この記事は、NFLaboratories Advent Calendar 2023 - Adventar 15日目の記事です。
みなさん、こんにちは。研究開発部の栗原です。普段はセキュリティトレーニングプラットフォームの開発業務に携わっています。今回のイベントでは全体の統括を担当しました。
本記事では、先日NFLabs.が開催した NFLabs. Cybersecurity Challenge for Students 2023 の様子を紹介します。 また、競技後に募集したWriteup賞の発表も行います。
イベント概要
2023年11月22~27日にかけて、CTF (Capture The Flag) ライクな形式でセキュリティ技術を競うセキュリティチャレンジコンテスト「NFLabs. Cybersecurity Challenge for Students 2023」を初めて開催しました。
国内の高等専門学校、専門学校、大学、大学院に所属する学生を対象に、connpass上で参加募集し、応募があった66名の中から抽選で50名に参加していただきました。 競技はオンラインの個人戦で行いました。 また、賞を複数用意しており、その実力を讃えて以下の賞金を贈呈しました。
- 総合得点1位 賞金5万円
- 総合得点2位 賞金3万円
- 総合得点3位 賞金1万円
- OSINT, DFIR, Malware, PenTestジャンルのFirst Blood賞 各賞金1万円
- Writeup賞 賞金1万円
本イベントの最も大きな特徴は、通常のCTFと異なりマルウェア解析やペネトレーションテスト、インシデントレスポンスなど実際のセキュリティ業務で使用されるスキルが必要な問題を用意していることです。 普段セキュリティの業務に携わっている社員がすべての問題を作問したため、実務経験に沿ったシナリオで作られています。
競技終了後には、作問した社員による問題解説を行い、作問の背景や問題の解法、実際の現場で使われるテクニックなどを説明しました。
スケジュール
競技期間は6日間設け、難易度の高い問題にもじっくり時間をかけてチャレンジしてもらえるようにしました。 また、期間に土日祝日が含まれているため、講義などで忙しい学生さんでも参加しやすかったと好評でした。 詳しいスケジュールは以下の通りです。
| 日時 | イベント |
|---|---|
| 11/22(水) 17:00 | 競技開始 |
| 11/27(月) 15:00 | 競技終了 |
| 11/27(月) 16:00 - 16:30 | 表彰式 |
| 11/27(月) 16:30 - 18:00 | 問題解説 |
問題
問題は以下の6ジャンルで、全25問を出題しました。
- OSINT
- DFIR
- Malware (マルウェア解析)
- Dev
- Web (Web脆弱性診断)
- PenTest (ペネトレーションテスト)
難易度はEasy, Medium, Hardの3段階に分かれています。 競技が個人戦のため、苦手なジャンルでもチャレンジできるよう、難易度Easyの問題を用意しました。 一方で、難易度Hardの問題は、高度な技術が求められるようにその分野のプロフェッショナルの社員が腕によりをかけて作成しました。 また、OSINT、DFIR、Malware、PenTestジャンルの難易度Hardの問題には、First Blood賞を設定しました。 これは、全参加者の中で最も早く正解した人に賞を贈呈する、というものです。
配点はダイナミックスコアリング方式を採用しました。 初期点を500点、最低点を100点として正解者数に応じて20点ずつ得点が下がるように設定しました。
全体としてセキュリティの実務に近いシナリオに沿って問題が作られており、以下のような特徴を持つ問題を用意しました。
- ダークウェブをテーマとした問題
- インシデントレスポンスやフォレンジック業務で必要なスキルを問う問題
- 最新のマルウェアの動向を取り入れた問題
- ブラックボックス化されたサーバやアプリケーションの脆弱性を調査し、攻撃検証を行う問題
参加者からは、普段参加するCTFと問題の傾向が異なり新鮮だった、面白かったというコメントをいただきました。
一部の問題は、このエンジニアブログのアドベントカレンダー企画で作問者Writeupを公開しているので、気になる方はぜひご覧ください。
競技結果
最終的なスコアボードは以下のようになりました。
総合得点は、1位 keymoonさん、2位 Tohaさん、3位 Cyanosさんという結果でした。 3名とも幅広いジャンルの問題にチャレンジし、正答者の少ない高得点問題をいくつも正解しており、運営もそのスキルの高さに驚かされました...!
First Blood賞は以下のようになりました。
- OSINT shioさん
- DFIR Tohaさん
- Malware 該当者なし
- PenTest barbatos308さん
特にDFIRは競技開始後たった3時間で獲得、PenTestは唯一の正答者となっており、その非常に高いスキルを示すものとなりました! Malwareは正答者が0人だったため、該当者なしとなってしまいました。 これは、問題の難易度調整が不十分であったと反省しております...。 次に開催するときには、難易度調整を慎重に行い、参加者のみなさんにより楽しんで参加してもらえるよう改善していきたいと考えています!
Xでも最終スコアとFirst Blood賞を発表しました!
🔔NFLabs. Cybersecurity Challenge for Students 2023 終了しました!🔔
— 株式会社エヌ・エフ・ラボラトリーズ (@NFLaboratories) 2023年11月27日
参加いただいた学生の皆さん、ありがとうございました。(Player nameは敬称略)#セキュリティイベント pic.twitter.com/RPHOzmmnmQ
表彰式・問題解説
競技終了後には、オンラインにて表彰式と問題解説を行いました。 はじめにNFLabs. CEOの小山より挨拶があり、その後簡単な会社紹介を行いました。 次に、CTOの松木より総合得点1位~3位、First Blood賞を表彰しました。 表彰の際、受賞者からコメントをいただいたのですが、みなさんから問題が面白かった、次回があればまた参加したい、という、イベントに満足した様子を伝えていただけたので安心しました。
表彰式の後は、作問者による問題解説を実施しました。
OSINT、DFIR、Malware、Web、PenTestの問題について、問題の背景や解く上でポイントとなる技術、実際の業務で見つかる脆弱性がどのようなものか、などを作問者から説明しました。 解説の間はDiscordを使って質問や意見を募集していたので、途中からは参加者から続々と質問が寄せられ、作問者と直接やり取りできる機会を楽しんでいただいたようでした。 事後アンケートでも「問題解説が勉強になった」との声や、「紹介していた解析ツールが参考になった」との声が多く寄せられました。
問題サーバの提供方法
今回の問題では、Web脆弱性診断とペネトレーションテストで使用する問題サーバについて、参加者ごとに個別のサーバを提供しました。 通常のCTFでは、Web問題で使用するサーバは参加者全体で共有のサーバであることが多いです。 しかし、ペネトレーションテストの問題では、サーバに侵入し管理者権限を入手することができるため、参加者が問題サーバの設定を変更するなど手を加えることが可能になってしまいます。 また、問題サーバに攻撃検証を実施する中で、サーバの設定やデータをリセットしたい、という状況になることがあります。そのため、参加者の任意のタイミングでサーバの設定をリセットできる必要があります。
そこで、研究開発部で開発しているセキュリティトレーニングプラットフォームの機能を利用してイベント専用プラットフォームを用意し、参加者ごとに個別の問題サーバを起動できるように提供しました。 専用プラットフォームにログインすると、以下のような画面から参加者が自分専用の問題サーバを起動できるようになっています。 問題サーバを任意のタイミングで破棄できるため、再度起動することでリセットが可能です。
また、起動した問題サーバにはOpenVPN経由でアクセスできるようになっています。 この際、以下の記事で紹介したVPN管理サービスを新たに開発してVPN接続機能を提供しました。
OpenVPN管理サービスを作ってみた - NFLabs. エンジニアブログ
上記により、参加者に快適なチャレンジ環境を提供することができました。
Writeup賞
さて、ここからはWriteup賞受賞者の発表です。
Writeup賞は、最も素晴らしい内容のWriteupを作成していただいた方に送る賞です。
今回、6件の応募をいただきまして、選考の結果、Writeup賞はふたばとさんにお送りしたいと思います。 おめでとうございます!
イベントに参加できなかった方にもイベントの全体像や、面白かった点が分かるような構成で作成していただいたことがふたばとさんを選定した理由です。全てのジャンル、多数の問題に言及されており、感想からも運営側の意図や思いが伝わっていると感じました。目次があれば更に良かったですね。 素敵なWriteupを書いていただき、ありがとうございました。
他にも素晴らしいWriteupを応募してくださった方をここで紹介いたします。
- Tohaさん NFLabs. Cybersecurity Challenge for Students 2023 Writeup #Security - Qiita
- suzuki.mさん NFLabs. Cybersecurity Challenge for Students 2023 Writeup #CTF - Qiita
- rk16さん NFLabs. Cybersecurity Challenge for Students 2023 Writeup | CTF-writeup
- shiosa1tさん NFLabs. Cybersecurity Challenge for Students 2023 WriteUp
- rand0mさん NFLabs CTF 2023: Malware編 | rand0m
Writeup賞に応募していただいたみなさま、ありがとうございました。
おわりに
NFLabs. 初のセキュリティチャレンジコンテスト「NFLabs. Cybersecurity Challenge for Students 2023」を紹介しました。 この記事をきっかけにNFLabs.に興味を持ってくださった方がいれば嬉しいです。 参加者のアンケートで面白かった、勉強になった、また参加したい、といったコメントをいただき、イベントの運営としてみなさんが楽しんでいただけたことを大変喜んでおります。 このような技術イベントを今後も開催していきたいと考えておりますので、ぜひご期待ください!
