プレイ・ザ・ゲーム! CTFが問いかけるハックの意味セキュリティ・ダークナイト(1)(3/3 ページ)

» 2009年11月30日 00時00分 公開
前のページへ 1|2|3       

本当の問題は何か

 最終的に復号される文章はこれだ。

for an example of a lame ass cipher, see the fbi site:

http://www.fbi.gov/page2/dec08/code_122908.html

joke you guess? no, actual fbi quiz.


 少し汚い表現を使っているが、筆者なりに超意訳をしてみよう。

例えばこの不十分でダメな暗号、そのFBIのサイトを見てみろよ。

http://www.fbi.gov/page2/dec08/code_122908.html

お前は冗談だろって思うだろ?いいや、実際にFBIが出したクイズなんだぜ。


 ひとまず、上記URLのサイトにアクセスしてみよう。

 FBIが過去に実施した、暗号解読の問題出題ページである。張り付けてある画像は、先ほど、作成した文字列の置き換え対応表を使えば、

stupendous.we

congratulate you on

cracking this latest

encryption. visit

www.fbi.gov/coded.htm

to let us know of

your success.


となる、こちらも筆者なりに超意訳をすると、

やったぜ!

最新の暗号化を復号したんだな。おめでとう。

このURL

www.fbi.gov/coded.htm

で君たちの成功を教えてくれよ。


となる。上記URLにアクセスしてみよう。

 しかしそこにあるのは、単なるお祝いの言葉である。

ハックとは何か??求められる「ひらめきや発想力」

 ここまでたどりついて筆者は悩んだ。読者の方もそもそもの問題を思い出してほしい。復号後の問題文の筆者超意訳をもう一度見てみよう。

例えばこの不十分でダメな暗号、そのFBIのサイトを見てみろよ。

http://www.fbi.gov/page2/dec08/code_122908.html

お前は冗談だろって思うだろ?いいや、実際にFBIが出したクイズなんだぜ。


 どうだろう。暗号を復号することに躍起になり、復号できたという勢いでFBIのサイトへアクセスし、過去の暗号問題まで解いたのだが、そもそも、この問題が解答者に何を問うているのかが分からない。

 解答の送信画面でいままでの流れと関連する単語や文章を片っ端から試してみた。長い文章はさらに単語に区切るなどしても試してみた。「FBI」「CAN YOU CRACK A CODE? Try Your Hand at Cryptanalysis」「happy holiday」……。しかし、一向に解答画面は不正解を知らせる「incorrect」の嵐である。

 暗号は解けているのに、何を問われているかが分からず、悩みながら手探りで解答を試みることは、たとえ短時間でもかなりの苦痛だった。あきらめて、次の問題に本腰を入れようとしたそのとき、解答画面に「correct」の文字が現れた。

 正解は何だったと読者の方は想像するだろうか。考えてほしい。

 答えは「fideltybravngchjkqopxsuzwm」だった。

 読者の方はこの文字列をすでに目にしている。そう、「ABCDEFGHIJKLMNOPQRSTUVWXYZ」を今回の対応表通りに順番に復号したものである。これが答えであった。

 通常であれば「この暗号で『AからZ』を復号したものは何だろうか?などと聞けば答えにたどり着けるのに、理不尽じゃないのか? と考える読者の方もいらっしゃるかもしれない。しかし、この1問目を解答して筆者は確信した。

 この予選、技術だけではなくひらめきや発想力も問われている。と。これがCTFの予選というものなんだと強く感じた。


 今回は、紹介する予定の問題のうち、比較的技術力を必要としないものを紹介した。DEFCON CTFの予選と聞くと、大変テクニカルな問題ばかりが出題されるのではないかと感じていた読者の方もいらっしゃるのではないだろうか。予選では今回紹介させていただいたような問題も出題されており、筆者はCTF予選の参加の早い段階であらためて「ハック」という言葉の広さを感じることができた。

次回は、少しテクニカル寄りではあるものの、ひらめき、発想力を要求される問題「Packet Madness: 100」を紹介するとともに、筆者が作成した問題の出題を行いたいと考えている。

筆者紹介

NTTデータ・セキュリティ株式会社

辻 伸弘(つじ のぶひろ)

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

▼辻氏のブログ「(n)」: http://n.pentest.jp/

▼辻氏のTwitter: http://twitter.com/ntsuji



「セキュリティ・ダークナイト」バックナンバー
前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。