SECCONを名実ともに「世界標準」に次の十年に向けたリファクタリング、進行中

 どんなものにも、これまで蓄積してきたレガシー(遺産)をうまく引き継ぎながら、時代に合わせて変化していくことが必要だ。日本ネットワークセキュリティ協会(JNSA)が主催するセキュリティコンテスト、「SECCON」も例外ではない。

 まだ「CTF」という言葉になじみがなく、詳しく説明する必要のあった2012年にスタートし、海外トップチームの参加も得ながらセキュリティ人材の発掘や育成のきっかけとなってきたSECCON。だが10年あまりを経てIT環境もセキュリティを巡る状況も変化している今、競技環境の面でも作問の面でも少しずつ「リファクタリング」が進んでいる。

上左:前田優人氏、上右:野村敬太氏、下:顔出しNGの新穗隼人氏
上左:前田優人氏、上右:野村敬太氏、下:顔出しNGの新穗隼人氏

 その中心となっているのが、20代を中心とする若手の実行委員たちだ。何を変え、何を変えずにSECCONを進化させようとしているのかを、新穗隼人氏、前田優人氏、野村敬太氏という3人のメンバーに伺った。

むしろオンライン化で楽になった? SECCON 2020 CTF

Q:2020年のSECCONは新型コロナウイルスの影響もあり、予選と本選を1つにし、オンラインでの開催となりました。それに伴って苦労したことは何でしたか?

新穗:いえ、これまでも予選はオンラインで開催していたこともあり、そんなに苦労はありませんでした。むしろオンライン開催一発になり、例年のようにオンライン予選終了後息をつかずに決勝の問題について議論する必要がなくなったので、精神的に余裕があったくらいです。

AMATERAS千の順位表示モード
AMATERAS千の順位表示モード
画像提供:情報通信研究機構(NICT)

前田:ただ、得点の可視化システムではちょっと苦労があったと聞いています。例年、決勝大会への進出チームは多くて二十数チームと数が限られていますが、オンライン大会となると何十倍もの数のチームが参加します。また、競技形式も従来のKing of the Hill形式ではなくJeopardy形式となるため、過去の決勝大会で可視化に使っていた「NIRVANA改SECCONカスタム」をそのまま使うのは難しいと判断して、過去の「CTF for GIRLS」と「攻殻機動隊 REALIZE PROJECT」のコラボイベント、「攻殻CTF」で使われていた可視化システムをベースにした「AMATERAS千」を使うことにしました。

黒い球体が問題サーバを示している。後ろにはずらっと参加チームが並んでおり壮観だ
黒い球体が問題サーバを示している。後ろにはずらっと参加チームが並んでおり壮観だ
画像提供:情報通信研究機構(NICT)

野村:既存の可視化システムは、これまでSECCONが使っていたスコアサーバに依存した実装になっていたので、つなぎ込みの部分でいろいろと工夫し、データベースへの書き込みの部分でちょっと無理矢理な実装を行いました。オンラインCTFの可視化は初めての試みだったのに加え、スコアサーバ側の変更もあり、後手後手になってしまったところがあります。結果、競技の最初の方でバグが出てしまって、可視化システムのチームにも競技者の皆さんにも迷惑をかけてしまったのは反省点です。ただ、速やかに修正できましたし、その点を除けばオンライン開催での影響は特にないと思います。

どんどん進化のペースを早め、複雑性、独創性が増す世界のCTF

Q:インフラについては、クラウドなどを活用して少しずつ変わってきているという話がありました。作問の傾向も少しずつ変わっているのでしょうか?

前田:SECCONならではの独自色から踏み出し、世界で開催されているCTFの標準を目指す、というのを基本的なコンセプトにしています。よくSECCONは「日本を代表するCTF」と言われますが、名実ともにそれにふさわしいものにしていこうと考えました。

野村:世界のCTFを見ると、昔のCTFとは違い、より洗練される方向に向かっています。ですのでSECCONも海外のCTFに追いつき、そういう方向性を目指すということを、この1、2年意識しながらやってきました。

前田:そもそも近年、世界のCTFの進化のペースがどんどん上がって、どんどん難しくなっているんです。基本的に一度どこかのCTFに出題された問題は、すぐ解き方が公開され、同じやり方の問題は出せないんですが、そのサイクルがどんどん早まっているのを感じています。CTFへの注目が高まり、競技化が進んだ結果かも知れませんが、世界の進化のスピードが急速に高まっており、問題に求められるクオリティが上がっているんですね。自分自身もプレイヤーとしていろんなCTFに参加した経験を踏まえ、SECCONもそこに追いつかなくちゃいけないんじゃないか、という思いがあります。

Q:最近はどんな問題が流行しているでしょうか?

前田:うーん……これが流行りというより、流行りという概念自体が薄れて何でも出題されるようになっている、という方が正しいと思います。以前の問題は、「ここに怪しいものがあるから、フラグを探せ」と提示され、それをどう攻略するかが問われる、割と分かりやすいものがものが多かったのですが、どんどん複雑性、独創性が増しています。手がかりがどこにあるかすら分からないような問題も珍しくないです。あらゆるところに目を配って、本当に些細な挙動の差から「これが怪しい」と見つけ出していかなければ問題は解けません。それが解けるチームじゃないと上位にはいけないんですね。

野村:僕の感覚だと昔は、トリビア的に「こういう知識を知っていたらすごいよね」という前提で問題が作られていたんですが、最近は単に知識を知っているだけとか、調べるだけで完結するような問題じゃ面白くないよね、と言われるようになっています。知識を知っている前提で、「じゃ、それをどうするの」と応用力を問われるような、パズル要素に重きが置かれている感じがしています。

前田:たとえていうならば、ここに針と糸があるれど、その糸がどうやっても針の穴に通らない。けれど、針とは何か、糸とは何かを考えた上で、気付かなかった範囲にあった「あるもの」を取り出すとうまく糸が通るーーという感じでしょうか。フラグへの道筋が目の前に見えているのになぜかうまくいかなくて、そこに怪しい何を取り出してくると解ける、という問題が増えているので、発想力が求められますよね。逆に言えば、作問者も「これとこれがある時に、追加でこんなものを持ってくると、こんな風に攻略できますよ」なんてことを研究していて、その研究成果や気付きを発表する場になっています。「ここまでは用意したけれど、君たちは解けますか?」と挑戦してくる感じです。

Q:まるで研究成果を発表する学会みたいですね。

前田:研究というのは、既存の研究に何かプラスアルファをしてはじめて研究になると思いますが、そのプラスアルファの部分が、みんなそれぞれに手を変え、品を変えているという具合ですね。

野村:昔、SECCONで、一部が燃やされたQRコードを読み解く、といった問題が出たことがありますが、あれはQRコードの符号訂正部分を使って何とか戻せるようにすれば解けますし、腕木信号の動画からフラグを読み解く問題も時間をかけて見ていけば分かります。そんな風に直にフラグに至れる問題ではなく、工夫して何らかの制限を迂回しないと解けない、そういう問題が好まれる感じですね。文字通り「技術の力比べ」という性質がより強まったように思います。

前田:技術の進化の過程でそういう傾向に向かっている、という言い方もできるかもしれません。

世界水準のCTFを目指して作問を進めたSECCON 2020 CTF

新穗:この数年、日本のプレイヤーと海外のプレイヤーとで、CTFというものの捉え方が違ってきた部分はあったと思います。2020年のSECCONは、世界のプレイヤーが考えるCTF、世界水準のCTFにしていくという目標の下、作問メンバーを集めてきました。

 過去のSECCONでは、泥臭く頑張った人が報われるような、あまりCTFを知らない人でも時間をかければ解ける問題が多くありました。ですが、そういう誰でもできる問題というのは、世界からやってくるトッププレイヤーには好まれません。そもそも時間をかけることは問題の主眼ではなく、問題や脆弱性などをきちんと理解した結果時間がかかる、という順番なので……。

前田:これまでの作問の方向性にも理解できる部分はあります。日本の技術者に広くセキュリティに興味を持ってもらおう、解いてもらおうというところが出発点ですから、「へー、SECCONっていうものがあるんだ、ちょっと出てみようかな」という人に、いきなり海外のCTFのような手強い問題を出しても何もできないでしょう。そういう意味で、過去のSECCONの問題にも価値はあったんですが、海外のほかの大会に出ているプレイヤーからすると、時間だけかかってめんどくさい問題だという不評もありました。

野村:そういう意味で、この数年、SECCONはどうあるべきかはいろいろ考えていました。みんながわいわい集まるお祭りというのを否定する気はありませんし、何なら個人的にはいいなと思うくらいなんですが、そもそもCTFは技術力の強さを競うものですよね。やはりそれがCTFの一番根幹をなすところだと考え、SECCONの方向性を純粋に技術比べを楽しめる方向にシフトしてきました。

Q:手応えのある問題がそろった2020年のSECCON、参加者からのフィードバックはどうでしたか?

新穗:やっぱり日本のチームからは「解ける問題がありませんでした」といったフィードバックが多かったですね。日本におけるCTFの定義が独特な方向に向かった結果かもしれません。

Q:そういう層には「SECCON Beginners」に参加してもらうのがいいんでしょうか。

前田:そうですね。ただ、SECCON Beginnersでもやっぱり難しいと言われてしまうところがあって、どこまで解きやすくするかは長年の課題ですね。日本では、文化的な背景もあって頑張ったら解ける問題が求められているかもしれませんが、CTFプレイヤーとしては誰でも解ける問題は出したくないというか……やっぱり、自分しか解けない問題が解けたときの喜びって大きいじゃないですか。そういう喜びを味わってほしいなと思って作っています。

Q:それ以外にはどんな反響がありましたか?

前田:世界のCTFに参加しているトップチームのメンバーからは、「すごくいい問題だった」といってもらえました。2020年は素晴らしい作問者を集めることができたため、品質がよくかつ面白い、いい問題ができたと思っています。

コミュニティの入り口としての役割と高レベルな競技の両立を

協賛募集

SECCONでは年間を通じてスポンサーを募集しております。
リクルーティングやブランディング等を目的に様々なメニューをご用意しております。お気軽にお問い合わせください。

SECCON運営事務局: info2020@seccon.jp

2020年度 SECCON スポンサー一覧

プラチナスポンサー

ゴールドスポンサー

シルバースポンサー

ブロンズスポンサー

インフラスポンサー

機材スポンサー

ツールスポンサー

メディアスポンサー

後援団体

提供:SECCON実行委員会/JNSA(NPO日本ネットワークセキュリティ協会)
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2021年4月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]