サイバーセキュリティを楽しく学び競い合う

こんにちは、アルバイトの外山です！

今回は、CTF(Capture The Flag)についての魅力をご紹介します。

日々、高度化しているサイバー攻撃。

東京オリンピックまでにあと20万人のセキュリティ人材を確保しなければなりません。

セキュリティ人材を増やすには、まず人々に対してサイバーセキュリティの興味や関心をさらに上げる必要があります。

セキュリティの面白さや奥深さを学ぶのに最適なものがCTFだと考えています。

@1 CTFとは

CTFとは、Capture The Flagの頭文字をとったもので、「ハッカーコンテスト」とも呼ばれている。

毎年ラスベガスで開催されている世界最大規模のコンピュータセキュリティのカンファレンスDEF CONでの余興としてCTFが始まった。

このDEF CONでのCTFでは、パケット解析、プロトコル解析、システム管理、プログラミング、暗号解読などの知識や技能が試される。

主に攻防形式とクイズ形式の2つの形式がある。

@2 問題の分野

CTFの問題分野は、リバースエンジニアリング、Forensics、Pwnable、Web、Network、Miscellaneousが主な分野。

リバースエンジニアリング

Binaryとも呼ばれ、基本的にはシリアルキーのクラッキングなどと同じ技術を用いてフラグを奪取することで得点となる。

Forensics

HDDやUSBメモリや物理メモリのイメージファイルを解析し、その中からフラグを奪取することで得点となる。

Pwnable

プログラムの脆弱性を突き、不正侵入や不正昇格をすることで得点となる。

基本的にはBinaryと同じだが、脆弱性の発見と脆弱性を攻略するExploitコードを記述する技術が求められる。

一番ハッカーっぽいことする。

ツールとかのデザインがかっこいい。

Web

ウェブアプリケーションの脆弱性(SQLインジェクション・XSS・CSRF・OSコマンドインジェクションなど)を突いてサーバ内に侵入し、フラグを奪取し得点となる。

Web問では、どのように個人情報の漏洩に繋がっている攻撃手法も学べる。

Network

ネットワークのパケットを解析し、その中からフラグを奪取することで得点となる。

ネットワークの基礎的な知識とプロトコルに関する深い知識が求められる。

@3 攻防戦形式

攻防戦形式では、各チームで守るコンピュータが割り当てられ、自チームのコンピュータに対する相手からの攻撃を防ぎ、逆に相手のコンピュータに対する攻撃をして成功したら得点となる。

著名な攻防戦形式は、毎年開催されているDEF CONで行われている。

@4 クイズ形式

クイズ形式では、複数の分野にわたる問題を解答する。

クイズ形式では、防御を行わないため、参加者は攻撃に集中できるが、他チームから受けた攻撃コードを流用した攻撃ができないという一面もある。

クイズ形式では、常設のものも存在する。

@5 CTFやってみよう！

CTFでは、得点を取れば取るほど高い順位が付き、上位に入れば賞金なども出ます。

企業によっては、CTF形式の問題を出して採用をしている企業もあります。

少しでも興味を持った人は「CTF」でggってみてください！

引用元
キャプチャー・ザ・フラッグ