開発
ハッキング競技であるCTFで問われる能力
Masato Kaneko
弊社では、10 月 03 日 (月) と 10 月 04 日 (火) の 2 日間、会津大学復興支援センターにて、ハッキング技術コンテストである CTF (Capture The Flag) に関する入門講座を開催いたしました。
昨今、深刻化する情報セキュリティ脅威に対して、情報セキュリティ教育というものに重点が置かれています。
その中で、ハッキング技術コンテストである CTF 競技が注目されています。
CTF 競技では、主催者により決められた競技時間 (12 時間 ~ 48 時間程度) の中で、情報セキュリティだけではなく、様々な情報分野に関して高度な知識を要求する問題が出題されます。
出題された問題から、隠された情報 (フラグ) を見つけだして回答すると、参加チームに得点が入り、競技時間終了時点での順位で勝敗が決まるという競技です。
CTF 競技は、情報セキュリティに関する知識や、脆弱性に関する知識が問われることも多いため、情報セキュリティ技術に特化したコンテストだと考えられています。
しかしながら、それなのにセキュリティ対策の実務では役に立たないと言われてしまうこともあります。
では、CTF 競技で問われている能力とは、一体何なのでしょうか。
実際の CTF 競技で出題された問題の例を見て、少し考えてみましょう。
問題:QRコードの断片を読み取れ
富士山麓で焼け落ちたQRコードの断片が発見された。 損傷が激しい。内容を復元することはできるだろうか?
Forensics 400 − SECCON CTF 2013 オンライン予選
この問題は、日本国内最大の CTF 国際大会である SECCON の 2013 年オンライン予選の Forensics ジャンルで、400 点問題として実際に出題されました。
これは、写真中の右半分しかない QR コードの情報をもとに、QR コードの規格に従って解析していき、地道にデータを復元していくと、QR コード全体を復元することができ、復元された QR コードを QR コードリーダでスキャンすると、フラグ文字列を取得することが出来るというものです。
実際の Write-up (解法) については、次のリンクをご参照ください。
SECCON CTF 2013 online予選 forensics 400 : Eleclog.
http://eleclog.quitsq.com/2014/01/seccon-ctf-2013-online-forensics-400.html
個人的な意見かもしれませんが、これを一般の人が見たら、QR コードの断片から全体を復元出来るものだとも思わなかったり、そもそも復元してみようとは思わないのではないでしょうか。
また、情報セキュリティと何の関係があるの?と思われてしまうこともあるでしょう。
しかしながら、ここではたとえ「普通はしないこと」 でも、課題に立ち向かっていこうとする姿勢が問われているのではないかと思えます。
情報セキュリティ対策を考える上では、攻撃者の視点に立って考えることが大事であるといわれています。
実際の攻撃者は、「普通はしないこと」をして攻撃してきます。
CTF 競技では、攻撃者の視点に立った時のような「普通はしないこと」にも取り組み、問題を解決しようとする能力が問われているのでしょう。
そんな特徴を持つ CTF 競技ですが、問われている能力は情報セキュリティ分野に限らず必要ではないでしょうか。
いつしか CTF 競技というものが、情報セキュリティの分野を超えて広まっていっても良いような気がします。
Featured Image by Johan Viirok – Hacking (2008) / CC BY 2.0