サイト内の現在位置

SECCON国際決勝の裏側で学生向けCTFを開催

NECセキュリティブログ

2020年1月10日

NEC サイバーセキュリティ戦略本部セキュリティ技術センターの山﨑です。2019年12月21~22日に秋葉原で開催されたSECCON2019では、NECグループのCTFチーム「noraneco」が国際決勝の舞台で熱い戦いを繰り広げました。
その裏側では、「あなたのセキュリティ技術を試そう!CTFワークショップ2019」と称してNECの社内CTF(NECセキュリティスキルチャレンジ)を学生の皆さま向けに開催しました。本記事では、来年以降のSECCON決勝舞台を目指す学生さん達による戦いをレポートします。

競技中の様子。皆さん黙々と問題に取り組んでいます。
競技中の様子。皆さん黙々と問題に取り組んでいます。

競技ルール

今回のワークショップでは競技時間50分の中で、チュートリアル問題を含む全6問(501点満点)にチャレンジしてもらいました。これらの問題は、いずれも過去のNECセキュリティスキルチャレンジにおいて出題したものです。各問題にはヒントを2つ用意しています。

  • ヒント1:問題を解くきっかけとなるヒント
  • ヒント2:正解に大きく近づくヒント

ヒント1を開くと問題得点の5%、ヒント2を開くと45%が問題正解時に減点されます。(例えば、100点問題のヒント1・2を両方開くと、正解しても50点しか獲得できません)

上位を狙うなら、なるべくヒントは開けずに解きたい・・・
けど50分という短時間勝負の中では、早くヒントを開けて問題数をこなした方が良いのでは・・・

上位進出を狙う学生の皆さんは、きっとこんなことを考えていたかと思います。
問題を解くだけでなく、戦略も重要です。

NECグループ内で毎年1回2週間に渡って行うNECセキュリティスキルチャレンジにおいても、「最初の1週間は絶対にヒントを開けずに粘る」や「ヒント2だけ開き、ヒント1は開かない(※ヒント1だけでは閃かないor既に気付いていることがヒントとなっていることもあるため、ヒント1を開くことによる減点を避ける作戦)」など、色々な戦略を持って臨む社員が多いです。

競技結果

競技終了後は各問題の解説、出題の意図・学びを伝え、得点上位3名の方を対象に表彰を行いました。NECセキュリティスキルチャレンジでは、参加した社員がより多くの学びを得られるように、問題の解法・解説や「この問題が解けるスキルは、日常業務の中でどのように役に立つのか」といったしっかりとした説明(文章)を掲載している点を特徴としています。

結果発表の様子。上位3名の方には景品を贈呈しました。
結果発表の様子。上位3名の方には景品を贈呈しました。

1、2位の方は全問題のフラグをゲットしました。2位の方は20分以上を残して解き終えていましたが、ヒントの減点が影響し、終了10分前に逆転されてしまいました。

表彰者には以下のコメントをもらいました。(正式な言い回しではないかもしれませんが、記憶を頼りに。)

1位の方「ブラブラしていて、楽しそうだったので参加した。来年は向こう(SECCONの国内・国際決勝)で頑張りたい。」
2位の方「何も考えずにヒントを開けすぎてしまった。次回は計画的にヒントを開けたい。」
3位の方「この中でぼくだけ全完できなかったので場違い感がある。また機会があれば全完したい。」

1位の方、フラッと参加してこの点数はすごいです!来年はnoranecoのライバルになっているかもしれませんね。2位の方、問題を解くスピード早かったです!戦略の知恵も得たので、次回の優勝候補ですね。3位の方、全然場違いじゃないです!次回の全完目指して頑張ってください!

出題問題のレベル

ワークショップで出題した問題のレベルについてご紹介します。NECセキュリティスキルチャレンジの問題は3段階の難易度を設定しています。今回のワークショップでは初級レベル2問、中級レベル3問(+チュートリアル1問)を出題したのでCTF初参加の方から経験者の方まで楽しんで頂ける問題を選定しました。

NECセキュリティスキルチャレンジの問題レベル

レベル スコア 難易度感
初級 10~100点 単純なOSコマンドやツールで解ける
中級 110点~300点 やや複雑なプログラミングやツールを使いこなすテクニックが必要となる
上級 310点以上 レベル2+発想力が問われる

おわりに

SECCONでのCTFワークショップは昨年度に続き2回目の開催でした。今年もワークショップ開始前から待機列ができ、結果的に25名の学生の皆さまに参加していただきました。中には小学生の姿も!
今後も皆さんに楽しんで頂けるようなイベントを開催していきます。ご参加をお待ちしています!

25名の学生の皆さん、ご参加ありがとうございました!
25名の学生の皆さん、ご参加ありがとうございました!

執筆者プロフィール

山﨑 泉樹(やまざき せんじゅ)
セキュリティ技術センター リスクハンティングチーム

NECがお客様へ納品するシステム・製品への脆弱性検査を通じたセキュア開発支援、NECの社内CTF運営に従事。業後はフィジカルセキュリティの強化に励む。RISS、GPENを保持。

やまざき せんじゅ