桐生あんずです。会社の人に誘われて初めてCTFのオンライン勉強会に参加しました。
会の概要
この会の趣旨は以下のようなもので、初心者でもCTFを気軽に学べる会を目的に運営されているとのことだった。
WEST-SEC CTFは、セキュリティの基礎知識・技術を網羅的に学習するためのコンテンツです。CTF(Capture The Flag)といえば、SECCONに代表される鬼のようにレベルが高い旗取りゲームです。しかし、WEST-SECのCTFは全く別物です。CTFのツールを活用しますが、相手と競う「競技」というよりは、みんなで学ぶ「学習」です。セキュリティを守るために身に着けるべき基本知識を、一部コマンドを打つなどの実践も踏まえて学びます。
最初に20分ほど説明を受けて、その後自動的にチームが割り振られて(希望を伝えたら固定で組むこともできる模様)1時間20分ほど問題をみんなで解き続け、その後解説タイムに入るという構成だった。
感想
問題内容はWeb、暗号、フォレンジックといったいつも通りのものもあれば、法律問題やなぞなぞ的なものもあり幅広かった。自分はチームの人からアドバイスをいただきつつWebや暗号問題を解くのがメインだった。ここで色々語りたい気持ちはありますが、WriteUpは非公開とのことでどこまで情報を出すべきか難しいので細かい内容はいったん伏せておきます。
ツールを利用して暗号を解いたり総当たりテクニックで倒せる問題はそこそこ自分の力で解くことが解くことができたが、フォレンジックはあまり手を出すことができずチームの人に完全に頼りきりだったので、そういった問題に出くわした時にどう対応すべきかの分岐を増やしたい。(PicoCTFの大会のあるフォレンジック系の問題にもかなり苦しんでいて単純に解いた経験がまだまだ少ない気がする)
そういった反省点はありつつも、チームの人と協力しながら解いて時間いっぱい手を動かすことができたので初回にしてはちゃんと貢献できた気がしていて達成感がある。
最終的にほぼ全ての問題を時終わることまでできたのだけれど、それでも14位中7位で周囲のレベルの高さを感じた。みんなほぼヒントなしで解いているのだろうか、すごい……。
あと、解説タイムで自分のやり方とはちょっと違った方法で解いている人が割といたのも面白かった。flagを見つけるまでのプロセスが一つではなく様々な手段があるのはCTFの醍醐味の一つだなあと思った。
今週末も「Re:4-Girls CTF」というCTFのオンラインイベントに参加するのでそこでも色々勉強できたらと思う。どうやらクイズ形式のCTF大会(個人戦)ということで今回とはまた違った風味のイベントの予感がしている。 こうやって社外でもじわじわとCTFの活動を増やしてみようとしているけれど、新しく学べることがやはり多くて新鮮で楽しいな〜という感覚があるので今後もしばらく続けてみたい。
流れに乗って「ハッキング・ラボ」のつくりかたも触り始めてみた。
「ハッキング・ラボのつくりかた」を入門し始めた(大変分厚くてビビる)
— 桐生あんず (@anzu_mmm) 2021年3月22日
そんな感じです。ありがとうございました。(久々にこの構文を使ってみた)
