- セキュリティ
- カルチャー
- イベント
SECCON Beginners CTF 2025 参加レポート
はじめに
printf("おはようございます\n"); エクシオグループ4年目エンジニアの二木です。
2025年7月に開催された SECCON Beginners CTF 2025 に、社内CTF運営メンバーから募った チーム:exnymous で参加し、獲得スコア2913pt:99位という成績を収めることができました。
本記事では、参加の背景や目的、得られた知見についてご紹介します。
参加の背景
エクシオグループでは、セキュリティ技術の向上と社内の技術力強化を目的として、CTF(Capture The Flag)形式のセキュリティコンテストへの参加を積極的に推進しています。
特に2025年度は、社内CTFイベント「EXEOCTF」の開催をメイン施策として位置づけており、外部CTFへの参加はその準備の一環です。社内CTFのノウハウ蓄積を進めるとともに、社外のCTFに積極的に参加することで、より高度な知見や実践経験を獲得し、社内イベントの質を向上させるための基盤づくりを進めています。
参加の目的
今回のSECCON Beginners CTF 2025への参加には、以下の目的がありました:
- エクシオのCTF界隈での立ち位置の確認
- 運営メンバーの技術力向上
- 最新のセキュリティ課題や出題傾向の把握
- 社内CTF向けの質の高い問題の収集・選定
- 難易度や出題ジャンルの最適化への活用
- CTF運営に必要なノウハウ(進行管理・問題管理手法等)の実地学習
目的をまとめると、「メンバーの技術力向上」と「問題情報や構築ノウハウの蓄積」の2つですね。
コンテスト概要
SECCON Beginners CTF 2025 は、国内最大級のCTFイベント「SECCON」が主催する初心者向けのセキュリティコンテストです。初心者向け~とはなっていますが、中級者~上級者向けの問題も出題されており、幅広い層が対象となっております。情報セキュリティに関する知識や技術を競い合う競技形式のイベントであり、実践的なハッキングスキルを身に着ける場として幅広く認知されております。
今回のSECCON Beginners CTF 2025では、以下の5つの分野から問題が出題されました。
出題分野とその概要をまとめます。
- Web:Webアプリケーションの脆弱性を突く問題。SQLインジェクションやXSSなど、実務でも遭遇する攻撃手法への理解が求められます。
- Crypto:暗号技術に関する問題。XORやRSA、ハッシュ関数などの基礎的な暗号アルゴリズムを理解し、解析する力が試されます。
- Reverse Engineering:バイナリ解析を通じて、プログラムの挙動を逆算する問題。アセンブリの読解力やデバッガの操作が鍵となります。
- Pwn:脆弱なバイナリに対してエクスプロイトを作成する問題。バッファオーバーフローなどの攻撃技術を用いて、システムの制御を奪うことが目的です。
- Misc:その他のジャンルに分類される問題。OSINT(公開情報調査)やステガノグラフィ、ファイル解析など、幅広い知識が求められます。
チーム exnymousのスコア
以下の観点から、自チームのスコア/順位、全体の立ち位置等をまとめました。
※コンテスト終了時に登録されていた総参加チーム数は、1023チームですが、そこから有効なポイントを獲得(つまり0ポイントではないチーム)した880チームのみをデータ抽出対象としています。
- チームexnymousのスコア/順位
- 解けた問題と全体の正答率
- 各種統計情報から見た全体の立ち位置 等
チームexnymous獲得ポイントおよび順位
獲得ポイント:2913pt
全体順位:99位 / 880チーム中
※画像ぼやけててごめんなさい。。。
続いて、解けた問題と全体の正答率についてです。
| 分野 | 問題名 | 難易度 | 最終ポイント | 全体正答率(%) | 解いた問題 |
| welcome | welcome | beginner | 100 | 98.30 | ○ |
| web | skipping | beginner | 100 | 83.75 | ○ |
| web | log-viewer | easy | 100 | 70.57 | ○ |
| web | メモRAG | medium | 100 | 27.61 | ○ |
| web | memo4b | medium | 308 | 17.84 | ○ |
| web | login4b | hard | 420 | 11.59 | × |
| crypto | seesaw | beginner | 100 | 69.55 | ○ |
| crypto | 01-Translator | easy | 100 | 31.82 | ○ |
| crypto | Elliptic4b | medium | 272 | 19.43 | ○ |
| crypto | mathmyth | hard | 452 | 8.98 | × |
| crypto | Golden Ticket | hard | 491 | 3.98 | × |
| misc | kingyo_sukui | beginner | 100 | 73.18 | ○ |
| misc | url-checker | easy | 100 | 68.86 | ○ |
| misc | url-checker2 | medium | 100 | 59.55 | ○ |
| misc | Chamber of Echos | medium | 100 | 26.70 | ○ |
| reversing | CrazyLazyProgram1 | beginner | 100 | 74.32 | ○ |
| reversing | CrazyLazyProgrm2 | easy | 100 | 53.18 | ○ |
| reversing | D-compile | easy | 100 | 40.34 | ○ |
| reversing | wasm_S_exp | medium | 100 | 37.50 | ○ |
| reversing | MAFC | hard | 339 | 16.36 | ○ |
| reversing | code_injection | hard | 441 | 10.00 | × |
| pwnable | pet_name | beginner | 100 | 66.59 | ○ |
| pwnable | pet_sound | easy | 100 | 46.59 | ○ |
| pwnable | pivot4b | medium | 394 | 13.30 | ○ |
| pwnable | pivot4b+ | medium | 496 | 2.84 | × |
| pwnalbe | TimeOfControl | hard | 499 | 1.70 | × |
最後、各種統計情報です。二木が集めたデータから、平均値・中央値・標準偏差などを算出し、我々exnymousチームがどのくらいの立ち位置にいるのかを視覚かしてみました。
| 全体最高有効ポイント | 5712pt |
| 全体最低有効ポイント | 100pt |
| スコア平均値 | 1317.28pt |
| スコア中央値 | 1000pt |
| 標準偏差 | 1157.43 |
上記画像のEXEOCTFというのが、今回出場したチームexnymousだと思ってください。
以上の算出結果から、現時点でのexnymousチームの実力は、上位11.25%であることがわかりました。
最後に
今回、初のSECCON Beginners CTFへの参加でしたが、個人的にはなかなか良い点数を取れたんじゃないかなぁと思っています。チーム立ち上げて約半年、これもメンバー全員の努力と日々の積み重ねの成果であると、二木、感じておりまする。
この経験を通じて、チームメンバーの技術力は確実にステップアップしましたし、CTFの出題傾向や運営ノウハウについても多くの学びがありました。特に、社内CTFで出題する問題の参考としても非常に有意義な内容でした。
今後の作戦ですが、Crypto & Pwnable分野をもっと伸ばしていけるよう、継続的に学習と実践を重ねていきます。
来年以降は、さらに上位を狙っていけるよう、チーム一丸となってチャレンジを続けていきます!
