SECCON Beginners 2017 長野に参加してきた!

突然のお誘い

T氏「SECCON Begginersが長野であるから参加するよ!」
私  「え? オイラもか?」
T氏「登録してね!」
私  「は、はい」

そんな感じでSECCCON Beginnersに参加することに。
私自身CTFの問題を見たことはあるけれど、さっぱり要領が掴めなかったので興味がありました。

SECCON Beginnersって?

SECCON Beginners(旧CTF for ビギナーズ)は、
コンピュータセキュリティ技術を競う競技であるCTF (Capture The Flag) の初心者を対象とした勉強会です。
引用元: http://2016.seccon.jp/news/#150

初心者向けの勉強会ですので、コンピュータセキュリティ技術の入り口という内容です。
コンピュータセキュリティというと堅苦しい感じがするかもしれませんが、例えばCTFのクイズ形式※1は謎解きみたいな感じで面白いものですよ!
Wikipedia先生によるとCTFは「ハッキング大会」とも呼ばれるそうです。



いざ長野へ出発!

長野で朝から開催とのことで、朝6時に起床して出発。


(新幹線でエネルギーを蓄える)


(長野に着いたぞい。私にとっては初長野です)

会場の株式会社電算様まで徒歩15分ほどかかりましたが、当日は快晴で気持ち良く目的地に向かいました。受付開始頃に到着し、さっそく受付を済ませ会場に。
ワクワクしながら着席。

(始まる前の会場の様子)


(準備万端だぜ!!)

勉強会開始

午前の部は「オリエンテーション、情報倫理」と「Web講義」。
講師の皆さんはなんと! 東京大学とか筑波大学とかの学生さんでした!

 情報セキュリティに関する知識について学ぶ前に、まずは倫理面のお話を聞きました。
  • 法律面もかじっておこうね
  • サービス提供元(国が違うこと)によって法律が違うんだよ
  • 脆弱性になり得ると思ったらIPAに報告しようね
  • サービスの問題を発見したら、確証を得るまで調べず寸止めにしようね

と言った感じです。

Web講義



講義内容は、バグバウンティ制度※2はいいぞという話でした。
と言うのは冗談で、ここではHTTPの中身の確認の仕方とWebアプリの脆弱性(ディレクトリトラバーサルとSQLインジェクション)について学びました。講義は演習を挟みながら進んで行きます。
時間が押してしまい、おまけの内容までは聞けなかったのですが個人的にXSS(クロスサイトスクリプティング)の内容が一番気になっていました。XSS界隈で有名な方のブログ※3があるということで後で勉強しようと思います。

昼休憩

腹が減っては戦ができぬ。午後に備えてエネルギーを充填せねばなりません。

よし! 長野に来たしそばを食べよう!



(天ぷらそばを注文!うめかった)

なかなか混んでいたので、他のSECCON Beginners参加者のご厚意に甘えて相席ということに。
どうも講師だけではなく参加者にも学生さんが多い様子。みんな優秀だしやる気あるなぁと感心しながらお話を聞く。

フォレンジクス講義

さて、リフレッシュしたら講義再開です。


フォレンジクスとは

コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めること
引用元: はてなキーワード

ということでフォレンジクスの対象はいろいろあるのですが、講義ではネットワークを対象とした内容になっていました。
Wiresharkの機能を使ったパケットの解析の仕方や、パケットから抽出したファイルをどう解析するか(バイト列を見てファイルの種類を識別する、ツール使ってメタ情報表示するなど)を学びました。
私は普段パケットキャプチャとかしないのですが、パケット解析も結構面白いですね。

リバースエンジニアリング講義

最後の講義はバイナリについてです。


講義内容はアセンブリ入門でした。
な、なつかしー!!
すっかり忘れているので、しっかり講義に耳を傾けました。
まずはプログラム実行の仕組みから入り、アセンブリという流れ。
アセンブリ入門では代入・算術処理、実行制御、スタック、関数の説明がされ、演習で処理を追って値を計算する感じでした。

ところで、たくさん紹介された本の中に「たのしいバイナリの歩き方」という本がありましたが、持ってる!持ってるぞー! ……あとで読もう。


CTFオリエンテーション

すべての講義が終わった後、CTFオリエンテーションなるものがありました。
ここで行ったのは、Jeopardy※4形式のCTFです。
これまで学んだことを活かして問題を解いていきます。参加者同士でスコアを競い合いました。

私も頑張って挑みましたよ!

さて、結果は……


13位! 6x人中だからまずまずの結果ですかね……(ちなみにT氏は12位でした)

運営者の方がCTFはコンピュータのトライアスロンだとおっしゃっておりましたが、CTFオリエンテーション終了後、なるほどなと得心。
とはいえ、実際のCTFは二日間に渡り行われるのに対し、今回は90分だったのでもうちょっと時間欲しかったと思えるほどでした。要は、すごく楽しかったです。

感想

講義に関しては、基礎知識ではあったのですが、問題を解くための要点が押さえられており非常に分かりやすく、おかげさまでCTFの良く分からなかった部分が払拭され、どう勉強すべきか見えてきました。
また、Webサイトを作る際にどこに気を付けるべきかなど、実用的なセキュリティの知識も付いたと思います。
懇親会では、学生さんや運営の方ともお話できてとても有意義な時間を過ごすことができました。若くて優秀な方がたくさん居て、負けてられんなーと思った次第です。

最後に

ここまでやって、この勉強会は無料だぞ!
みんなも興味があったら参加してみよう!

そして、運営者様方、この度はお忙しいにも関わらず、
素晴らしい勉強会を提供して頂き誠にありがとうございました!!


(YAMAHAのサーバ)


(ラズベリーパイ)


※1 CTFには攻防戦形式とクイズ形式の2つの形式がある
※2 脆弱性を報告してくれた人に企業が報奨金を払う
※3 Masato Kinugawa Security Blog 
※4 ジョパディ。クイズ形式のこと。アメリカのクイズ番組名が由来


オススメ記事

新作ホラーADVゲーム「暗黙と代償」1

探索ホラーADV「暗黙と代償」メインテーマ作曲者募集(有償)