[参加レポ]『SECCON Beginners 2022 福岡』に参加してきた。

CTFはいいぞ。オフラインイベントもいいぞ。

#イベントレポート

#セキュリティ

#CTF

べこみん

2022.10.12

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

今回は10/10(月・祝)に開催されたオフラインイベント『SECCON Beginners 2022 福岡』の参加レポートになります。

私がCTFに初めて触れたのは今年のSECCON Beginners CTFです。その時のブログも載せておきます。

そのSECCON Beginnersが福岡のオフラインイベントとして開催されるとのことで行ってきました。

『SECCON Beginners 2022 福岡』の概要

概要

SECCON Beginnersは国内のCTFプレイヤーを増やし、人材育成とセキュリティ技術の向上を目的としたCTF初心者向けの勉強会。

『SECCON Beginners 2022 福岡』はSECCON Beginnersが開催するワークショップで、主に地方の学生をターゲットに情報セキュリティやCTFに関する講義やオフラインのCTFを提供するイベント。

SECCONは多くのスポンサーの協力のもと開催されていて、今回のイベントは株式会社セキュアサイクル、株式会社セキュアスカイ・テクノロジーの協賛で開催された。

開催日時・場所

開催日時

2022年10月10日(月・祝) 11:00 ~ 18:30

開催場所

九州大学伊都キャンパス情報基盤研究開発センター 2階

タイムテーブル

11:00-11:30 オリエンテーション
11:30-12:30 講義1 (Web)
12:30-13:30 お昼休憩
13:30-14:30 講義2 (Reversing)
14:30-14:40 休憩
14:40-15:40 講義3 (Crypto)
15:40-15:50 休憩
15:50-17:00 CTF演習
17:10-17:20 休憩
17:20-18:20 解説会
18:20-18:30 クロージング

詳しくは以下をご覧ください。

参加レポート

ということで行ってきました、『SECCON Beginners 2022 福岡』

最初に簡単な感想ですが、本当に素晴らしいイベントでした。運営の方々本当にありがとうございました。

いざ会場へ

まずは起床成功。会場である九大伊都キャンパスは私の家からめちゃくちゃ遠いのでここが一番大変でした。

九大に着いて地図を確認。

今日の会場「情報基盤研究開発センター」を発見。

会場は2階だったのですが、館内にいくつも案内があり運営の方々の心遣いを感じました。

やっと到着！SECCON Beginnersの会場！

受付を済ませ、開始時間を待ちます。

前のスクリーンにはWifiの情報や資料共有のためのファイルサーバー情報、注意事項等のスライドが表示されていました。

30分ほどのSECCONやCTFに関するオリエンテーションがあり、遂に11:30から講義が始まります。

オリエンテーションの中で一番大事だなと感じたのは「CTFと法律」の話ですね。CTFはサーバーやWebなどの脆弱性を攻撃手法を身につけられるコンテンツですが、それはそれらの攻撃からサーバーやデータを守るために行なっているものだと私は考えています。攻撃手法を学んだからといってそこら辺のサーバーに攻撃をしてしまうと電子計算機損壊等業務妨害罪や偽計業務妨害などの罪に問われる可能性があります。CTFを学ぶ上でこれらのサイバー犯罪に関する法律の勉強もする必要がありますね。

また、講義中には Slido を使ったリアルタイムな実況や質問を行うことが出来るようになってました。（~~僕はSlidoだけではなくTwitterでも実況してました。だってハッシュタグが紹介されてたから…~~）

講義1(Web)

講師の方：Satokiさん、tasks4233(@tasks4233)さん

午前中はWeb問題に関する講義がありました。

Web の講義が始まりました。
HTTP や HTML の基礎に関する内容から始まり、後半は XSS や SQL Injection などの攻撃手法の解説に進みます。
現在は様々な条件のもとで XSS が発生するかどうかを検証しています。#ctf4b #seccon pic.twitter.com/LJgu8DVovQ

— SECCON Beginners (@ctf4b) October 10, 2022

講義前に講義で使用するスライド資料が共有され、下記を体系立てて教えていただきました。

Webジャンルの面白さ
Web問題の解き方、解く流れ
Webの基礎知識を学ぶことの重要さ

しかも途中に適切な頻度で簡単な演習問題タイムが挟まるんです。知識も定着するしテンポも良いし、1時間があっという間に過ぎ去りました。

講義2(Reversing)

講師の方：Hi120ki(@hi120ki)さん、n01e0(@n01e0)さん

お昼休憩を挟み午後からはReversingの講義です。

午後の最初の講義は Reversing です。
様々なツールを駆使しながらバイナリの表層解析・静的解析・動的解析の基礎を学びます。#ctf4b #seccon pic.twitter.com/LTd0ZrMztz

— SECCON Beginners (@ctf4b) October 10, 2022

Reversingの講義では、基本的なReversingとは何ぞやという所から実際のELFファイル解析の流れや解析ツールの使い方などを学ぶことが出来ました。

特にGhidraやGDBの使い方はこの講義のおかげでやっと知識が定着したと思います。

Reversing、私は今回の講義を聞くまで僕はめちゃくちゃ苦手意識があったんですが今では割と好きな部類かもしれないです。演習も講義内容も分かりやすくて最高でした。

講義3(Crypto)

講師の方：うしがぃ(@hi120ki)さん

最後の講義はCryptoです。

午後の2つ目の講義は Crypto です。
RSA 暗号に関する問題が解けるようになることを目標に、初等整数論や RSA 暗号のアルゴリズムについて手を動かしながら学びます。#seccon #ctf4b pic.twitter.com/cVT2yXZSQI

— SECCON Beginners (@ctf4b) October 10, 2022

Cryptoの講義ではRSA暗号の問題を解くために必要な数学の基礎知識を詰め込んだようなボリュームのある内容でした。

Cryptoは個人的に強くなりたいジャンルなので、今回の資料を復習しつつ紹介されていたおすすめ本などにも手を伸ばしてみます。

「RSA暗号問題はpとqが分かれば勝ち！」という言葉を信じて、今後のCTFに活かしたいと思います。

CTF演習

今までの講義で学んだことを実践する場として、Jeopardy形式のCTFをやっていきます。制限時間は100分。

当たり前ですが出題ジャンルはWeb、Reversing、Crypto、Miscの4つ。

CTF 演習が始まりました。
今回は Web, Reversing, Crypto, Misc の4ジャンルから問題が出題されています。#ctf4b #seccon pic.twitter.com/rPAWNq1dKz

— SECCON Beginners (@ctf4b) October 10, 2022

参加者みんなで開始の「5・4・3・2・1」というカウントダウンをしたのがオフラインイベントならではという感じでめちゃくちゃ楽しかったです。

全問題を解くことは出来ませんでしたが、出題難易度beginnerとeasyの問題は全て解くことが出来ました。（出題難易度は他にmedium、hardがありました。）

講義でやったことがそのまま出たような問題ばかりだっというのもありますが、6月のSECCON Beginnersで1問しか解けなかった自分にしては結構問題が解けて自信が付きました。