CTF【Capture The Flag】キャプチャー・ザ・フラッグ
概要
セキュリティ技術者が個人あるいはチームで参加し、時間内に出題者の出す問題を解いたり、それぞれに与えられた情報システムを対戦形式で攻めたり守ったりして競い合う。会場に一堂に会して開催する方式のほか、オンラインで開催される場合もある。24時間や48時間など比較的長い制限時間を設定し、獲得した得点を競う形式が多い。
クイズ形式(米国の著名クイズ番組の名前を取ってジョパディ形式とも呼ばれる)は大会主催者側の用意したセキュリティに関する出題を解き、問題に隠されたメッセージ(フラッグという)を明らかにする。お題として与えられるのはデータやプログラム、サーバなどで、これを解析したり脆弱性を付いて攻撃することでフラッグを見つけだす。
定番のジャンル・題材が決まっており、Webサーバ・Webアプリケーションを攻撃して侵入する「Web」、実行ファイルを解析する「Rev」(リバースエンジニアリングの略)あるいは「Binary」、暗号データを解読する「Crypto」、ストレージやメモリ上の記録内容を解析する「Forensics」、サーバ上で動作しているプログラムの脆弱性を攻撃して侵入する「Pwn」(Pwnableとも)、ネットワーク上の通信を傍受して解析する「Network」などの出題ジャンルがある。
対戦形式の場合、各チームにサーバやネットワークが与えられ、防御側は侵入されないよう弱点を探して補強し、攻撃側は相手チームのコンピュータの弱点を見出して侵入を試みる。相手のフラッグを獲得したり所定の場所へデータを書き込むと攻撃側の勝利、制限時間まで防ぎきれば防御側勝利となる。参加チームが多数の場合は主催者が用意した環境を各チームが攻撃する形式を取ることもある。
1990年代から続くアメリカの著名なコンピュータセキュリティ会議「DEF CON」(デフコン)で行われたのが最初で、近年では様々な主催者が様々な対象者に向けて開催している。実際の題材を用いた実戦的なコンテストであり、セキュリティ技術者の腕試しの場として定着している。
共有ボタンをタップ