DEF CON 30 CTF本戦への出場
2022年8月11日から同月14日にアメリカ合衆国ラスベガスにて開催されるセキュリティカンファレンスDEF CON 30に参加するため、約一週間にわたり渡米を行いました。おもにカンファレンスの最中に開催されるセキュリティ競技であるDEF CON 30 CTF (Capture The Flag)の本戦に出場するほか、最新のセキュリティ研究の発表や製品を学ぶことを目的としました。CTFの本戦には予選を突破した世界のトップ16チームが集結し、50人もの大所帯であるチームも見られました。私は日本からは主にセキュリティ企業に所属するエンジニアからなる、チーム名「./V /home/r/.bin/tw」の一員として参加し、470チームの参加があった予選を突破し本戦に出場するに至りました。
開催前日は競技のためのホテルと会場をつなぐインフラの整備や、日本チームとして招待された人員の入場証の受け取りを行ったほか、競技中の役割分担などのミーティングを実施しました。
カンファレンス最中のCTFではAttack&Defense形式の問題が複数出題され、運営から各チームに配布された、全チーム共通である多数のセキュリティホールを含むサーバを攻撃/防御することでスコアを競いました。配布されたサーバはJavaやx86バイナリ製のものであり、デコンパイル結果などから解析を行いうことでセキュリティホールを発見し、これら解析結果から敵チームのサーバに侵入し、内部に隠されているFlagを取得するExploitコードを実装し攻撃を行います。同時に、自チームのサーバのセキュリティホールを突く攻撃をサーバ機能を維持しつつブロックするコードも実装し、敵チームにFlagを取られないように防衛します。セキュリティホールはバイナリ解析の他に、敵チームから到達するパケットをキャプチャし解析する手法なども有効であり、各チームが技術を尽くしてしのぎを削りました。そのほかにもKing of The Hill形式の問題やLiveCTFなど様々なコンテンツでチーム全体としてしのぎを削りました。結果として11位という順位でしたが、技術的に学ぶことの多い競技でした。
カンファレンスの展示にも驚かされることが多く、車載ネットワークや衛星のセキュリティ検査手法や自動販売機や鍵の物理的なセキュリティ対策、フリーWi-Fiの危険性の周知まで幅広いジャンルにわたり、体験を伴ったものが多く、日常では得られない刺激を得ることができました。
開催終了の翌日にはあらかじめ予約していた検査場で、帰国のためのPCR検査を受け、陰性証明証を発行してもらいました。日本チームは全員が陰性であったため、そろって帰国することができました。
最後になりましたが、今回の渡航に際し、渡航費用の一部を助成してくださった、本学情報学研究科に深く感謝いたします。
情報システム学専攻 博士前期課程2年(嶋田研究グループ) 辻 知希