┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━┳━┳━┓ ┃■ SECCON メールマガジン【Vol.13】 発行:2015.04.06(月) ┃_┃ロ┃×┃ ┣━━━━━━━━━━━━━━━━━━━━━━━━━━━━┻━┻━┻━┫ ┃…………………………………………………………………………………………┃ ┃… 各種CTF勉強会の情報や、予選告知、結果速報、Write Up などを発信 …┃ ┃…………………………………………………………………………………………┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ …………………………… [ C O N T E N T S ] ………………………………… 0x01 第3回 CTF for GIRLS (女性限定CTFワークショップ) 開催のご案内 0x02 協賛企業「ハートビーツ」様より - Walti.io正式リリース 0x03 SECCON CTF 2014決勝戦 ~優勝は韓国のチーム「TOEFL Beginner」~ ──────────────────────────────────── 0x01 第3回 CTF for GIRLS (女性限定CTFワークショップ) 開催のご案内 ────────────────────────────────────  第1回、第2回参加者から大変御好評頂きました、女性向けCTFワークショップ 「CTF for GIRLS」の第3回を開催させて頂く運びとなりました。第3回 ワークショップではCTFの中でもバイナリ分野(ソフトウェア解析)を 重点的に取り組みます。CTFの中でも特にバイナリ分野に興味がある人はぜひ ご参加ください。 また今回も早期に定員に達する見込みが高いため、参加資格を 有している興味のありそうな方がいらっしゃいましたら、ご案内ください。 ■第3回 CTF for GIRLS (女性限定CTFワークショップ) http://2014.seccon.jp/2015_04_CTF_for_GIRLS3.html 日  程:2015年4月28日(火)19:00~21:00 会  場:御茶ノ水ソラシティカンファレンスセンター 1階 RoomA 参 加 費:無料(スイーツ付) 参加資格:女性であること(男性は入場できません) 定  員:50名 主  催:SECCON実行委員会/日本ネットワークセキュリティ協会(JNSA) 運  営:CTF for GIRLS運営スタッフ ※SECCON決勝戦に向けた予選ではなく、ワークショップ形式の勉強会です。 -CTF for GIRLS 開催にあたり-  高校生の時に情報セキュリティの世界に出会い、大学入学後本格的に情報  セキュリティ技術を学び初め、今では情報セキュリティ分野の研究を仕事  としている私がまず言えることしては「情報セキュリティ技術習得におい  て男女に差は無い」ということです。しかし、現在の情報セキュリティ業  界の偏った男女比から、情報セキュリティ技術に興味を持ったものの、社  会的・心理的なハードルの高さを感じて、その習得を諦める女性が多いよ  うに感じられます。  そこで、情報セキュリティ技術に興味を持つ女性達が、気軽に技術的な質  問や何気ない悩みを話しあうことが出来るコミュニティ作りを目的として  「CTF for GIRLS」を企画致しました。「CTF for GIRLS」では、コミュニ  ティ形成の一環として女性同士で情報セキュリティ技術を教え合うワーク  ショップや、その他女性向けCTFイベントの開催を行っております。その  「CTF for GIRLS」の第三回目の企画として4月28日に女性向けCTF  ワークショップを開催致します。CTFを通じて情報セキュリティ技術の面  白さを是非体験してみませんか? CTF for GIRLS主催 中島明日香(SECCON実行委員) ──────────────────────────────────── 0x02 協賛企業「ハートビーツ」様より - Walti.io正式リリース ──────────────────────────────────── ハートビーツは昨年末にウォルティ「Walti.io」を正式リリースしました。 「サーバーサイドのセキュリティスキャンをもっと身近に」という理念の元、 サービス設計・普及活動を継続していきます。Walti.ioを使ってみたい方 や、開発に興味がある方の参画をぜひお待ちしています。 https://walti.io                株式会社ハートビーツ 代表取締役 藤崎正範 ──────────────────────────────────── 0x03 SECCON CTF 2014決勝戦 ~優勝は韓国のチーム「TOEFL Beginner」~ ────────────────────────────────────  2015年2月7日(土)~2015年2月8日(日)に、東京電機大学東京千住キャンパ スにてSECCON 2014 CTF決勝戦、および全国大会カンファレンスを開催しました。 日  時 : 2015年2月7日(土)~8日(日) 会  場 : 東京電機大学 東京千住キャンパス 1号館(1F 100周年ホール) 言  語 : 英語(日本語への逐次通訳あり) 定  員 : 90名(24チーム) 決勝戦の出場チーム数は24。出場チームの地域は日本が13、アメリカが3、韓国が 3、中国が2、台湾、ポーランド、ロシアが各1です。SECCON主催大会である2014年 夏に開催したオンライン予選大会から7チーム、長野のDNS Security Challenge、 札幌のARP Spoofing Challenge、大阪のx86 Remote Exploit Challengeから各1チ ーム、そして2014年冬に初の国際化大会として開催したオンライン予選より12チー ム、また今年度より連携を開始したSANS NetWars Tournament 2014、MWS Cup 2014 から各1チームの出場となりました。 決勝戦の直前に行われたオンライン予選では国際的なCTFポータルサイトにて告知、 問題文やインストラクションを英語化して実施しました。その予選で優勝した米カ ーネギメロン大学のチームPPPはSECCONより招待となりましたが、それ以外の海外 チームはすべて自費による渡航となりました。ただしSECCONでは、日本チーム含め 遠方から参加したチームの宿泊費用などをサポートしました。 また今回はカンファレンスおよび決勝戦に山口俊一情報通信技術(IT)政策担当大臣 がご視察にいらっしゃることとなり、閉会式ではご挨拶もいただきました。 競技形式はこれまでの過去2回の決勝戦と同じKing of the hill形式で、運営側が 問題サーバーの管理権を持ち、競技参加者はそれぞれに解析や攻撃を仕掛けて、 フラグを書き込む状態に持ち込んだら今度はそれを守る、というものです。 準備したサーバーは全部で6台、前回と同じ台数となりました。 昨年の決勝戦は、独立行政法人 情報通信研究機構(NICT)の全面協力のもと、 NIRVANA改(ニルヴァーナ・カイ)をベースにCTFを視覚化する専用エンジン NIRVANA改 SECCONカスタムを開発しましたが、今年はさらに機能強化した第二世代 の『NIRVANA改SECCONカスタム Mk-II』をSECCON CTF 2014決勝戦に導入し、世界各 地から集まったCTFのトップチームによる攻防戦をリアルタイムに視覚化しました。 Mk-IIとあるとおり、さらに改良を加えたバージョンになっており、ビジュアル面 の全体的な見直しだけでなく、通信を画一的に可視化していたところから、今度は Exploitの可視化という野心的な機能を盛り込みました。この可視化システムは海 外チームにも大好評でした。 競技はスタート直後からNIRVANAの画面に「突破」の文字が躍る、賑やかな展開と なりました。最初に飛び出したのは韓国のTOEFL Beginner、中国のblue-lotusで、 これに日本のMr.Takeda、MMA、そして2014年ctftimeのレーティング年間一位の ポーランドのDragon SectorやアメリカのShellphishやPPPが絡んでいく展開とな りました。開始30分を過ぎたあたりからTOEFL Beginnerがやや抜け出して、多く のチームがそれを追いかける展開とりました。 今回用意した問題サーバーは、怪しいプロトコルを喋るもの、暗号を解くために 必要とする最小バイト数を競うもの、さまざまなアーキテクチャでの最小Exploit を競うもの、ROPの限りを尽くさなければならないもの、投票制のWAF越しに攻略 しなければならない複雑怪奇なWeb問題、CAPTCHAをプログラミングで突破しなけ ればならないもの、などがありました。国際化元年とあってスコアサーバーも含 めて入念にレビューし準備しましたが、どういうスピード感で突破されていくのか までは予想ができませんでした。蓋を開けてみると、予想を上回る速度で牙城が 崩されていき、レベルの高さを実感させられました。 競技としては、当初攻めのポイントが入るのでそちらに注目が行き勝ちですが、 フラグを守る防御ポイントをいかに効率良く、邪魔されずに獲得し続けるかが 肝になってきます。過去2回の決勝を見てもそれは明白で、連覇した0x0は防御 ポイントの稼ぎ方が巧みで、空白時間を極力減らして点を稼いでいました。 SECCONはKing of the hill方式ですが、攻防戦のCTFと同様に先行逃げ切りが有利 です。攻撃ポイントはやがて攻略が進むと差を着けづらくなるため、防御のポイン トをいかに独占的に貯金するかがポイントになってくるわけです。初日の競技は TOEFL Beginnerが他を大きく引き離して終わりました。 ■1日目 終了時 トップ5チーム -------------------------------- 1位 TOEFL Beginner(韓国) 2501 2位 HITCON(台湾)  1302 3位 Cykor(韓国)  1053 4位 binja(日本)  954 5位 PPP(アメリカ)  906 -------------------------------- 2日目は競技開始と同時に「突破」のラッシュとなりました。HITCONやPPP、MMA そして二連覇中の日本の0x0などが点を伸ばしてTOEFL Beginnerに迫りましたが、 TOEFL Beginnerも同じように点を伸ばしたために中々差は縮まりません。むしろ、 防御ポイントの独占状態が多いTOEFL Beginnerが徐々に2位HITCONとの差を広げ ていく展開となりましたが、そんな中アメリカのPPPが攻略を進めて得点を稼ぎ、 HITCONに肉薄し始めました。最後は300点差まで追い詰めましたが、結果は1位 TOEFL Beginner、2位HITCON、3位PPPという順位で競技終了となりました。 日本勢はbinjaが4位、昨年覇者の0x0は5位に入りました。 すべてのチームの順位は以下の通りです。 http://ctf.seccon.jp/finals_score.html ■ SECCON 2014決勝戦ランキング(総合得点) ---- ----- ------------ -------------- Rank Score (AP, DP) Teams ---- ----- ------------ -------------- 1 4506 (1700, 2806) TOEFL Beginner 2 3112 (1200, 1912) HITCON 3 2848 (1500, 1348) PPP 4 2304 (900, 1404) binja 5 2013 (1400, 613) 0x0 6 1713 (1200, 513) MMA 7 1570 (1000, 570) Dragon Sector 8 1333 (900, 433) CyKor 9 1286 (900, 386) Mr.Takeda 10 1245 (900, 345) urandom 11 1233 (900, 333) blue-lotus 12 1205 (700, 505) dodododo 13 1116 (1000, 116) 0ops 14 990 (300, 690) wasamusume 15 972 (600, 372) KAIST GoN 16 927 (900, 27) Shellphish 17 759 (700, 59) Samurai 18 585 (400, 185) encrypti0x0n 19 504 (500, 4) tajima 20 431 (400, 31) m1z0r3 21 342 (300, 42) MSLC 22 335 (300, 35) Jinkai 23 320 (300, 20) noraneco 24 313 (300, 13) scryptos ---- ----- ------------ -------------- ■優勝(副賞提供:さくらインターネット)  TOEFL Beginner ■準優勝(副賞提供:日立システムズ)  HITCON ■第三位(副賞提供:NRIセキュアテクノロジーズ)  PPP ■特別賞 Hardening賞(防御力国内最大チーム)  binja ■健闘賞 LINE賞(5位)  0x0 ■健闘賞 NEC賞(6位)  MMA ■健闘賞 IBM賞(7位)  Dragon Sector ■特別賞 Medical×Security Hackathon賞  チームm1z0r3 ■健闘賞 Digital Travesia賞(24位)  scryptos 決勝戦を通して感じられたのは、やはり世界の強豪チームの強さでした。 特に、解析や攻略のスピード感というところに、こうした大会に慣れている 経験値というようなものを感じましたが、その一方で日本のチームも着実に 経験値を積み、世界のトップチームのスピードを追尾していけるくらいには 実力を伸ばしてきているということも実感できました。 実際のインシデント・レスポンスなどでもそのような実践力が求められますし、 こうした競技の競技性をさらに磨いて、より楽しい、実戦的なところにも活か せるような競技を作り上げて行きたいと考えております。楽しむためには競技 を作る側も参加する側ももっともっとレベルアップが必要でしょうし、もっと もっと多様な知識、スキル、直感力が必要となるはずですので、そうしたもの を備えた人たちの参加を促すような、そしていつかは総合力で海外の強豪チー ムと対等以上に戦えるような循環を作って行きたいと思っています。 参考得点として、攻撃ポイント(AP)と防御ポイント(DP)の順位を記します。 ■ SECCON 2014決勝戦ランキング(参考結果)攻撃ポイント順 ---- ------------ ----------------- ------------------- 順位 (攻撃, 防御) チーム名 最終スコア更新時刻 ---- ------------ ----------------- ------------------- 1位 (1700, 2806) TOEFL Beginner 2015-02-08 12:00:29 2位 (1500, 1348) PPP 2015-02-08 13:01:06 3位 (1400, 613) 0x0 2015-02-08 13:22:25 4位 (1200, 1912) HITCON 2015-02-08 09:17:26 5位 (1200, 513) MMA 2015-02-08 12:11:52 6位 (1000, 570) Dragon Sector 2015-02-08 11:56:13 7位 (1000, 116) 0ops 2015-02-08 12:39:00 8位 (900, 333) blue-lotus 2015-02-08 09:02:13 9位 (900, 345) urandom 2015-02-08 09:55:36 10位 (900, 27) Shellphish 2015-02-08 11:01:47 11位 (900, 433) CyKor 2015-02-08 11:08:36 12位 (900, 386) Mr.Takeda 2015-02-08 11:45:05 13位 (900, 1404) binja 2015-02-08 13:59:11 14位 (700, 505) dodododo 2015-02-08 09:04:29 15位 (700, 59) Samurai 2015-02-08 13:56:44 16位 (600, 372) KAIST GoN 2015-02-08 13:17:47 17位 (500, 4) tajima 2015-02-08 09:41:06 18位 (400, 31) m1z0r3 2015-02-08 09:33:23 19位 (400, 185) encrypti0x0n 2015-02-08 11:40:34 20位 (300, 690) wasamusume 2015-02-07 15:37:58 21位 (300, 35) Jinkai 2015-02-07 18:39:00 22位 (300, 13) scryptos 2015-02-07 18:39:28 23位 (300, 42) MSLC 2015-02-07 19:15:07 24位 (300, 20) noraneco 2015-02-08 11:57:17 ---- ------------ ----------------- ------------------- ■ SECCON 2014決勝戦ランキング(参考結果)防御ポイント順 ---- ------------ ----------------- ------------------- 順位 (攻撃, 防御) チーム名 最終スコア更新時刻 ---- ------------ ----------------- ------------------- 1位 (1700, 2806) TOEFL Beginner 2015-02-08 12:00:29 2位 (1200, 1912) HITCON 2015-02-08 09:17:26 3位 (900, 1404) binja 2015-02-08 13:59:11 4位 (1500, 1348) PPP 2015-02-08 13:01:06 5位 (300, 690) wasamusume 2015-02-07 15:37:58 6位 (1400, 613) 0x0 2015-02-08 13:22:25 7位 (1000, 570) Dragon Sector 2015-02-08 11:56:13 8位 (1200, 513) MMA 2015-02-08 12:11:52 9位 (700, 505) dodododo 2015-02-08 09:04:29 10位 (900, 433) CyKor 2015-02-08 11:08:36 11位 (900, 386) Mr.Takeda 2015-02-08 11:45:05 12位 (600, 372) KAIST GoN 2015-02-08 13:17:47 13位 (900, 345) urandom 2015-02-08 09:55:36 14位 (900, 333) blue-lotus 2015-02-08 09:02:13 15位 (400, 185) encrypti0x0n 2015-02-08 11:40:34 16位 (1000, 116) 0ops 2015-02-08 12:39:00 17位 (700, 59) Samurai 2015-02-08 13:56:44 18位 (300, 42) MSLC 2015-02-07 19:15:07 19位 (300, 35) Jinkai 2015-02-07 18:39:00 20位 (400, 31) m1z0r3 2015-02-08 09:33:23 21位 (900, 27) Shellphish 2015-02-08 11:01:47 22位 (300, 20) noraneco 2015-02-08 11:57:17 23位 (300, 13) scryptos 2015-02-07 18:39:28 24位 (500, 4) tajima 2015-02-08 09:41:06 ---- ------------ ----------------- ------------------- 次年度 SECCON 2015 の大会スケジュールは2015年6月上旬に公開予定です。 今後も様々な人が楽しめる大会・ワークショップを企画・開催して参ります。 2015年度の詳細スケジュールはいち早くメールマガジンで告知いたしますので、 引き続きSECCONメールマガジンをご購読いただけると幸いです ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ SECCON実行委員会は、多くの皆様からの無償のご支援と、スポンサー企業様   からの協賛金・寄付金によって運営されています。 ……………………………………………………………………………………………… ▼ メルマガの配信停止はこちらよりお手続き下さい。 http://2014.seccon.jp/optout.html ……………………………………………………………………………………………… Copyright (C) 2015 SECCON 実行委員会 All rights reserved. 掲載内容の無断転載を禁じることはありませんのでご安心下さい