「SECCON 2016決勝大会」開催、CTFを軸に広がる技術と人材の幅：セキュリティ・アディッショナルタイム（14）（1/2 ページ）

　2017年1月28日、29日にかけて、情報セキュリティに関するスキルを競うセキュリティコンテスト「SECCON 2016」の決勝大会が東京電機大学の千住キャンパスで開催された。

　SECCONは、セキュリティ技術を駆使してシステムにある脆弱（ぜいじゃく）性を探し出したり、敵チームからの妨害を防いだりしてポイントを競うCTF（Capture The Flag）形式の競技会の1つで、日本最大規模の大会だ。競技形式でスキルを競い合い、時に“悔しさ”を経験してもらうことで、コンピュータサイエンスとセキュリティに関するスキルを備えた人材を育成することを目的とした取り組みだ。

　決勝大会には、2016年に全国各地で行われた国内予選や連携大会、全世界から参加が可能なオンライン予選を勝ち抜いた計24チームが参加し、2日間にわたって競技に取り組んだ。その内訳は日本の学生チーム8チームに加え、韓国や台湾、中国、アメリカ、ポーランド、ロシア、そしてスイス・フランスの混合チームという具合で、まさに世界レベルの戦いとなった。なおオンライン予選には過去最多となる99カ国、4349人が参加しており、他の予選を含めると述べ参加者は4956人に上る。

　CTFの競技形式は幾つかあるが、SECCON 2016の決勝大会は、トリビア式の問題を解く「Jeopardy」方式と「King of The Hill」形式の組み合わせで行われた。King of The Hillでは、用意された5台の問題サーバを攻略してフラグをゲットすると「攻撃ポイント」が、また自チームのフラグを書き込んで一定時間キープできれば「防御ポイント」が加算され、積み重ねた総得点で勝敗が決する。

SECCON 2016 決勝大会の会場。全世界から予選を勝ち抜いた24チームが参加した

　延べ12時間にわたって行われた競技の結果、優勝を飾ったのは韓国から参加したチーム「Cykor」だった。Cykorは、韓国のトップセキュリティ人材養成プログラム「Best of the Best」のメンバーからなる精鋭チームだ。2016年に開催された「SECCON 2015」や台湾で行われる「HITCON」、トレンドマイクロが開催している「Trend Micro CTF」でも優勝するなど実力は折り紙付きのチームで、初日からトップを譲らず堂々の優勝となった。2位にはやはり韓国チームの「PwnPineappleApplePwn」が、3位は中国のチーム「eee」が入った。日本の学生チームも世界レベルの戦いの中で健闘したが、残念ながら上位入賞はかなわなかった。

優勝を飾ったチーム「Cykor」

　SECCON実行委員長を務める竹迫良範氏は、「今回は、得点だけでは分からないかもしれないが、ハイレベルな『神々の戦い』が繰り広げられた。シェルコードを最適化してサイズを小さくしたり、他チームからの攻撃の迂回方法を考えたりと、さまざまな工夫があった。全てのチームが素晴らしい戦いをしていた」と振り返った。そして、2020年に控える東京オリンピックに向け、引き続きSECCONと、それを通じた人材育成を盛り上げていくと意欲を語った。

脅威の変化に応じて広がるCTF競技、裾野も確実に拡大

　標的型攻撃やランサムウェア、そしてIoTを狙う脅威など、サイバーセキュリティをめぐる状況は多様化し、深刻さを増している。SECCONはSECCON実行委員会／日本ネットワークセキュリティ協会（JNSA）が主催し、今回で5回目の開催となるが、こうした環境の変化に応じて大会の内容も変化し、幅を広げてきた。

　一般にCTFというと、用意されたWebサーバやファイルの中にある「フラグ」を、セキュリティ解析や調査に用いるツールを駆使して見つけ出すもの……というイメージがある。しかしSECCONではそうした形式だけでなく、例えば「IoT」をテーマに、工具を片手に「Raspberry Pi」と基盤を活用してICチップからフラグを読み出す、といったハードウェアに関する知識を問う地方予選（九州大会）を実施したり、スマホゲームに存在する脆弱性を指摘すると同時にプレゼンテーションを行ってもらったり（SECCON 2016 × CEDEC CHALLENGE ゲームクラッキング＆チートチャレンジ）と、さまざまな方式の競技を実施し、多様なスキルの発掘を図ってきた。

決勝大会と同時に、九州大会の問題をベースにした「IoT CTF Challenge」も行われた

　競技の幅の広がりとともに、参加者の裾野の拡大も進んでいるようだ。

　SECCON実行委員会はこれまで、セキュリティ人材の裾野を広げるという意味で、初心者向けの「CTF for ビギナーズ」や、女性限定の「CTF for GIRLS」といった、チュートリアルを組み合わせた大会も開催し、セキュリティやCTFに漠然とした興味を持つ人が一歩踏み出す機会を提供してきた。

　決勝大会同日の1月29日には、約400人を集めて「CTF for ビギナーズ 2016 FINAL@東京」が行われた。運営担当者によれば「この規模でのCTFは初めて」だという。会場となった東京電機大学の丹羽ホールは、PCを持った参加者でぎっしり埋まった。Webの脆弱性とネットワークフォレンジック（パケット解析）、バイナリ解析のイロハについて、CTFならではの勘所を織り交ぜながら解説する講義の後に競技を実施。468ものIPアドレスが払い出された規模だけに、問題が解かれたことを示すパトランプがひっきりなしに点滅する状況となった。

約400人の参加者を集めて行われた「CTF for ビギナーズ 2016 FINAL@東京」

　印象的だったのは、会場で複数の小中学生の姿を見かけたことだ。中でも、情報オリンピックの国内予選を通過したという中学2年生の双子の兄弟は「普段取り組んでいる競技プログラミングとはまた違い、CTFというものが理解できて面白かった。コンテストでも目標以上の順位を達成できた」と、ツワモノなりの手応えを感じていたようだ。

　また「情報系の勉強をしているが、CTFに興味があり、良い機会と思って参加した。こういう形で実践しながら学べるのは、本を読むだけとは全然違う」と述べた専門学校生をはじめ、多くの学生も参加。他にも、学生とともに参加した教員や、仕事としてセキュリティに携わる社会人などの姿があった。背景は多種多様、年齢もまちまちながら、いずれも真剣に、時に頭を抱えながらも、目を輝かせて問題に取り組んでいた。

　なおCTF for ビギナーズ 2016 FINAL@東京の運営は、ほとんどが、学生や社会人になったばかりの若い技術者たちが担っている。今回は講師の1人として、昨年SECCON決勝大会に参加し、文部科学大臣賞を受賞したチーム「TomoriNao」のメンバーが壇上に立ち、バイナリ解析の講義を行うなど、CTFに参加したエンジニアが自らの経験や知見を伝え、展開していくという、縦・横の流れが確実に生まれている。