学校対抗CTFを2023年12月16日(土)の13時から16時半で開催します。
- 1.背景
- 2.実施目的
- 3.イベント概要
- 4.参加対象者
- 5.開催方法
- 6.申し込み方法
- 7.CTF本番の進め方
- 8.表彰について
- 9.作問について
- 10.協力者・協力組織(順不同・敬称略)
- 11.イベント発信のご協力をお願いします。
- 12.CTFの結果
1.背景
「WEST-SEC」というコミュニティにて、CTFを多数実施してきました。Connpassの登録者数も約1300人になりました。ありがとうございます。
大学生さん向けにCTFも何度か実施したり、大学のCTFチームさんと共同でCTFを開催したこともあります。6/10には、500人以上に集まっていただいた総務省イベント「サイバーセキュリティ・グランプリ」(https://west-sec.com/gp)でもCTFを実施しました。
ただ、CTFに関して、大学間の連携は無いと聞きました。せっかくなら、若き優秀な大学生の皆さんにて、横通しのつながりを深めることに協力できればと考えました。
2.実施目的
・ふだんの生活で必要なセキュリティ知識の習得
・ライフラインの一つとなったセキュリティへの興味の醸成
・ぐたいてきなWebサイトや攻撃ツールなどの操作方法の理解
・はじめて会う社会人や他の学生との交流
・「楽」しむこと。
3.イベント概要
以下が近畿総合通信局さんの報道発表です。
www.soumu.go.jp
(1)イベント概要
| 日程 | 2023年12月16日(土)13:00~16:30(12:30受付開始) |
|---|---|
| 場所 | 大阪会場:AP大阪茶屋町(大阪府大阪市北区茶屋町1-27ABC-MART梅田ビル 8F) オンライン:Zoomオンライン |
| 定員 | 会場:30チーム(先着順)、オンライン:上限なし 申込時に会場参加かオンライン参加を選択していただきます。 ※各大学にて会場を準備いただける場合もあります。 |
| 対象者 | サイバーセキュリティに興味がある高校生、高専生、専門学校生、大学生、大学院生で、同じ学校に所属する2名または3名のチーム。 また、同じ学校から複数のチームや同じ学校を卒業して3年目までのOB・OGグループでの参加も可能。 |
| 参加費 | 無料 |
| 申込方法 | 令和5年12月8日(金)17時までに、以下から申し込みください。 https://forms.gle/6sVZx2NcKDSsdesUA 初心者コース又は、上級者コースのどちらかを選択してください |
(2)当日のタイムスケジュール
| 時間 | 内容 |
|---|---|
| 13:00 | 開会挨拶(総務省近畿総合通信局) |
| 13:05 | 講演(NICT サイバーセキュリティ研究所 井上 大介氏)←すごく有意義かつ面白い講演だそうです |
| 13:35 | CTF ※競技と並行しながら、教授陣やベンダによる以下のミニ講座を随時実施予定 - CTFで活用するツール - 暗号 - 解析 - ネットワークなど |
| 16:15 | まとめ、表彰など |
| 16:30 | 閉会 |
4.参加対象者
・サイバーセキュリティに興味がある高校生、高専生、専門学校生、大学生または大学院生で、同じ学校に所属する2名から3名のメンバーでチームを組んで参加していただきます。
・問題はレベル分けをしますので、情報系の学生の方も、文系の学生の方もお申込みください。
・同じ学校を卒業した社会人3年目までのチームも参加可能です。※必ず同じ大学の卒業生でチームを組んでください。
・同じ学校から何チームでも参加可能です。
5.開催方法
・大阪にリアル会場を準備します。その他、大学等で会場を準備いただける場合は、相互接続し、冒頭に会場紹介をさせてもらいます。
・それ以外の方は、リモートでご参加ください。参加するチームは一か所に集まってほしいです。
6.申し込み方法
・以下から申し込みください。
https://forms.gle/6sVZx2NcKDSsdesUA
・チームの代表者が、まとめて申込みをお願いします。
・リアル会場の申し込みは原則として大阪会場のみです。福岡会場は、九州大学などを中心に調整中です。
7.CTF本番の進め方
・大学ごとに2~3名で1チームを組んでもらい、チーム対抗のCTFをする。1大学で、何チーム参加してもOK。
・チーム名は「●●大学XX」「●●高専XX」「○○大学OBXX」などと、学校名+チーム名とする。卒業生の場合はOB、OG、OB/OGの表記を付けてください。
・CTF初めての層であるBiginner(初心者)と、CTFベテランのAdvanced(上級者)の2つに分ける。参加チームは、申込時にどちらか好きな方を選んでもらいます。最悪、当日の問題を見た後に、変更は可能です。事務局に相談ください。
・問題の想定レベル
❶初心者コース
セキュリティに関する知識が全くない人であっても、チームで相談したり、ネットで検索したり、ツールを駆使するなどして、チーム平均で7割くらい解けることを意識します。
❷上級者コース
CTFに参加経験がある上級者向けの内容で、チームで相談しながら進めることで、チーム平均で5割くらい解けることを意識します。
※CTF初心者にはおすすめしません。全く分からない可能性があります。
8.表彰について
・スコアを競うことが目的ではありませんが、せっかくなので、上位成績者(1位~3位くらい)には表彰と、軽い副賞を準備しています。近畿総合通信局さんから表彰状をいただけるかと思います。
・ちょうどいい作問をしていただいた方には、作問賞を検討しています。作問賞はアンケート投票の予定です。
9.作問について
(1)作問の方針
・作問者も競技に参加してください。たとえば、30問あって、自分が作った問題は2問程度ある、そんな感じです。
・また、同じ大学の別の研究室(やチーム)からそれぞれ作問してもらうのも可能とします。紳士協定として、絶対に問題を事前共有しないルール。
・同じ会場で、複数のチームが参加される可能性もあり、複数チームで回答を共有されてしまう可能性があります。問題を2種類くらい作り(たとえばAとB)、同じロケにいる同じ大学のチームは、別の問題を選んでもらうことも考えています。
(2)作問のご協力をいただける方へ
・作問時の注意点として、以下を確認ください。
https://west-sec.com/make_west-sec#4%E4%BD%9C%E5%95%8F%E8%A9%B3%E7%B4%B0
・作問に関しては、WEST-SECの粕淵が集約します。是非、たくさんのご提供をお願いします。私への連絡手段はメールかDiscordの予定です。
・問題に関しては、本イベントに合わせて微修正していただくことがあります。多くの場合、「問題が難しすぎる」「問題の意図がわかりずらい」などのご指摘になると思います。また、採用されない場合もありますので、ご理解をお願いします。
・Flag形式は自由とします。
・上級者コースの問題のカテゴリは、SECCONなどのカテゴリで構いません。初心者向けのカテゴリは、こちらで設定します。
・特に上級者向けの問題を希望します。問題は最大2問の提供をお願いします。(※提供いただく数が多いと、当日に、自分も問題を解くことになってしまうので)
・上級者向けの問題の難易度は、SECCON BeginnersのEasyレベル以下で、10分くらいで解ける問題を作問ください。難しすぎる問題は採用されないと考えてください。また、ネットワークに負荷がかかるものはやめてください。
・CTFのスコアサーバは、WEST-SECがAWS上に構築します。スコアサーバ以外に、作問者側でサーバを用意いただき、そこに問題を配置してもらって構いません。サーバを事務局側で用意することも可能です。セキュリティは高くなるのと、不足の事態のときの対応が我々では難しくなりますので、個別に相談です。
・解説も準備願います。フォーマットはWordを希望します。わかればいいので、簡易なもので構いません。
・当日の運営ですが、上級者向けの問題は解説はせず、Writeupを自由に書いてもらいます。初心者向けには、簡単な解説を配布したいと思います。
・作問賞を用意します(投票で順位を決定予定)。主催者からの賞状以外に、副賞を謹呈させてもらいたいと思います。
10.協力者・協力組織(順不同・敬称略)
・小出洋(九州大学 教授 / SECCON WGメンバー)
・森井昌克(神戸大学 教授)
・上原 哲太郎(立命館大学 教授)
・猪俣敦夫(大阪大学大学院 教授)
・Wani Hackase(大阪大学のCTFチーム)
・Ir0nMaiden(名古屋大学のCTFチーム)
・宮本 久仁男(NTTデータグループ/情報セキュリティ大学院大学/SECCON WGメンバー)
・粕淵卓(WEST-SEC)
・株式会社マクニカ
・光安 正憲(NTTフィールドテクノ)
・市川 久哲(NTTフィールドテクノ)
・鴨下 将成(NTTフィールドテクノ)
・岸田 隆祐(NTTフィールドテクノ) ほか
11.イベント発信のご協力をお願いします。
たくさんの方にご参加いただき、楽しいイベントにしたいと思います。SNS等で、お友達にも共有・発信をお願いします。
12.CTFの結果
12/16(土)に無事に終わりました。たくさんの方にご参加いただき、ありがとうございました。
(1)開催結果
以下、近畿総合通信局さんのサイトに「学生向け「学校対抗CTF大会」を開催(2023.12.16)」として開催報告がありました。
総務省|近畿総合通信局|学生向け「学校対抗CTF大会」を開催(2023.12.16)
会場44名、オンライン269名、合計313名(初心者コース76チーム、上級者43チーム)の方にご参加いただきました。
(2)順位
上記の開催報告をもとに、上位10チームを紹介します。
| 初心者コース | (上位10チーム) | |
|---|---|---|
| 1位 | UECTF.A!Team | 電気通信大学 |
| 2位 | にわとり! | HAL東京 |
| 3位 | MLK | 灘高校・中学 |
| 4位 | Sendai-A0b@yama | 東北大学 |
| 5位 | SLPKBIT | 香川大学 |
| 6位 | TraceRoute | HAL大阪 |
| 7位 | WINC | 早稲田大学 |
| 8位 | Pasonkoko Otakus Sanctuary-POSシステム- | 神戸市立工業高等専門学校 |
| 9位 | 行き当たりばったり | 大阪情報コンピュータ専門学校 |
| 10位 | 基盤教養 | 大阪大学 |
| 上級者コース | (上位10チーム) | |
|---|---|---|
| 1位 | 各務チヒロ | 筑波大学 |
| 2位 | チームおにぎり組合 | 筑波大学 |
| 3位 | チーム京阪奈 | 大阪大学OB |
| 4位 | サイバージュエルファイターズ | 大阪大学 |
| 5位 | 毛ガニ2トン | 立命館大学 |
| 6位 | TraP | 東京工業大学 |
| 7位 | n4g0mi | 岡山大学 |
| 8位 | ONsen | 大阪大学 |
| 9位 | nobi | 神戸大学 |
| 10位 | MezaseIchimoN | 電気通信大学 |
(3)作問賞
良問だと思うものをMVQ(Most Valuable Question:最優秀問題の投票)として、参加者に投票してもらいました。
以下、上位3人(表示はチーム名)になりますが、10位くらいまで、非常に僅差でした。
1位 File Manager チーム京阪奈(阪大OB)
2位 login Ir0nMaiden(名大)
3位 biography 物忘れ(阪大)
以下は、上記の3チームに限らず、投票理由をいくつか紹介します。
・暗号文を獲得するのにひと手間必要というのが面白かった
・解法に至るまでの道筋がうまく敷かれていた
・flagが計算できる仕組みが不思議だった
・Webサイトの機能として脆弱性が作り込んである点が面白かったです。頭をひねると見える楽しい問題でした。
・面白いトリックだった
・程よい難易度の問題だった
・問題設計が面白かった
・有名な知識を複雑に使う問題だったから
・解くことが出来なかったが、非常に面白いと感じたから
・有名な攻撃手法を体験できる。
・Webの問題でありながら単なるパストラバーサル以外にも、Rev的な要素もあり面白かった。
・ctfの基礎が詰まっているから
・丁度良い難易度でした。
作問にご協力いただいた皆様、本当にありがとうございました。
(4)感想
❶初級向けについて
学生さんたちがとても楽しそうに参加いただけたのが印象的でした。「CTFは初めて」という方も多かったと思います。
会場では、「やった」「解けた」という言葉とともに、多くの学生さんの笑顔を見ることができました。(来賓や見学の方も問題を解かれていて、実は年配の皆さんからも笑顔が見えました)
途中でヒントを出した、最後は解説もしたのですが、積極的に手を挙げて質問をしてくださり、主催側の立場としても、非常にうれしい気持ちになりました。
会場には、女性もたくさん参加されていて、一昔前に比べて、女性の活躍の広がりを感じました。
❷上級向けについて
SECCON本選に出場している人や、CTF業界で有名な人も参加するという、非常にハイレベルな戦いでした。
今回は学生の方にも作問してもらい、作問者は自分の問題を解けないようにと問題をABに分けました。そして、チームメンバーが3人のところもあれば2人のところもありました。ですから、運や、単純に人数が不足していたという点で、スコアが伸び悩んだチームもあったかと思います。
今イベントは、皆さんに楽しんでいただくことが目的でしたので、順位はあくまでも一つの指標にしかすぎません。これだけ多くの若き才能あふれる皆さんに、真剣にご参加いただけたことに大変感謝しております。
余談ですが、プロ野球などのスポーツなどにおいては学生とプロには大きな差がありますが、CTFの場合、学生や若手社員というのは、社会人を含めてのトップクラスということが普通にあります。今回のCTF大会は学生および若手3年目までに限定しましたが、もしかすると、社会人含めた全国大会にしたとしても、ご参加いただいた中の多くのチームが、上位に君臨したのではないかと思います。
(5)正答率
正答率について紹介します。
❶初級向け問題
フラグ入力のテストを実施した81チームのオンライン参加の正答率です。
上級者向けの問題を2問、参考として表示しましたが、これは普通の人には絶対に解けない問題です。その2問を入れても非常に高い正答率でした。
| カテゴリ | 問題数 | 正答率 |
|---|---|---|
| 入力テスト | 1 | 100% |
| 入門 | 4 | 91.7% |
| 暗号 | 7 | 49.2% |
| もろもろ | 8 | 65.1% |
| Web | 3 | 83.1% |
| ネットワーク | 4 | 33.6% |
| 上級者向け | 2 | 0% |
| 全体 | 29 | 59.1% |
上位チームの得点と正答率は以下です。
| 順位 | スコア | 正答数 | 正答率 |
|---|---|---|---|
| 1位 | 2100 | 26 | 90.0% |
| 2位 | 2000 | 25 | 86.2% |
| 3位 | 2000 | 25 | 86.2% |
| 4位 | 2000 | 25 | 86.2% |
| 5位 | 1980 | 25 | 86.2% |
❷上級問題
43チームが参加いただきました。難しい問題を26問用意しましたし、制限時間はたったの2時間半だったにもかかわらず、特に上位チームは驚異的な正答率でした。CTF業界では有名な人が何人もいらしたようでして、レベルの高さに驚きました。
今回は参加型のイベントとして、学生の皆さんに作問協力をお願いしました。その関係で、自分が出した問題を解かないようにするため、問題をAB2つに分けました。とはいえ、半分以上は共通問題です。正答率は以下です。
■問題A 23チーム
| カテゴリ | 問題数 | 正答率 |
|---|---|---|
| Welcome | 3 | 63.0% |
| OSINT | 2 | 56.5% |
| Crypto | 5 | 33.3% |
| Forensics | 4 | 40.2% |
| MISC | 4 | 40.2% |
| 投票 | 1 | 69.6% |
| Network | 1 | 65.2% |
| Web | 4 | 12.0% |
| Reversing | 1 | 69.6% |
| 全体 | 26 | 41.1% |
■問題B 20チーム
| カテゴリ | 問題数 | 正答率 |
|---|---|---|
| Welcome | 4 | 62.5% |
| OSINT | 2 | 45.0% |
| Crypto | 4 | 31.2% |
| Forensics | 4 | 36.5% |
| MISC | 2 | 30.0% |
| 投票 | 1 | 85.0% |
| Network | 1 | 50.0% |
| Web | 3 | 6.7% |
| Reversing | 4 | 33.8% |
| Pwn | 1 | 5.0% |
| 全体 | 26 | 37.1% |
上位チームの得点と正答率(全26問)は以下です。
| 順位 | スコア | 正答数 | 正答率 | 問題 |
|---|---|---|---|---|
| 1位 | 1850 | 24 | 92.3% | A |
| 2位 | 1700 | 22 | 84.6% | B |
| 3位 | 1650 | 22 | 84.6% | A |
| 4位 | 1600 | 21 | 80.8% | B |
| 5位 | 1400 | 19 | 73.1% | A |
