[レポート][パネルディスカッション]我々はなぜCTFを運営するのか？ – CODE BLUE 2020 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2020で行われた以下のセッションのレポートです。

[パネルディスカッション]我々はなぜCTFを運営するのか？

セキュリティの技術研鑽の場としてすっかり定着した感のあるCTFですが、技術研鑽という参加する側の明確な理由に比べ、なぜCTFを主催するのか、そのCTFの先には何があるのか、何が我々をCTFに惹きつけているのかはあまり語られていないように思います。本セッションでは、日本を代表する三大CTFの若手主催者を招いて、その魅力を訊ねてみたいと思います。

Presented by : モデレータ:はせがわようすけ 市川遼 : CBCTF運営、TokyoWesterns リーダー、CB2019U25スピーカー、同年奨学金受給 小池悠生 : CBCTF運営、binjaリーダー、CB2015のU25スピーカー 米内貴志 :CBCTF運営、SECCON Beginnersリーダ

レポート

• はせがわさん
  • CODE BLUE CTF運営メンバーを呼んで話していきたい
  • パネラーはCODE BLUE CTF以外にもいろいろやっている
• 市川さん
  • TokyoWesternsリーダー
• 小池さん
  • binjaリーダー
  • 色んな所で優勝している
  • CBCTF発案者
• 米内さん
  • SECCON Beginnersリーダーもしている
  • TCG CTFもやっている
• はせがわさん
  • 今回モデレータをする
  • SECCONの初期にも参画していたりする
  • CTFは身近に感じている

どうやってCTFに関わり始めたのか

• 市川さん
  • 大学に入って同期にCTFをやっている人がいた
• 小池さん
  • 中学ではじめた
  • ksnctfをオンラインでやるところから
  • セキュリティ・キャンプに参加
• 米内さん
  • 同じく中学ではじめてセキュリティ・キャンプに参加
  • 大学から久しぶりに再開した
• はせがわさん
  • SECCONで作問などもやった
  • 問題を作るのは本当に難しい
    • 難易度もあるし、チョンボできるものもある
  • 辛くて逃げ出してしまった

どうやって持続しているか

• 米内さん
  • 解く側としてはすごい快感
  • 運営側もそんなに辛いとは感じない
• 小池さん
  • 僕はつらい
  • アメとムチではないか
  • 長い時間をかける事によって達成感もいい
• 市川さん
  • 辛い
  • 徹夜とかも辛い
  • TokyoWesternsの運営だと、何が起きるかわからないから起きていないといけないのも辛い
• はせがわさん
  • 基礎体力も重要
    • 普段から技術を身に着けていないと

聞いている人初心者へのアドバイス

• 小池さん
  • CTFを楽しむことでは
  • たくさん参加する
  • 終わった大会の問題を全て解いていた
  • 一番伸びたのは楽しんでいたとき
• 米内さん
  • SECCON Beginnersでもやっている
  • 楽しんでいる時期はすごく伸びているのを見ている
• 市川さん
  • 楽しいのもそうだし学びがあることが大事
  • 問題が解けても解けなくても学びが感じられる

CTF運営・プレイヤーとして全般として楽しかったこと

• 小池さん
  • 強くなると決勝に出れることが多くなる
  • 決勝戦は海外のカンファレンスなどの中で行われることが多い
  • 単純に旅行が楽しい
  • 当時は部活としてやっていたので公式に学校を休めたのが嬉しかった
  • 色んな人ともコミュニケーションできた
  • 学校が理解もあった
  • 高校生ハッカーとして取材されて新聞に載ったのも功を奏した
  • 教員から理解を得られた
• 市川さん
  • 海外の大会に出られると主催が旅費を出してくれる
  • 飛行機のステータスがつくのもいい(しょうもないが)
  • ホスト国の人とつながると美味しいお店も教えてもらえる
• 小池さん
  • CTF自身は家でもできるので、そういうところがいい
• 米内さん
  • メンバーと集まって一緒にやることがいい
  • 青春みたいな
  • パソコンを触っているとそういうことがなかなか無いのでCTFはいい
• 小池さん
  • CTFは合宿みたいなもの

CTF運営として印象深いこと

• 市川さん
  • オンラインで大会を開いてる
  • 自分の思っていない解法で解かれることがある
  • 簡単に解かれるとショックが大きい
  • 頑張ってレビューしているが0dayで突破されることもある
  • 難しいけど面白いなーと思う
• 小池さん
  • 運営についてはつらい思い出ばかり
  • 使っているCTFのシステムが不安定
  • 準備発表の10分前までシステムの不具合で順位が出せなかった
  • すごくハラハラした
  • 最後は手計算したりしていた
• 米内さん
  • 問題作るにはアイデアが必要
  • それが毎回辛い
  • 普段やっていることはブログを書いている
  • 作問者の調査をされると問題の傾向がわかったりすると良くないので、情報を下手に出せない
• はせがわさん
  • 作問が難しい
  • 大丈夫だと思っても大穴がある
  • Webをやっているが、Web自体に限界がある

CTFに対する批判はどうしたらいいか

• 小池さん
  • 遊びのコンテンツだから何か言われる筋合いはない
  • 教育としてどうかという批判もある
  • CTFで培った技術が会社の業務などにも役立っている
• 市川さん
  • CTFは知らないことを調べる能力も身につく
  • 正しく問題解決できる力につながる
  • 技術者としてのベースな技術にもなる
• 米内さん
  • 教育ということをイメージしている人にはいいものに見えないと思う
  • CTFはいろんな視点を探すところが重要
  • 視点の違いが批判につながっているのでは
  • 別に教育を意識して問題を作っているわけではない
  • 肩肘張らずに作っているとは思う
• 小池さん
  • ただやっぱり気にはしている
  • ほかの解法で解かれたくない

印象に残っている問題

• 市川さん
  • AV Oracle
  • 情報をリークするテクニック
• はせがわさん
  • 説明するとアンチウイルスを使ってブラインドでやっていく
  • Webだとよくあるがアンチウイルスでやるのは衝撃的
• 小池さん
  • スタックBOFではスタックカナリがある
  • 当時は回避手法が2つ知られていたが3つ目を使って問題を作った
• はせがわさん
  • 新しい手法を解いてくる人がいるのか
• 小池さん
  • いるのがすごい
  • ただ問題なので、うまくガイドする必要がある
• 市川さん
  • 初めて問題を出したときに別解法で解かれた
  • どうやって解けばいいかと聞かれた
  • 誘導するのは難しい
• 米内さん
  • 正規表現を攻撃者が任意に与えられる
  • hitしたかしなかっただけ攻撃者は得られる
  • これも非想定解でも解かれてしまったがいい問題だと思った
• はせがわさん
  • 発想を飛躍させることが大事なのでは

CODE BLUE CTFの宣伝

• 市川さん
  • いわゆるサイドチャネル攻撃は簡単ではない
  • いかに早く、安定させて攻撃するかは重要
  • Bull's eyeというシステムで安定性を測る採点システムにした
  • 何百回エクスプロイトしてどれくらい精度があるかを測る
• 小池さん
  • こういった手法でたまたま解けるみたいなことを防止できる
  • 実務にも近くなるのでは
• 米内さん
  • 参加者も普段と違う手応えを感じてくれていたのではないか

CTFに踏み込んでもらうための一言

• 市川さん
  • 好きこそものの上手なれ
  • 自分が好きじゃないとCTF面白くない
  • まずは簡単な問題から解いて楽しみを覚える

感想

私もCTFを嗜むものとして聞いていましたが、上位のプレイヤーとしても運営としても素晴らしいなーと思いました。

楽しいから、まずはやろうず！