第2回 つくば大会 結果速報

2012/05/21

第2回 つくば大会は大きな事故もなく、好評のうちに無事終了しました。

参加者のみなさん、また、取材にご来訪いただきました各種メディアのみなさま
どうもありがとうございました。

まずは、速報で、CTFの1~4位までの順位と、ハッカソンの最優秀賞についてお知らせします。

【CTF表彰速報】

優勝     ifconfig
準優勝  urandom
第3位   MMA
第4位   IMOCAN

【ハッカソン最優秀作品】
テーマ :ぼくのかんがえたさいきょうの脆弱性
作品名:「ツクランド」 http://tkland.ym405nm.info/
  脆弱性を利用してレアカードをゲットせよ!
  ハッシュタグは #ツクランド

※プレゼン資料:架空のコンプガチャの脆弱性を見つけるゲームです。
  http://www.slideshare.net/ym405nm/seccon

つくば大会 CTF 1日目ダイジェスト(2)

2012/05/20

    • さて、競技開始から2時間ほど、この時点のトップはチームIMOCANです。 
 

    • 今回、新しい演出として、各チームの正答状況を分野毎に串刺しにした3Dの棒グラフが導入されています。
    • 時間も17時を回ったのスコア状況は以下の通りです。これまでダントツトップだったIMOCANに2位のurandomが接近。接戦状態になりました。
    • 本日、取材で入られたメディアの方も熱心に取材されていました。
    • 17:40 チームisc48が500点問題を解き、一気に首位に躍り出てきました。チームTachikomaがそれに続きます。大会側は、さらに追加の新しい問題をいくつか追加しました。
    • 18:00 残り1時間を切ったところで、順位にだいぶ動きがでました。まず、チームifconfigが300点問題を獲得して2位へ浮上、そのすぐあと、urandomが100点を重ねて再度2位へ返り咲きます。
    •  初日終了に向かって、30分を切ると各チームの戦略が見えてきます。
    •  
    • 終了15分前   これまで得点ゼロで来ていたチームAquariumが一気に3問を解答して5位に急浮上!breakthrouthの差(問題を一番最初に正解すると得点の1%が割り増しされます)が最後にどのように影響してくるでしょうか?
    • そして、初日の競技が終了。2時間前まで最下位の0点だったチームAquariumが1位で初日を逃げ切りました。ものすごい追い上げ劇でした。
    • さて、2日目の競技は朝9:30から再開されます。果たして、夜中に宿泊所で問題を解きためていて、スタートダッシュするチームはどこでしょう?楽しみです。

つくば大会CTF 1日目ダイジェスト(1)

つくば大会初日が終わり、参加した”戦士”たちはいま(現在4:30AM)つかの間の休息をまどろんでいることでしょう。
では、ここで、一日目を振り返ります。

  •  13:00 競技に先立ち、オリエンテーションがおこなわれました。ルールや施設の使い方など
    •  が説明されました。 
 
    •  続いてさっそく競技の開始です。
    •  今回の参加チームは全13チームです。
    •  【CTFチーム一覧】
       wasamusume, IMOCAN, Aquarium, Tachikoma, 5a454e, urandom, 1012325,
        isc48, ifconfig, hnp6, SecRock, MMA, TeamTNCT 

      さっそく各チームが、それぞれチームのステージングを始めます。
      今回はCTF会場の割に参加者が多かったので1チームあたりCTF会場へは同時に4人までという入場制限がかかっています。あふれてしまった人たちは、控え室でステージを作り始めて、CTF会場の自分達の島と無線LANを飛ばしていました。

      ステージングが終わったチームは、すかさずCTF問題サーバにアクセスしはじめます。まだ、ほとんどのチームがステージングしている最中に最初の問題が解けたことを知らせるブザーと緑のランプが・・・。なんと、上記の物量作戦に出ていたチームwasamusumeでした。

ハッカソンテーマ「単一換字式暗号の自動解析プログラムの作成」

第2回 SECCONつくば大会ハッカソンのテーマに、

「単一換字式暗号の自動解読プログラムの作成」

というものがありました。
残念ながら今回は、このテーマでは応募がありませんでしたが、「単一換字式暗号の自動解析プログラムの作成」について、その出題意図を少しお話させてください。

世界のCTF大会では、大抵、一定量の「単一換字式暗号」の問題がでてきます。
これは、CTFの問題を作成する側のパワー不足などにも原因があると思うのですが、問題の作成は簡単にできるのですが、問題を解く側には一定量の負荷をかけられるからです。

しかし、この「単一換字式暗号」、じつは古くからよく知られており、シャーロック・ホームズの「踊る人形」(1904)や、エドガー・アラン・ポーの「黄金虫」(1843)で解説されているくらいカビの生えた暗号で、現代の情報教育では、暗号授業のオリエンテーションとして触れられる程度でしかなかったものです。

ところが、これが、現在、世界的に流行っているCTFの問題中に、一定量を占めています。

私はこれは実におかしいと思います。
原因は、自動解析のプログラムが一般に出回っていないからだと思ったのです。
 これもヘンといえばヘンです。
だって、これはプログラム向きの探索問題だからです。

解読には、

・英文字の出現頻度表
・ 英単語、英熟語のデータベース

が必要になるでしょう。
そして、与えられた「暗号文」の頻度分析をおこなった上で、出現頻度表を元に,
単語の一部の英文字を仮定して 、データベースとのマッチングを進め、
他の文字を確定していく・・・という作業を続けます。
もちろん、最終的に全部の単語が解読できれば解読完了です。
途中で失敗した場合は、「仮定」した文字を一つずつ戻していき、他の文字で
探索してみます。

素直に考えるとこんな感じですが、これらをできるだけ一瞬で解けるアルゴリズムを
考えて、実装してほしいのです。

そして、あなたの手で、こんなカビの生えたCTF問題は墓場に封じ込めて欲しいのです。

どなたかSECCON大会とは関係なくても、このようなプログラムを作成して、公開して
みませんか?

SECCON準備中!

2012/05/18

筑波大学では、明日の開催に向けて着々と準備が進んでいます。
今回の準備スタッフには、南は九州からのスタッフと東京/つくばの現地スタッフが前日入りして、一緒にCTF/ハッカソン会場の本日の設営作業は先ほど無事に終了しました。
残りのスタッフは明日の朝、現地入りして、追加準備など行う予定です。

いよいよ大会は明日に迫りました。

スタッフ一同、気持ち的には盛り上がってきました。
明日、会場で参加者のみなさんにお会いできるのがとても楽しみです。

CTF競技の可視化というハッカソンのお題について

2012/05/17

お題を設定した園田です。出題意図についてちょっと書いてみます。
 CTFに限らず、パソコン使ってやる競技には大きな弱点があります。それは、見た目全然おもしろくない、ということですね(笑)。
そこで、いろいろなデータを収集し、可視化することでプレイヤーのすごさ(しょぼさ)とか、今何やってる風なのかとか、そういうものを観客が見て楽しめるような仕組みを作りたいと常々思っているのですが、ハッカソンやるに当たってそのお題を出してみようと思いました。なにせCTFが横で行われているから、仕様や要望を言葉や画像、映像で伝えるよりもはるかに実感してもらいやすいでしょうしね。
今回つくば大会で実施するのはクイズ形式のCTFですが、クイズの場合問題を解いたらポイントが加算されいき、最終的に最高得点をとったチームが勝つという、ある意味非常にシンプルなゲームです。得点はチームごと、個人ごとにカウントできますし、問題サーバーのログを見ればブルートフォースくらいはすぐにわかりますが、逆に言えばそれ以上の材料を得ようとするとそれなりの仕掛けが必要になってくるわけです。今回のこのお題は、その材料収集の仕掛けを含めて検討できればな、という意図も込めて設定しています。
もちろん、競技そのものの動きから得られる材料だけでなく、例えば定点観測的な映像とか、音とか、そういうものからも何か材料を見出して、可視化、演出効果を考える、というような仕組みがあればそれもとってもおもしろいと思います。

SECCON実行委員へのインタビュー Part.1

2012/05/12

みなさんこんにちは、SECCON実行委員のはせがわです。

実行委員のみんながどのような思いでSECCONを開催しているのかをインタビューしてみました。なぜSECCONというイベントを始めたのか、何を目指しているのがが少しでも伝わればといいな思います。

なお、インタビューはサイボウズLive上のオンラインで現在も継続して行われていますので、疑問や質問などを頂けると次回以降の記事でお答えできるかもしれません。お気軽にコメントを頂けると幸いです。

はせがわ
そもそも、SECCON CTFをやろうって言いだしたのはどなたなんでしょう?
根津
私が聞いたのは園田さんの口からですね。
セキュリティ&プログラミングキャンプ2011(以下、キャンプ)のあとの反省会の流れで、
「なんかやりたいですね、自分達の手で。」
という話しがでてきました。
花田
博多でやったセプキャンキャラバン in 福岡(非公式)の際に、「福岡だけでもDEFCON予選が勝てるように、数年掛けてスキルアップする仕組みづくりを・・・」なんて話を園田さんに花田がしていたら、@ITの記事の通りいつの間にかSECCON CTF開催となりました。
tessy
園田さんが各所で構想を語っていて、博多のキャラバンで、具体的に話が動き出したとかそういう流れだったと思います。
はせがわ
なるほど、だから福岡での第1回開催から始まったんですね。
ところで、キャンプでも講義の一環として学生向けのCTFは行っていますが、それとは別にSECCONを立ち上げようと思ったのは、どんな思いからなのでしょうか?
園田
いろいろありますが、
・キャンプの枠とは関係しないところでCTFをやりたかった
・CTFそのものをもっと広める仕組みを作りたかった
・問題作成力を集結し、増強したかった
・DEFCONなど、特に本戦で勝てるような人たちを発掘、または間接的に育成する仕組みを作りたかった
・CTFというものにどこまで世界を変えるパワーがあるのか見たかった
要件的には重複しますが、こんなところでしょうか。
竹迫
あと、キャンプのCTFでは、年間40人程度しか育てられません。これでは人数的に不足なのは明らかです。
根津
それと、キャンプは8年以上継続しておこなわれているように見えますが、実は単年度単位の予算なので、毎年、仕切り直している状態なので、複数年度に渡る一連のイベントや育成を計画できなかったことも、すごく、「もったいない感じ」がありました。
はせがわ
つまり、自分たちの自由な発想のもと、自分たちの手で、キャンプのCTFよりもっと本格的にCTFに特化したかたちを実現したかったということですね。
では、少し話題を変えます。


さきほど「DEFCONなど、特に本戦で勝てるような人たちを発掘、間接的に育成する仕組みを作りたかった」という話もでましたが、SECCONを通じて「こういう人たちを輩出させたい」あるいは「このような環境を作り上げたい」といった、中長期的な目標や目指しているところみたいなものをお聞かせ下さい。
竹迫
韓国では、高校や大学に「情報セキュリティサークル」があり、各地でCTFを主催したりチームを作ったりと活動しています。

韓国を追いかける必要があるがどうかは別として、日本ではまだ若い人たちの間の情報セキュリティに関する関心が低く、とても韓国の状況に比して、たち打ちできる状況とは言いがたいです。また、ほかの世界のCTFで活躍しているチームを見渡すと、20代の若い人が目立っています。
園田
WAFなどを作成していると特に感じるのですが、現状の攻撃の具体的な内容や、そこからどんな攻撃があり得るか、という可能性について考察、想像することができないと、有効性が高いWAFって作れないことを実感しています。だから、単に脆弱性を解析してパッチ作るというだけではなくて、それを思考的に横展開できるとか、あるいは過去の手法やその構成要素みたいなものと組み合わせたり、そういう発想が必要な場、訓練する場ってのを作りたいです。そういう人たちがたくさん出てきて、層が厚くなってこそ、初めてCTFの攻防戦で戦えると思うし、アメリカや韓国からの輸入製品に頼らず、自分たちでセキュリティのいろいろなシステムを作ることができるんじゃないか、って思います。
あとは、いつもいろいろコメントしてる通り、CTFを競技として成立させてJリーグくらいの社会的地位を獲得したいです(笑)。CTFの競技団体を作ってもいいでしょう。また、テレビ局が使いやすい素材などを提供できるような、それでいて競技者の楽しさを損なわず、むしろ楽しめるような競技の演出も考え出したいです。そういうのがきっちりできてくれば、コンテンツとしての価値が閾値を超えて自走しはじめるんじゃないかと思うのです。
根津
サーバー攻防戦の前段階として、クイズ形式のCTFの競技としての普及を果たしたいです。 目標は、アメリカ横断ウルトラクイズか高専ロボコン!全国の中学、高校、高専、大学に「クイズ同好会、ロボット研究会」並に雨後の筍の様に「CTF同好会/研究会」が自然発生し、高校、大学の学園祭でローカルなCTF競技が出し物として行われるような環境を醸し出したいです。
これにより、CTFで対象となる技術的な要件や背景が、一般常識として広く普及し、ひいては国民全体のセキュリティ基礎体力の向上につなげることで、一億総セキュリティ人材予備軍という土壌を作り、この中から煌めくような才能が生まれてくるようにしたいです。
はせがわ
なるほど、みなさん言葉は違えど、「セキュリティに関わる人たちの裾野を広げ、セキュリティに関する知識と技術をより身近なものにしたい」という点では一致しているように感じますし、私も海外へいったときに現地での若者の活躍ぶりや彼らのモチベーションの高さには驚かされ、一方で日本の現状に危機感さえ抱いてしまうこともありますので、竹迫さんの言われていることは非常によくわかります。


(次回以降に続きます)

【つくば大会】CTF参加チームの決定

第2回SECCON つくば大会(関東地区)CTFチームエントリーは5/11(金)17:00をもって締め切りました。たくさんのご応募ありがとうございました。

10チーム40名の定員を超える、総勢13チーム46名の申し込みをいただきましたので、新規のチームエントリーはこれにて受付終了とさせていただきます。

申し込みいただいた全13チームの皆さん全員がCTFにご参加いただけます。

CTF参加チーム名

wasamusume, IMOCAN, Aquarium, Tachikoma, 5a454e, urandom, 1012325, isc48, ifconfig, hnp6, SecRock, MMA, TeamTNCT (申し込み順)


今回確保した会場のキャパシティを若干超えてしまっているのですが、実行委員会で協議した結果、座席のレイアウトを調整することで収容可能と判断しました。参加チームのみなさんの熱い戦いをスタッフ一同楽しみにしています。

ハッカソン参加者は引き続き募集中!

CTF参加チームの応募は終了しましたが、ハッカソンの参加枠にはまだ空きがありますので募集を継続しています。
ハッカソンは年齢、職業等の制約はありませんので、我こそはという方はぜひお申込み下さい。お待ちしています。

詳細は「第2回 SECCON つくば大会(関東地区)」から。

【つくば大会】宿泊の斡旋と各種補助について

2012/05/10

つくば大会について、今回、開催会場に近い宿泊場所があるため、人数は限られますが、実行委員会で宿泊場所を斡旋いたします。
また、交通費補助や宿泊費の補助も条件がありますが、行います。
 詳細は、下記をごらん下さい。

SECCON つくば大会(関東地区)の参加者に対する宿泊施設斡旋、および、各種補助について

 

【重要なお知らせ】第2回つくば大会の登録〆切について

2012/05/07

第2回つくば大会の登録〆切は今週の金曜まで!

第2回 SECCON つくば大会(関東地区)ですが、連休中にもかかわらず早速の参加申し込みをいただきありがとうございました。 ちょっとここで参加予定の皆さんに重要なお知らせがあります。
CTFのチームエントリーですが、会場のスペースが限られているため、今週の金曜日の夕方で一旦受付を終了することとしました。 この時点で定員を超える応募があった場合、それ以降のチームエントリーは受け付けません。 厳正なる抽選を行い、その結果についてそれぞれチームの代表者にお知らせします。
参加を考えている方は、まずチームエントリーを先に済ませてしまいましょう。
CTFチームエントリー、個人エントリー、ハッカソンの参加申し込み〆切はそれぞれ以下の通りとします。

参加登録〆切:

5/11(金)17:00【チームエントリー】〆切
       チームエントリーの受付を終了します。チームの参加人数を入力してください。
       メンバーの追加変更はチームエントリー後でも可能です。
5/14(月)17:00 【個人エントリー】〆切
       この時刻までに個人エントリーを済ませて下さい。
       各チーム人数分の登録があるかを確認します。
5/17(木)12:00 【最終】〆切
       この時刻をもってエントリー確定とします。以後メンバーの変更はできません。
       ハッカソンの参加申し込みは会場の余裕がある場合のみこの時刻まで受け付けます。
少し早目の締め切り設定となっていますので、忘れずにお申し込みください。

第2回つくば大会、開催決定!

2012/05/01

第2回 SECCONつくば大会 CTF/ハッカソン参加者募集中!!


お待たせしました。来る5月19日(土)、20日(日)に第2回つくば大会を筑波大学にて開催します。ふるってご参加ください。
今回はCTFだけでなく、ハッカソンも開催します。CTFは学生向け(22才以下)ですが、ハッカソンは 制限がありませんので、こちらもふるってご参加ください。
開催概要等の案内はこちらにありますので、参加登録フォームから登録してください。なお、応募多数の場合は抽選とさせていただきます。
連休中にもかかわらず開催準備や問題作成などでぎりぎりやりながら、スタッフ一同手ぐすね引いてお待ちしてますので(笑)、よろしくお願いします。