Tokyo SOC Report

CTF (Capture The Flag) 勉強会 開催レポート

記事をシェアする:

日本IBMの技術系社員を対象とした「CTF勉強会」を開催

セキュリティーの脅威は日を追うごとに多様化しています。しかし、さまざまな脅威に対処できる技術者は不足しています。これは、お客様の組織、自治体、セキュリティー業界の全てで共通に認識されている課題です。そこでIBM Securityでは、セキュリティー技術者の育成やスキル強化を目的とした取り組みの一環として、2019年12月5日にCTF勉強会を開催しました。

「CTF勉強会」講師の写真

「CTF勉強会」講師陣:日本IBM マネージド・セキュリティー・サービスのメンバー

 

「CTF (Capture The Flag)」とは

はじめに、講師からCTFについての紹介がありました。CTFはセキュリティー技術の競技大会として世界各地で開催されています。その多くはチーム戦で行われ、暗号、バイナリー、ネットワーク、Web、フォレンジックなど多岐にわたる問題に挑戦して、その中から隠された答え(フラグ)を見つけ出し、その得点を競います。また、ゲーム感覚で楽しみながら学習することができるとともに、実際に手を動かして問題を解いていくので、実践的なスキルを身に付けることができます。

国内最大級のCTF大会「SECCON」には、学生からIT技術者まで、幅広い層の人たちが数多く参加しています。日本IBMは「SECCON 2018」に協賛するとともに、社内有志でCTFチームを結成して、競技大会に参加しています。2018年は国内決勝大会に出場し、見事3位に入賞しました。

また、CTFについてはさまざまなコミュニティーも形成されています。その一つに、セキュリティーに興味がある女性を対象とした「CTF for GIRLS」があります。このコミュニティーでは、女性同士で気軽に技術的な質問や何気ない悩みを話し合うことができる環境づくりを目的としており、定期的にワークショップやCTF大会の開催を行っています。今回の講師の一人は、この運営メンバーとして活動しています。

菅 賢太郎

講師:マネージド・セキュリティー・サービス 菅 賢太郎

Web問題に挑戦

次に、Web問題に関するセッションは以下の内容で行われました。

  • CTFにおけるWeb問題とは
  • Webセキュリティーの基礎知識
  • プロキシーツールの使い方
  • Webアプリケーションの脆弱性

まず、普段ユーザーがインターネット上で買い物やニュースサイトの閲覧など行っている仕組みを理解するために、Webブラウザの機能やプロキシーツールを使用して通信を可視化し、HTTPリクエスト/レスポンス、認証、セッション管理の方法など基礎知識を学習しました。そして、次に設定や実装に不備があるWebアプリケーション・サーバーと通信を行い、パラメータの改ざんやSQLインジェクションなど代表的な脆弱性に触れながら攻撃方法や問題点への理解を深めていました。

このセクションの最後では、受講者は、CTF問題にチャレンジしました。問題へのチャレンジがはじまると、受講者は黙々と画面に向かい取り組んでいました。これまでに学んだこと、またはそれらを組み合わせて試行錯誤を繰り返し答えに近づいていきます。与えられた問題が簡単で時間内に別の問題にチャレンジする人や、講師から少しのヒントを得ながら解答を得る人など、スキルレベルは様々でしたが、「SQLインジェクション攻撃」や「なりすまし攻撃」など代表的な脆弱性を実際に体験し、攻撃手法に関して理解を深めていました。Web問題は普段から利用しているWebアプリケーションが題材であるため、比較的取り組みやすく、楽しみながら問題を解いている姿が伺えました。

柳 優(右)

講師:マネージド・セキュリティー・サービス 柳 優(写真右)

 

Binary問題に挑戦

勉強会の最後はBinary問題に関するセッションでした。

Binary 問題もCTFのメジャーなジャンルの1つで、下記のような知識が必要になります。

  • アセンブリ
  • CPUレジスタ
  • メモリー構造
  • ファイル・フォーマット
  • デバッガの使い方
  • Exploitコード開発

このセッションではスタック・バッファー・オーバーフローの脆弱性をもつバイナリファイルからフラグを取り出す問題をベースに解説が行われました。このバイナリファイルは、実行するとユーザーからの文字列を受け入れ、入力に対する応答を画面上に表示するものです。

Binary問題としては難易度の低い問題ですが、プログラミングやデバッグ経験がない受講者にとっては、短時間で理解するには難しいセッションになります。

そのため講師は答えとなる文字列を先に受講者に提示し、この文字列を入力してフラグが表示されることを確認してもらうところから始めています。

そして次に、「どうしてこの文字列を入力するとフラグが表示されたのか?」「プログラム内部で何が起きたのか?」を講師と一緒に考えていきました。

Web問題のセッションとは異なり、解法を説明することで脆弱性の探し方や攻撃テクニックを学習するスタイルでした。難しいこのセッションを理解しようと頑張っている受講者が多く、講義はWeb問題のセッションとは異なった雰囲気で行われていました。

 

鈴木 貴(左)、菅 賢太郎(右)

幅広くより実践的なスキルを身につけたセキュリティー技術者の育成

今回、セキュリティーに興味を持つ人材の裾野拡大とセキュリティー技術者の育成を目的として、勉強会が開催されました。
CTFを活用することで、楽しみながら技術を学ぶことができるため、セキュリティーに興味を持つ人材を増やす効果があります。また、机上での知識だけではなく実際に手を動かして問題に取り組むことで、プログラミングやネットワークにおける、より実践的なスキルを身につけた技術者の育成も期待できます。

日本IBMは、お客様のシステム環境を一元管理するセキュリティー・ソリューションの提供に努めながら、幅広くより実践的なスキルを身に付けたセキュリティー技術者の育成に取り組んでいます。


【関連情報】

【お問い合わせ】

メールでのお問い合わせはこちら

【著者情報】


IBM Security Japan

IBM Security Japan


More Tokyo SOC Report stories
2020-11-19

IBM Security Summit Japan 2020 アーカイブ(講演動画)

日本IBM最大のセキュリティー・イベント『IBM Security Summit Japan 2020』は「ニューノーマル時代のサイバーセキュリティー」をテーマに、オンライン・セミナーとして開催しました。お客様や有識者を […]

さらに読む

2020-09-29

ランサムウェア2020:世界の組織に影響を与える攻撃の傾向

ランサムウェアは、あらゆる業界や地域の組織が直面している最も難解で一般的な脅威の1つです。また、ランサムウェア攻撃によるインシデントは増加し続けています。一方で、ランサムウェアの脅威のアクターは、組織がこの攻撃から回復す […]

さらに読む

2020-07-20

【金融機関様向け】ポストコロナ時代に必要とされるサイバーセキュリティー・ソリューション紹介セミナー

新型コロナウイルスへの対応も落ち着きを見せつつある中、ウィルスとの共生を前提としたポストコロナの “新たな日常=New Normal” とは「人や場所に依存しない社会」を想像させます。 具体的には「Face to Fac […]

さらに読む