昨今、ニュースなどで取り上げられる機会が多くなっているCTF。

セキュリティ技術の腕試しをしてみたい方の中では、これに参加してみたいと考える方が多くなっているようですが、初めての方にはなかなかイメージがわかない所もあるかと思います。

この記事ではCTFがどんなものか、その概要を説明してみたいと思います。

少しでもCTFというものを理解していただき、参加する人が増えてくれれば嬉しく思います。

CTFの概要

まずCTFとは、「Capture The Flag」の頭文字をとった略称です。そのまま翻訳すれば、「旗取り合戦」といったところでしょうか。

これだけでは少しわかりにくいかもしれませんので説明をしますと、「情報技術に関する問題に対して回答し、そこで得られた得点によって勝敗を決める」、「セキュリティ技術の競技」のことです。

正しいモラルを持った、正義のハッカーを育成するための競技形式によるセキュリティ技術者育成の手段のひとつとお考えください。CTFに参加することで、ICTに関する幅広い技術や知識身に着けることができますし、問題解決能力も高めることができます。

その問題の内容は多岐にわたり、クイズに答えるものであったりする一方で攻撃・防御を実際に行うものであったりと、出題内容はさまざまです。

参加したいCTFを探す

CTFに参加しようと考えた場合は、まずは参加するCTFを見つけるというところからスタートします。
もちろん日本国内だけではなく、世界各地でさまざまなCTFが開催されています。

CTF Time(http://ctftime.org)

というサイトに、世界各地におけるCTFの開催情報がまとめられていますので、ここを参照するのが良いでしょう。ページ下部の「Upcomming events」の箇所に、近く開催されるCTFが一覧化されています。

そして、参加したいCTFを見つけたら、登録を行います。これだけで参加が可能です。なお、登録して実際に参加しなくても問題はありませんので、気楽に登録を行うことができます。

なお、CTFはセキュリティに関する業種に長年従事していないと参加できない、といった類のものではありません。むしろ、あまり実務とは関係ない要素も多くなっています。そのため学生などでも気軽に参加することが可能です。

また、自分の得意分野にあったCTFをよく選んで参加することも重要です。そうでないと、理解不能な問題の連続に心折れてしまい、せっかくのCTFの楽しさに触れることができないケースが散見されます。これはとても「もったいない」ことです。初心者は初心者向けのCTFを選ぶようにするのが良いでしょう。

Attack-DefenceとJeopardy

CTFの競技形式には大別して、Attack-DefenceタイプとJeopardyタイプの2つがあります。

前者はその言葉からイメージがつくかと思いますが、その通り「攻撃」と「防御」を行います。

各チームにシステムが割り当てられ、自チームのコンピュータに対する相手からの攻撃の防御成功、及び相手のコンピュータに対する攻撃の成功に対し得点が与えられる形が一般的です。

ハッカーの腕だめしとして最高峰ともいえる、DEF CONの決勝戦がこの形式であることはとても有名です。

後者のJeopardyは、一見「なんのこっちゃ?」という感じの言葉ですが、実はこれアメリカに同名のクイズ番組が存在しています。ようはクイズ形式なんですね。

一般的にはジャンルと得点が設定されており、参加者がその中から問題を選択して解いていくという形で競技が行われます。

(ちなみに私はこの用語があまり好きではありません。CTFという競技が一般的に敷居が高く感じるのは、独自のこういった用語、言い回しにも問題があると感じているからです。)

前述したAttack-Defenceタイプよりは、Jeopardyタイプのほうが自分のペースで回答できますので、比較的とっつきやすいと思います。

最初はJeopardyタイプで数をこなして慣れていくと良いでしょう。先ほどCTF Timeを紹介しましたが、そこに記載されているCTFのうち、Online開催のJeopardyタイプを選択するのがお勧めです。



Writeup

CTFに参加するだけでは、あまり力はつきません。解くことができなかった問題の解法を学ぶことで、より高い水準の知識を身に着けていくことができます。

CTF終了後、参加したCTFの名前と「Writeup」という単語で検索を行うと、有志が問題の解法をまとめたサイトに辿り着くと思います。こういった解法を公開することが通例となっているのです。

こういったサイトを参考に知識を拡充すると良いでしょう。

また、自分で解くことができた問題は積極的にブログ等で公開するのがコミュニティに参加する上でも大事なことです。

重要なこと

Attack-Defenceタイプで行うような感覚で一般のシステムに攻撃を行った場合は不正アクセス禁止法に抵触する可能性があります。絶対に避けましょう。こういったことは「CTFだから許されている」行為です。

CTFという仕組みが、悪意のあるハッカーの登竜門となることは、健全なセキュリティ社会の実現のためにも絶対に避けなくてはなりません。このことは肝に銘じておいてください。