CTF (Capture The Flag) 勉強会 開催レポート

記事をシェアする:

日本IBMの技術系社員を対象とした「CTF勉強会」を開催

セキュリティーの脅威は日を追うごとに多様化しています。しかし、さまざまな脅威に対処できる技術者は不足しています。これは、お客様の組織、自治体、セキュリティー業界の全てで共通に認識されている課題です。そこでIBM Securityでは、セキュリティー技術者の育成やスキル強化を目的とした取り組みの一環として、2019年12月5日にCTF勉強会を開催しました。

「CTF勉強会」講師陣：日本IBM マネージド・セキュリティー・サービスのメンバー

「CTF (Capture The Flag)」とは

はじめに、講師からCTFについての紹介がありました。CTFはセキュリティー技術の競技大会として世界各地で開催されています。その多くはチーム戦で行われ、暗号、バイナリー、ネットワーク、Web、フォレンジックなど多岐にわたる問題に挑戦して、その中から隠された答え（フラグ）を見つけ出し、その得点を競います。また、ゲーム感覚で楽しみながら学習することができるとともに、実際に手を動かして問題を解いていくので、実践的なスキルを身に付けることができます。

Web問題に挑戦

次に、Web問題に関するセッションは以下の内容で行われました。

• CTFにおけるWeb問題とは
• Webセキュリティーの基礎知識
• プロキシーツールの使い方
• Webアプリケーションの脆弱性

まず、普段ユーザーがインターネット上で買い物やニュースサイトの閲覧など行っている仕組みを理解するために、Webブラウザの機能やプロキシーツールを使用して通信を可視化し、HTTPリクエスト/レスポンス、認証、セッション管理の方法など基礎知識を学習しました。そして、次に設定や実装に不備があるWebアプリケーション・サーバーと通信を行い、パラメータの改ざんやSQLインジェクションなど代表的な脆弱性に触れながら攻撃方法や問題点への理解を深めていました。

Binary問題に挑戦

勉強会の最後はBinary問題に関するセッションでした。

Binary 問題もCTFのメジャーなジャンルの1つで、下記のような知識が必要になります。

• アセンブリ
• CPUレジスタ
• メモリー構造
• ファイル・フォーマット
• デバッガの使い方
• Exploitコード開発

このセッションではスタック・バッファー・オーバーフローの脆弱性をもつバイナリファイルからフラグを取り出す問題をベースに解説が行われました。このバイナリファイルは、実行するとユーザーからの文字列を受け入れ、入力に対する応答を画面上に表示するものです。

Binary問題としては難易度の低い問題ですが、プログラミングやデバッグ経験がない受講者にとっては、短時間で理解するには難しいセッションになります。

そのため講師は答えとなる文字列を先に受講者に提示し、この文字列を入力してフラグが表示されることを確認してもらうところから始めています。

そして次に、「どうしてこの文字列を入力するとフラグが表示されたのか？」「プログラム内部で何が起きたのか？」を講師と一緒に考えていきました。

Web問題のセッションとは異なり、解法を説明することで脆弱性の探し方や攻撃テクニックを学習するスタイルでした。難しいこのセッションを理解しようと頑張っている受講者が多く、講義はWeb問題のセッションとは異なった雰囲気で行われていました。

幅広くより実践的なスキルを身につけたセキュリティー技術者の育成

今回、セキュリティーに興味を持つ人材の裾野拡大とセキュリティー技術者の育成を目的として、勉強会が開催されました。
CTFを活用することで、楽しみながら技術を学ぶことができるため、セキュリティーに興味を持つ人材を増やす効果があります。また、机上での知識だけではなく実際に手を動かして問題に取り組むことで、プログラミングやネットワークにおける、より実践的なスキルを身につけた技術者の育成も期待できます。

日本IBMは、お客様のシステム環境を一元管理するセキュリティー・ソリューションの提供に努めながら、幅広くより実践的なスキルを身に付けたセキュリティー技術者の育成に取り組んでいます。

【関連情報】

IBM Security について

サイバー脅威に備えてセキュリティー・インシデント対応力の強化を

【お問い合わせ】

メールでのお問い合わせはこちら

【著者情報】

IBM Security Japan