セキュリティを楽しく学ぶ、触れる。セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

 コース:元祖こってり

「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。

セキュリティカンファレンス「HACK IN THE BOX 2010」レポート

愛甲健二

 こんにちは、愛甲です。今日は、10月13日、14日にマレーシアの首都クアラルンプールにて行われたセキュリティカンファレンス、HACK IN THE BOX 2010(以下、HITB)に参加しましたので、そのレポートを書かせていただきたいと思います。

-----

 IMG_0055HITBは、毎年10月にマレーシアの首都クアラルンプールにて行われるセキュリティカンファレンスです。国内外を含めた世界中の研究者をスピーカーとして集め、最先端のセキュリティ技術に関するプレゼンテーションが行われます(参考)。(編注:右図はクアラルンプールのペトロナスツインタワー)
 一般的なセキュリティカンファレンスと同様に、研究者によるプレゼンテーションがメインなのは事実ですが、HITBには他にも様々なイベントが企画、運営されています。
 まず、興味深いもののひとつに毎年会場内にて開催されるCapture The Flag(以下、CTF)があります。CTFとは、セキュリティを題材とした戦争ゲーム(WarGames)の総称で、各国のセキュリティカンファレンスでよく開催されています。
IMG_0059 ルールは大会によって異なりますが、HITB CTFのルールは、まず参加した各チームにそれぞれサーバが1台用意され、そのサーバにはいくつかのサービスが動いています。そのサービスの脆弱性を発見、利用して他チームのサーバ内に置かれたflagファイル内のパスワードを取得すると自チームの点数が加算されます。各チームの点数は随時ランキングに表示され、最終的に取得した点数のもっとも高いチームが勝者となります。
 勝ち残るためには、動いているサービスを解析するためのリバースエンジニアリング(Reversing)技術と、脆弱性を攻略するエクスプロイティング(Exploiting)技術が主に必要になりますが、それ以外にも、フォレンジックや暗号関連の知識など、総合的なセキュリティ技術を持ち合わせてなければ解けない問題もあります。

 私も多少なりともセキュリティ技術を学び続けている人間ですので、今回は挑戦の意味も込め、sutegoma2というチーム名でyoggy氏、eggpod氏と共にこのHITB CTFへ参戦しました。大会は2日間に渡って行われ、1日目、2日目の全経過はそれぞれWebサイトで確認できます(1日目2日目)。
 sutegoma2はどのチームよりも早く問題を解き、開始から1~2時間で1位になりましたが、その後は点数が伸び悩み、少しずつ順位が下がり続けました。それとは逆に、時間を追うごとにGuardian Wisp(ベトナムチーム)が少しずつ点数を重ねていき、おそらく2日目終盤になる頃にはsutegoma2は5位辺りまで順位が落ち、Guardian Wispは1位を維持する形になっていました。
 しかし、残り時間が1~2時間を切った辺りでeggpod氏がExploitを完成させ、トップを維持していたGuardian Wispの座を崩しました(この瞬間が今大会の中で一番の盛り上がりでした(汗))。そして、残り時間が25分ほどになった辺りでフォレンジック問題をひとつ攻略し、見事sutegoma2がトップに躍り出ました。
 sutegoma2が1位という順位のまま終了時間10分前となり「残り10分守りきれれば優勝だ!」と思っていたのですが、その矢先、CTF運営メンバーからまさかの「大会時間の1時間延長」の発表...orz。もちろん延長の1時間を守りきれればまだ優勝の可能性はあったのですが、結局、最後はGuardian Wispがさらに別のExploitを完成させ、Guardian Wispの優勝という形で大会は幕を閉じました。
 結果は残念なものでしたが、CTF自体は面白くとても有意義な時間を過ごせました。事実、延長がなければ優勝であったことを考えると、正直かなり悔しい部分もありますが、しかし、そもそもの参加の目的が自身のコンピュータスキルの更なる向上であるため、今は結果がどうあれ、すばらしい時間が過ごせてよかったと考えています。

IMG_0058 CTF以外にもHITBでは様々なイベントが開催されています。今回一番驚いたのは、CTF会場の隣で「Hard-Hack Village」というハードウェア技術に関するもの、そして「Lock Picking Village」という物理的なセキュリティ(ピッキング)を題材としたイベントがそれぞれ開催されていたことです。
IMG_0057 「Lock Picking Village」とは、簡単に言えばピッキング技術、要するに鍵を開ける技術を扱うイベントなのですが、これほど大きなカンファレンスで堂々とピッキングについて話されているのは、かなり驚きでした(日本では有り得ませんよね(汗))。CTFがソフトウェア技術に関するイベントとすると、「Hard-Hack Village」はハードウェア技術に、「Lock Picking Village」はピッキングに関するイベントと位置付けられているようで、「Hard-Hack Village」の会場には半田ごてや基盤などが散乱し、個人的にはこちらもかなり楽しそうな雰囲気でした。
 HITB 2010の全体の雰囲気などについては公式サイトにて多くの画像が公開されています(参考)。

-----

 日本でもセキュリティに関するカンファレンス、勉強会等が多く開催されていますが、こういったプレゼンテーション以外のイベントものは少ないように思えます。CTFはひとつの例ですが、このような「実際に手を動かしながらやってみる」といった実践形式のイベントもやってみると意外と面白いかもしれません。
 最後になりましたが、今回のHITB CTFに関する内容を明後日(2010年11月06日)の「AVTOKYO meets HackerJapan」にて話させていただくこととなりました。夕方からは「AVTOKYO 2010」もありますので、もし興味がある方はぜひともご参加ください。

メルマガ読者募集 採用情報 2020年卒向けインターンシップ

月別