• セキュリティ
  • カルチャー
  • イベント

Capture the flag 活動のご紹介

F.Yuga
F.Yuga
  • セキュリティ
Capture the flag 活動のご紹介

高度に発達した情報化社会に伴い、あらゆる物体・事象・分野などがデータ化され人間は抽象化されたレイヤーを扱い日常生活を送るようになりました。一見すると、便利な社会になったように見えます。しかし、電子上では政府機関、交通機関、金融機関などの重要インフラ事業者に対するサイバー攻撃が後を絶ちません。近年では、サイバー犯罪の組織化や高度な技術を悪用した事案、生成AIを利用した巧妙なフィッシング攻撃など、サイバー空間における脅威は増すばかりです。

このような複雑化・高度化したサイバー空間の脅威は、従来型の防御的手法のみでは安全性を恒常的に担保することが困難な状況にあり、サイバーセキュリティにおける喫緊の課題と云えます。

本記事では、こうした高度化したサイバー攻撃事案に対処するために、攻撃者の視点に立脚した高度な分析能力・即応力及び戦術的思考力を有する人材(所謂ホワイトハッカー)の育成・可視化そして確保を目的とした取り組み活動 Capture the flag についてご紹介します。

みなさま初めまして エクシオグループ株式会社4年目エンジニアの二木です。

「頭脳と技術の戦い Capture the flag」

先ず初めに、Capture the flagとは何か?について、簡単にご説明をします。

Capture the flag (以下、CTFと略す)とは、サイバーセキュリティに関するIT知識やハッキング技術を競い合う競技のことで、暗号解読・プログラム解析・ネットワーク調査・Webアプリケーション脆弱性検出など、多岐にわたる分野の問題が出題されます。参加者は、持ち前のハッキングスキルを用いて、与えられた問題に隠されている「フラグ」と呼ばれる答えを探します。Capture the flag の flag とは、この答えのことを表しているんですね。

似たような競技に Boot2Rootというのがありますが、こちらは1台のマシンを "完全攻略" するシナリオ型なのに対して、CTFは広範なセキュリティ知識を試すクイズ型・競技型となります。

以下に、CTFで出題される代表的な分野とそれぞれの概要を示します。

Web Exploit

Web Exploit(ウェブエクスプロイト、Web)は、Webアプリケーションの脆弱性を突いて、サーバやデータにアクセスする分野です。主な対象はSQLインジェクション、クロスサイトスクリプティング(XSS)、OSコマンドインジェクション、認証バイパスなどです。
実際のWebアプリに対する脆弱性診断に直結する、実用性の高い分野です。

Binary Exploit

Binary Exploit(バイナリエクスプロイト/Pwn/Pwnalbe)は、実行ファイル(バイナリ)の脆弱性を解析・悪用して、任意のコードを実行したり、システムを制御する分野です。
主にバッファオーバーフロー、フォーマットストリング攻撃、ROP(Return Oriented Programming)などを用いて、サーバのシェル強奪・侵入などを行います。
コンピュータのメモリ構造やアセンブリ、Linux Kernelのような低レイヤーの知識が問われることが多く難易度は高めです。しかし、難易度が高めな分、「脆弱性とは何か」や「ハッキングとは」といった根本的な知識を修得することができる非常に重要な分野です。

Forensics

Forensics(フォレンジック)は、ディスクイメージやネットワークパケットキャプチャ、メモリダンプなどから証拠データを発見する、デジタル調査の分野です。
削除されたファイルの復元や、通信の解析、マルウェアの痕跡調査、ラテラルムーブメントの追跡などが中心となります。
サイバー事件の捜査やセキュリティインシデント対応の実務に通じる、サイバー捜査官的なスキルが求められます。こちらもウェブエクスプロイト分野同様、実務に直結する実用性の高い分野ですね。

Reverse Engineering

Reverse Engineering(リバースエンジニアリング、リバーシング)は、実行ファイルやプログラムソースファイルなどを解析して、その動作や仕組みを解き明かす技術力が試される分野です。
難読化やアンチデバッグのバイパス、デバッガによる動作のトレース(GDB, x64dbgなど)、逆アセンブルでの静的/動的解析(Ghidra, IDAなど)など、主に低レイヤーを扱うことが多く、実務ではマルウェア解析などで用いられているツール群を多く使用します。

Crypto

Crypto(暗号、暗号解読)は、暗号理論や暗号アルゴリズムに関する問題を解く分野です。
古代暗号(有名なのだとシーザー暗号やヴィジュネル暗号なお)から、現代暗号(PKI、RSA、RC4など)、更には暗号の実装不備を突く高度な問題まで出題されます。
前述したバイナリエクスプロイト分野とならび、セキュリティの根本となる知識・技術が試されます。

上記で簡単に紹介した分野以外にも、アンドロイドアプリケーションのセキュリティ不備やLinuxのシェル芸、文字コードの仕組み、モールス信号解析、OSINTなどなど... 様々な分野があります。

CTFに対する取り組みと今後の展望

冒頭でも述べた通り、弊社では攻撃者の視点に立脚した高度な分析能力・即応力及び戦術的思考力を有する人材(所謂ホワイトハッカー)の育成・可視化そして確保を目的としたCTF活動を行っております。

具体的な活動内容の概要としては
・弊社独自のエクシオ社員を対象としたCTFコンテストの開催
・外部CTFへの参戦及びサイバー情勢の調査
上記2つがメインとなる活動です。

CTFは単なる競技ではありません。未知の脅威に対する「予見力」と「対応力」を養う実践的訓練の場でもあります。弊社では、これを一過性のイベントとすることなく、"攻め"と"守り"の両面において高度なスキルを発揮できるホワイトハッカーの組織的育成を視野に入れ、今後の人材育成及びセキュリティ体制強化の柱として、継続的かつ戦略的に推進する所存です。

文章が多めで少し長くなってしまいましたが、CTF概要及び弊社のCTFに対する取り組みについての簡単なご紹介でした!

今後の記事では、外部CTF参戦レポートや問題解説(writeup記事)、社内CTF活動に関する取り組みなどについて発信していく予定です。

新着記事一覧へ
すべて見る
すべて見る

人気記事

採用情報

私たちと一緒にはたらきませんか?

採用情報
採用情報へ