GMOイエラエが38時間の激闘を制して3連覇、世界中のホワイトハッカーが集結して腕を競う「DEF CON(デフコン)」の凄みと本当の価値
意外だった出題傾向と「現地限定」ミッション
競技が開始すると、経験のある小田切氏と渡部氏は今年の出題傾向に変化を感じ取った。
Cloud Village CTFとは言え、完全にクラウド関連の問題だけでは課題のバリエーションが作りづらくなっているのではないか、という運営側の意図も推測されるが、参加者にとっては対応力が試される展開となった。
「去年までは、本当にクラウドに関連する課題だけだったのですが、今年は、クラウドとは異なる傾向の問題が出てきました。ほかにも、会場に行かないと解けない問題が、今年初めて出ました」(渡部氏)
意外だったのは、「バイナリーエクスプロイテーション」と呼ばれる分野の問題が出題されたことだ。これは、C言語などで書かれたプログラムのメモリ管理の不備を突き、サーバーへの侵入を試みるといったもので、クラウドの設定不備を扱うのとは根本的に異なる技術領域だ。
クラウド中心に準備を進めてきたメンバーにとっては、「それが出るんだ」という驚きがあった。そして、もう1つの大きな変化である会場限定問題で活躍したのが水野氏だった。競技中盤、いくつかの問題が追加で公開された。その中の1つに、特定のWebサイトへのアクセスが求められる問題があったが、現地の会場のWi-Fiからでなければアクセスできない仕様になっていたのだ。
この時、たまたま情報収集のために会場を訪れていた水野氏が、このミッションに挑むことになった。
水野氏が現地からアクセスし、Webの脆弱性を突いて突破口を開くと、次に現れたクラウド環境はリモートからでも接続可能だったため、すかさずホテルで待機していた小田切氏が解析を引き継いだ。小田切氏の解析により、ある謎のフレーズが得られた。しかし、それはフラグではない。
「会場に来させているのだから、現場に何かあるのではないか?」とチームからアドバイスを受けた水野氏は、会場内を探索。すると、Cloud Villageのエリア内に、怪しげな黒い小さなテントを発見。その中に入ると、ホームアシスタントと呼ばれるデバイスが設置されていた。
「そこにそのフレーズを言ったらQRコードが出てきて、そのQRコードを読み込んだらフラグが得られました」(水野氏)
現地での機動力と、リモートでの高度な解析技術が見事に融合した連携プレーだ。
無料会員登録はこちら
ログインはこちら