SEA/J CTF for Students 2023
▼主催:一般社団法人セキュリティ・エデュケーション・アライアンス・ジャパン(SEA/J)
▼競技形式:Jeopardy(ジョパディと呼ばれるクイズ形式)
▼参加対象者:SEA/Jアカデミー認定校の学生(学年、学科等問いません)
▼実施日:2023年8月9日(水)
▼実施期間/時間帯:1日間(10時~17時:競技時間7時間)
▼実施方法:クラウド上の競技サーバに各自アクセスしてリモートで競技実施
▼参加形態:チーム制(1チームの人数は上限4名)
▼問題難易度:初心者向けから中級向けの問題を混在予定
▼事前説明会:2023年7月中旬予定
▼賞品(優勝チーム):
-
アマゾンギフト券
-
ラックセキュリティアカデミーオンラインコース受講
(受講形態「OLT」は除く:詳細は株式会社ラックホームページ参照)
▼参加者全員に参加証発行
※競技実施協力:株式会社ラック セキュリティアカデミー
■事前説明会(リモート開催・30分程度)
CTF初心者向け:接続方法やシステムの使い方説明を行い、実際に2~3問程度解きながら解説を行います。説明会アクセス情報は、参加者に直接連絡いたします。
■参加申込方法
参加申し込み方法は学校ごとに下記のどちらかとなります。詳細は担当の先生に確認してください。
▼①学校での参加者取りまとめ方式
・申込開始予定:6月7日(水)
・申込締め切り:7月7日(金)
▼②学生からの直接申込方式
・申込開始予定:6月7日(水)
・申込締め切り:7月7日(金)
■参加にあたって守っていただきたいこと
▼CTF問題についてSNS等への外部公開は禁止です!
今回のSEAJ大会は、協力会社がサービスとして使っているものを提供頂いてます。
CTF問題は他のお客様に再利用していくこともあり外部公開はご遠慮ください。
※大会に参加したときの模様や、自チームの取り組んだ様子、感想や今後のチャレ
ンジしたい大会などについては、学校内や友人に是非共有してください!
▼自チーム以外にヒントや解答は教えない!自チーム以外からヒントや解答は貰わない!
競技会ですので正々堂々と戦いましょう。自チーム内で助け合うことは高得点を挙げるチャンスですので、
協力し合ってください!
▼競技用のクラウド環境の負荷を過度に高める行為は避けてください!
■注意事項
▼競技中の事務局からのアナウンスや応答はすべてe-mailにて行われます。
▼システム障害等で競技継続が不可能となった場合、その時点での得点を最終結果とします。
■CTF(Capture The Flag)って何?
CTFは、情報セキュリティに関連する問題を解きポイントを獲得し競うゲームです。
各問題の中に、「Flag」という文字列(正解)が隠されていてそれを探し出します。
海外では、世界最高峰とされる「DEFCON CTF」が知られています。
国内では「SECCON CTF」が有名で、近年では世界大会も開催され世界的に認知度が高いコンテストです。
※「CTFtime」というサイトで、全世界のCTF情報がいろいろ確認できます!
▼CTFには2つの種類があります
-
Jeopardy(ジョパディ)
Jeopardyはクイズ形式で、基本的には各問題の中にFlagという文字列が隠されていてそれを探すスタイルが多いです。 -
Attack-Defense
「攻防戦」と呼ばれる脆弱なサーバにある情報を争奪する形式です。自分のサーバを守りつつ、運営や参加者のサーバに攻撃して得点を重ねます。
▼CTFのメリット
・CTFの問題は難易度によって点数が異なります。
“どの問題から取り組むか?” 得点を伸ばすためには大切な戦略のひとつです。
そのためには問題がどの技術領域なのか見極めることも重要です。
また、解答を導くためにはプログラミングやネットワークなどセキュリティの分野
以外の知識も求められます。よって総合的なIT知識を試すチャンスでもあります。
・問題を解くためには実際に手を動かすことが必要です。実践的なスキルが身に付き
ます。
・CTFは1人で参加することもできますが、チーム戦が多いです。
チームメンバーと協力して戦略を立てることで、チームワークやコミュニケーショ
ンスキルも養うことができます。
・最近ではCTFを人事採用や人材育成のための研修プログラムで取り入れる企業も増
えてきました。
【CTFの高い学習効果】
・ゲーム感覚で楽しみながら技術や知識を学べる
・手を動かすことで、理解を深めることができる
【注意点】
学習効果は高いですが、守る技術や倫理観を養うには不十分です。
脆弱性や設定不備を狙い、フラグ(答え)を入手する問題が多く、
競技で知り得た技術や知識を実際のWebサイトに対しても試して
みたくなることもあります。しかし、これは犯罪です!
この機会にセキュリティ視点の倫理観も磨いてください。
(攻撃に類する行為は許可された範囲のみで行うよう注意が必要)
■問題を解くために必要なソフトウェアの一例
▼Linuxコマンド(例:strings,file,nc)
▼ネットワークアナライザー(例:Wireshark)
▼ローカルプロキシ(例:Burp Suite)
▼フォレンジックツール(例:Autopusy)
▼デバッガ(例:Stirling)
▼プログラム言語(例:Python)
▼その他いろいろ(例:CyberChef)
※)インターネットでCTFについての情報はたくさん掲載されています。
この機会にいろいろなツールを探してみましょう!
■CTFの問題例
複数のカテゴリーから、多彩な問題が出題されます。
■競技実施環境概要
※)CTFシステムには、VPN(PPTP/L2TP)経由での接続
▼参加者全員にシステムへのログインID/PWを配布します。よって、チームメンバーが同一場所に集まって
競技参加する必要はありません。
▼競技の約1週間前ごろから接続テスト用の環境を提供いたします。