Topicsトピックス

トピックス

シンポー情報システムからのお知らせ

ニュース

2019.06.11

神情協「Capture The Flag体験セミナー」に参加しました

 6 /11(火)に神情協の技術委員会が主催するオープンセミナー、「 Capture The Flag 体験セミナー 」に社員3名が参加しました。
 Capture The Flag(以下CTF)とは、情報セキュリティー分野で技術を競う手法の1つで、何らかの方法で隠された文字列(flag=答え)を見付け出し提出すると得点となる競技です。ハッキングコンテストとして世界中で開催されており、日本でもSECCONなどで行われています。

 上記の情報は事前に調べていた内容ですが、3名とも当日どんな問題が出題されるかもわからない状態でチーム「ハラヘッタJr.」として参加してきました。今回のセミナーは、我々含め20チーム(参加者59名)が同じ問題を制限時間内に解いていき、点数が高いチームが優勝というルールで行われました。
 問題と対象のファイルはAWS上のWindowsServerのフォルダ内に格納されており、同梱されているヒントを読んで回答するものでした。問題は、よく聞く脆弱性の一つ「SQLインジェクション」を使って答えを導き出すものや、拡張子のないファイルをから答えを得る、意味不明なテキスト文字列をbase64でデコードしなおす、といった内容でした。

<問題に取り組むハラヘッタJr.>
  一見簡単そうな内容に見えますが、答えにたどり着くまで講師の方のいくつもひねりがありハラヘッタJr.は悪戦苦闘の末、13位という結果に終わりました。

 最後に問題の回答と解説がありましたが、問題の全てがサイバー攻撃者が行うIT技術的な工夫である事を聞いて、実際に体験してみると自分の知っている単語で本当に簡単に攻撃できるという事を身をもって感じました。
 講師の方がこの企画を社内で始めた経緯は、これまでの経験から「サイバー攻撃を防ぐことは100%不可、ならば人に対するセキュリティ対策の教育が一番費用対効果が高い」と感じられたからだそうです。今回のセミナーではCTFを通じてセキュリティに関する考え方に一つ新しい気づきを得ることができました。

セミナー終了後は、応援に駆け付けていただいた事業部長、部長と反省会へ。
チーム名がAWS環境へのログインIDになっており、チーム名の「Jr.」が全角半角かで時間をロスした事などを報告し、リベンジへ向けて士気を高めました。
 今回、このような楽しみながら学べる場に参加させて頂いたI事業部長にこの場をかりて御礼申し上げます。

ページトップ