。

SECCON CTFはもともと学生向けのイベントとして開催されたものだが、回を追うごとに対象を広げ、3回目となる2014年度大会は海外チームにも門戸を開き、いままでにない規模での開催となった。しかも優勝チームは、次のDEF CON CTFの正規の出場登録・審査が免除され、無条件で出場権が得られる。加えて、主催者から大会参加のためのホテルが用意される（旅費はチーム負担）。

人気の高いDEF CON CTFに確実にエントリーできるとあって、SECCON CTF 2014には世界58か国から応募があり、「PPP」（米国：DEF CON CTF2年連続優勝）、「Dragon Sector」（ポーランド：世界CTFランキング1位）といった世界トップクラスのチームも参加する大会となった。

世界中で開催されるCTFの国際大会はいくつもあるが、歴史のあるDEF CON CTFの出場権が与えられるCTFは、いまのところSECCON CTFしかない。その理由について大会実行委員長竹迫良範氏は「国際大会となったことで、CTFイベントの元祖ともいえる「DEF CON CTF」から、ラスベガスでのCTFの優先出場枠を与えるCall for Competitionに応募してみないかとオファーがありました。とくに意識して国際大会にしたわけではありませんが、せっかくなのでと申請したところ、DEF CON出場枠が獲得できました。」と説明した。

なお、竹迫氏は、今後の方針について次のように語ってくれた。

「出場権は得ましたが、DEF CONのコピーにはしたくないので、これからもSECCONのカラーを生かした日本独自のCTFとして大会運営を続けたいと思っています。また、今後は地方予選の他、インターハイ、インターカレッジのようなイベントを増やしたいですね。海外チームも参戦するとレベルが上がりますから、エントリーレベルのCTFも必要だと思います。」

決勝の競技は主催者が用意した6台のサーバーに対して、参加チームが攻撃を仕掛ける。それぞれのサーバーには攻略課題（バイナリ、Web、フォレンジックなど）のテーマが設定され、そのテーマに沿った方法で侵入方法や攻略ポイントを発見し、成功すれば（フラグをとる）得点となる。また、侵入したサーバー経由で他チームを攻撃することも可能だ。このとき他からの攻撃や侵入を防いだ場合、そのチームには防御ポイントが加算される。基本的にはこのようなハッキングを2日間行い、攻撃・防御の合計ポイントで順位を争う。

決勝戦の最終順位は、1位：TOEFL Beginner（韓国：4506ポイント）、2位：HITCON（台湾：3112ポイント）、3位：PPP（米国：2848ポイント）という結果となった。日本チームは4位にbinja、5位に0x0と続いた。多くは0x0（SECCON連続優勝）、Dragon Sector、PPPなどの優勝を予想していたが、結果は韓国チームが2位に1000ポイント以上の差をつけての勝利となった。主催者によれば、問題にSECCONらしさを出すため他のCTFにはないような工夫を凝らしたという。例えば、TCP/IPのプロトコルに精通していないと、一般的なCTFツールでは解析できないレベルの課題だ。他の国際大会とは違った傾向の問題に強豪チームも苦戦したようだ。

表彰式のあとは、会場を変えて参加者による交流会が開催された。競技が終わった各チームメンバーや関係者が親睦を深め、情報交換などを行う場だ。各国の強豪チームも参加していたので、主だったチームのコメントを拾ってみよう。

TOEFL Beginner：
DEF CONの出場権が得られるとあったので、当然それを狙っていました。優勝できてうれしいです。手強かったのはPPPでした。

HITCON：
競技中にチームの攻撃状況がリアルタイムでわかるNIRVANAは画期的だと思いました。DEF CONの出場枠は狙っていたので、2位は残念でした。やはり実力の差ですね。

PPP：
うちのチームはバイナリ―問題が得意なのに、Webの問題が難しいというか時間が足りなかった。TOEFL Beginnerは強かったね。DEF CONでリベンジするよ。

0x0：
SECCONでは２回優勝していたので、問題の傾向などつかんでいたはずですが、海外勢が強かったですね。問題のレベルも上がっていたと思います。攻めるポイントが見えにくかったのが敗因です。

大会最年少の参加者は14歳の中学生だった。コンピュータとのかかわりや将来の夢を聞いたところ、

「普段はScalaやJavaでプログラミングしています。覚えたてのころはゲームプログラムをやっていましたが、いまはライブラリを作ったりロジックを考えたり処理を作るのが楽しいです。将来はエンジニアになりたいですが、CTFは趣味で続けていきたいと思っています。」

と答えてくれた。チームは大学生との混成チームだが、長野県の予選で知り合った仲間でチームを作ったとのことだ。

《中尾真二》

注目ニュース

[速報] SECCON 2014、韓国チーム TOEFL Beginner が優勝

特集

CTF

├[速報] SECCON 2014、韓国チーム TOEFL Beginner が優勝 [ 2015年2月8日 15時38分 ]
├[DEF CON 22 レポート] binja DEFCON22 CTF参戦レポート [ 2014年10月17日 10時15分 ]
└都市をハッキングできるか―『ウォッチドッグス』を都市インフラの専門家が検証（アズビルセキュリティフライデー） [ 2014年6月25日 12時15分 ]

特集・連載

[メルマガ限定配信] ここが変だよ日本のセキュリティ
何だね君はぁ?　「汝の隣次元を愛せよ！ 2次元殺法コンビ参上ですよ！」
[メルマガ限定配信] piyolog Mk-II
セキュリティを生業とする人が絶対読むべきWebサイト「piyolog」のScan支店はこちら
[メルマガ限定配信] The Register
世界を代表する英国のIT誌「The Register」の優良記事から、サイバーセキュリティカテゴリを選りすぐり
[メルマガ限定配信] Hacker in the Rye ～ハッカーの夢見た社会
社会に影響を与えたハッカーを、情報社会学者の塚越健司氏が評論
[メルマガ限定配信] Security Blue Note
行ったことのない海外カンファレンスが必ず見つかる。 by CODE BLUE 篠田佳奈氏
[メルマガ限定配信] Far East Research
中国や北朝鮮など東アジアを中心とした、中東、ロシア地域における最新情報はこちら
[メルマガ限定配信] Scan 茶会事件
Scan編集部は「飲み会よりお茶会」。スイーツの名店で毎月行われる編集会議
工藤伸治のセキュリティ事件簿シーズン5 「ワンタイムアタッカー」
第三者の個人情報を盗んでくれる犯罪サービス「ワンタイムアタッカー」の謎に工藤が挑む
[特別連載]ジョブズの半生
少年時代からiMacによる復活までを描く、The Register 提携記念特別連載「スティーブン・ポール・ジョブズの人生と時代」はこちら