┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━┳━┳━┓ ┃■ SECCON メールマガジン【Vol.16】 発行:2015.06.30(火) ┃_┃ロ┃×┃ ┣━━━━━━━━━━━━━━━━━━━━━━━━━━━━┻━┻━┻━┫ ┃…………………………………………………………………………………………┃ ┃… 各種CTF勉強会の情報や、予選告知、結果速報、Write Up などを発信 …┃ ┃…………………………………………………………………………………………┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ …………………………… [ C O N T E N T S ] ………………………………… 0x01 CTF for ビギナーズ 2015 博多(Attack & Defense)開催報告 0x02 CTF for ビギナーズ 2015 東京 …あっという間の満員御礼… 0x03 協賛企業「NRIセキュアテクノロジーズ株式会社」様より告知 ──────────────────────────────────── 0x01 CTF for ビギナーズ 2015 博多(Attack & Defense)開催報告 ──────────────────────────────────── 2015年6月7日(日)に福岡県博多市「富士通株式会社 九州支社」様の会場をお借り して、「CTF for ビギナーズ 2015 博多」を開催いたしました。当日は51名の方 が参加し盛況に開催されました。以下、当日の開催報告です。 2015年6月7日(日)10時から東比恵ビジネスセンター(富士通株式会社 九州支社) にてCTF for ビギナーズ2015 博多(Attack & Defense)を開催しました。会場は 福岡空港から地下鉄で一駅の東比恵にほぼ直結しており非常に交通の便がよく、 また会場内には前方のスクリーンだけでなく補助用の大型液晶モニタが設置され ており、後方でも解説資料が確認しやすい会場でした。今回は対象を学生限定と し攻防戦形式で情報セキュリティの技術を学ぶワークショップとしました。 午前中は攻防戦のチュートリアルを行い攻防戦の概要、セキュリティ技術の基礎、 競技に活用できる攻撃や防御手法を学習し、午後からチーム間での攻防戦を体験 するという内容でした。 当日は会場提供をしていただいた富士通株式会社 大久保仁志様からの挨拶で始ま りました。午前のチュートリアルは三村氏と廣田氏が担当しました。三村氏からは CTFとはと言う導入の話から攻防戦の解説、実際の技術解説などが話されました。 技術面の話としては自分のシステムを徹底的に調べコマンドやアカウントに細工 されている可能性も考慮するなど具体的な話まで踏み込んでいました。またここ で使用する技術は競技としてのCTFだからこそ出来ることであり、普段使用する 環境では法律や倫理面を十分配慮することなどの説明もありました。廣田氏から はさらに具体的な Web への攻撃について実際のデモを交えながら解説がありま した。内容としては HTTP の基本から XSS の解説、クッキーの書き換えによる セッションハイジャックなどでした。 昼休憩をはさみ午後からは実際の攻防戦を行いました。基本的なルールは下記の とおりです。 ・競技時間は 2015年6月7日(日) 13:10-16:10 JST (3時間) ・競技への参加は、各チーム4名まで ・各チームに対して脆弱なサーバを配布、サーバの仕様は各チームで同一 ・チーム毎に異なる個別の顧客データを割り当て、他チームからの攻撃によって  盗み出されないように顧客データを守る ・各チームは、不特定多数の顧客がアクセスするサービスプロバイダの役目を担  っており顧客が利用するサービスの提供を継続する 得点については下記のような内容でチーム毎に集計し得点が最も多いチームを優勝 としました。 ・競技内では2種類の得点方法「攻撃ポイント(ATTACK POINT)」と「防御ポイント  (DEFENSE POINT)」がある ・攻撃ポイント(ATTACK POINT)とは、他チームのサーバから奪取した疑似個人  情報をスコアサーバに登録することによって加点、また、奪取された側のチーム  には同じ点数を減点 ・防御ポイント(DEFENSE POINT)とはサービスを継続させたチームへ加点される  ポイントで、5分ごとに運営側からサービス稼働状況の確認して加点 競技を開始してからしばらくは動きがなく、14時過ぎから防御ポイントに動きがみ られました。運営側の予想では攻撃ポイントに動きがなかったため、チームサーバ の脆弱性対応でサービスを落とした等を予想していましたが、後で該当チームに確認 すると「取られてしまうデータなら、あらかじめ消しておこう」との判断で削除した のが原因でした。 15時には脆弱性対応のため Web サーバ自体を止めてしまったチームもあり、設定 変更時のバックアップの重要性を認識していたようです。6時少し前に運営から セッションハイジャックについてのヒントが出されて、攻撃ポイントに動きが出始 めました。複数のチームで得点が動き始めたところで一気に90点を獲得したチーム もありました。このチームは SQL インジェクションのポイントを見つけ、それを 自動で出来るようにプログラムしたため高得点につながりました。 16時10分に無事競技は終了しました。 得点に関して運営のチェック後、優勝チームが発表されました。優勝チームは 「Ph//shh/bin」でした。最後に竹迫委員長より優勝賞品が手渡されました。 (Attack & Defense 運営メンバーより) ──────────────────────────────────── 0x02 CTF for ビギナーズ 2015 東京 …あっという間の満員御礼… ──────────────────────────────────── 7月4日(土)に開催予定の「CTF for ビギナーズ東京」の参加申込みを6月22日 に開始したところ、わずか10分たたないうちに満席となってしまい、たくさんの方 にキャンセル待ちの申込をしていただくという結果になってしまいました。多くの 方がCTF for ビギナーズに参加したい!と思っていただけることは大変喜ばしいこ とですが、ご期待に添えない方が多く出てしまったことに対してスタッフ一同、 大変心苦しく思っております。 CTF for ビギナーズ 2015 は今後も熊本・滋賀・奈良・大阪も開催予定ですので、 ぜひお誘い合わせの上御参加いただければ幸いです。 2015年度の開催スケジュールはこちらをご覧下さい。 http://2015.seccon.jp/about.html                  (CTF for ビギナーズ運営スタッフより) ──────────────────────────────────── 0x03 協賛企業「NRIセキュアテクノロジーズ株式会社」様より告知 ────────────────────────────────────               今年もやります!       「SANS NETWARS Tournament 2015」エントリー開始!! 本イベントは、米国SANS Instituteの協力の下、世界基準のセキュリティトレー ニングを体験できる学生限定のイベントです。 1日目はトレーニング、2日目はCTFで構成された2日間のプログラムです。 今年も情報セキュリティに興味のある学生の皆さんの参加をお待ちしています。 トーナメントの成績優秀者には、豪華副賞をプレゼント! ・SANS Tokyo 2015 へのご招待(2015年10月開催) ・SECCON 2015 決勝大会出場権(2016年2月開催予定) 主催:NRIセキュアテクノロジーズ株式会社 協力:SANS Institute 日程:2015年 8月22日(土)、23日(日)    ※2日とも参加いただく必要があります。 会場:大手町サンケイプラザ(東京) 対象:情報セキュリティに興味がある学生の方 参加費:無料 定員:100名(応募者多数の場合は抽選制) 申込締切:2015年7月31日(金)18:00 情報セキュリティ初心者の方から、腕試しをしたい方まで、 下記詳細ページをご覧の上お申込みください。 http://www.nri-secure.co.jp/event/2015/netwars.html               (NRIセキュアテクノロジーズ株式会社 時田 剛) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ SECCON実行委員会は、多くの皆様からの無償のご支援と、スポンサー企業様   からの協賛金・寄付金によって運営されています。 ……………………………………………………………………………………………… ▼ メルマガの配信停止はこちらよりお手続き下さい。 http://2014.seccon.jp/optout.html ……………………………………………………………………………………………… Copyright (C) 2015 SECCON 実行委員会 All rights reserved. 掲載内容の無断転載を禁じることはありませんのでご安心下さい