CTF for GIRLS 10年目記念イベント開催レポート

こんにちは! CTF for GIRLS運営の宮地です。

2023/12/23〜24に浅草橋ヒューリックホール&カンファレンスで行われたSECCON 2023 電脳会議にて、CTF for GIRLSでは23日に下記イベントを開催しました。
本記事では、各イベントの様子をご紹介させていただきます。

  • 10:00-12:00【女性限定】CTFワークショップ
  • 13:00-17:00【女性限定】CTFハンズオン (大会形式)
  • 17:00-17:45【女性限定】交流会・閉会式等

2024年にCTF for GIRLSは設立から10周年記念ということで、参加者の皆さまに楽しんでいただくべく運営一同気合いを入れて準備しておりましたので、その様子についてもお届けしたいと思います。

CTFワークショップ

午前中に行われた「CTFワークショップ」では、CTFの主要なジャンルごとの基礎知識やCTFの問題を解く際の流れやコツについての講義が行われました。それぞれ、下記のような内容が取り上げられました。

  • Reversing: 楽しいReversing (担当: sarii mizuno)
    • 実行ファイル(バイナリファイル)のリバースエンジニアリング手法とその概要:表層解析・静的解析・動的解析
      • file, stringsコマンドによる表層解析
      • IDA, Ghidra, dsSpyを使用した静的解析
      • gdb-pedaを使用した動的解析
  • Cryptography (担当: Ai Nakano)
    • 暗号技術の基礎知識
    • 暗号方式の種類:共通鍵暗号、公開鍵暗号
    • 暗号の例:シーザー暗号、RSA暗号、ステガノグラフィー
    • 関連ツール、ライブラリの紹介:keytool、openssl
  • Web (担当: harusame)
    • Webアプリケーションの脆弱性
      • OWASP Top 10
      • Webアプリケーションに対する攻撃:能動的攻撃、受動的攻撃
    • Webの基礎
      • Webサーバーとブラウザの関係・役割、HTTPの基礎
      • 関連ツールの紹介:HTTPプロキシ、開発者ツール(デベロッパーツール)
    • SQLインジェクション(SQLi)
      • SQLとは
      • SQLインジェクションとは
  • Forensic/Network/Misc (担当: nomizou)
    • Forensics
      • Forensicsの概要:証拠保全→復元→調査→報告
      • 典型的なForensics問題
        • ステガノグラフィ
          • よく使うツール:Stiriling、BZ、foremost、exiftool、steghide
        • PDFファイル
          • よく使うツール:LibreOffice、foremostコマンド
        • ディスクイメージから削除済みファイルの復元
          • MFT(Master File Table)の操作など
          • よく使うツール:FTK Imager, Autopsy
    • Network
      • よく使うツール:Wireshark, tshark, Scapy
        • pcapファイル、pcapNGファイルの解析
      • 典型的なNetwork問題
      • Wiresharkによる通信のパケットキャプチャ方法
      • Wiresharkの基本的な使い方:パケットキャプチャ、ディスプレイフィルタ、TCPストリームの追跡、パケットダイアグラム
    • Misc(Miscellaneous)
      • 過去の出題例:OSINT、難解プログラミング言語(Brainf*ck)、ナゾナゾ
直近のCTF for GIRLSワークショップはオンラインでの開催が続いておりました。
今回は2020年の新型コロナウイルスの流行以降、実に2年ぶりのオフライン会場での開催となり、久々の皆さんの顔を見ながらのワークショップ開催を行うことができました。


CTFハンズオン (大会形式)

午後の「CTFハンズオン」では、初心者向けプチCTF大会を開催しました!

このハンズオンの運営サイドのねらいとして、初めて大会形式のCTFに取り組む方でも問題を解く楽しさ・解けた喜びを感じてもらえるよう、全ての問題にヒントを用意し、初級問題は減点なしでヒントを見れるようにしました。
加えて、参加者同士の交流の機会にもしてもらいたいとの思いから、大会自体は個人戦ではあるものの、参加者同士での相談や運営メンバーへの質問もOKの、少し珍しい形式での開催でした。
大会中は、ねらい通り解き方の相談や教え合いをしているのかな?と思われる、何名かで席を立ってPC画面を囲んでいる光景や、別のテーブルまで遠征しにいく様子も見受けられ、運営一同ほくほくしながら見守っておりました。

出題された問題を1問だけご紹介します。

3 keywords (Misc 300)

仲間と協力してキーワードを見つけてください。
見つけたキーワードをアルファベット(辞書)順に並べたとき、導き出される場所があります。

その場所の公式サイトのセカンドレベルドメインがフラグです。

例)たとえば答えが「浅草橋ヒューリックホール&カンファレンス」なら、公式サイトは `https://hulic-hall.com/` なので、フラグは `ctf4g{hulic-hall}` となります。

受付時に来場者に10周年記念ステッカーをお配りしていたのですが、それを使う問題でした。

ステッカーの絵柄は3種類ありましたが、1人1枚ずつランダムにお渡ししていました。
(それぞれ左から「ひいらぎ」「ベル」「トナカイ」のイラストと、中央下部の「10th anniversary」の文字の下には密かに暗号が書かれています)

つまり、1人ではこの問題は解けず、他の参加者と協力して3つ全ての情報を集める必要がありました。
書かれていた暗号と内容(左から)
  • 5 14 3 15 21 18 1 7 5(A1Z26暗号)
  • 0x73 0x65 0x63 0x74(ASCIIコード)
  • -... . .- -.. ...(モールス信号)
これ以降の解き方は、参加者でwrite upを公開している方がいますので、ぜひ探してみてください!("ctf for girls petit ctf write up" でGoogle検索したり、Xで #ctf4g のハッシュタグをチェックしてみてください)
write up:CTFの文脈では、コンテスト終了後に自分の解き方や解説を書いたブログ記事等をこう呼びます。

ちなみにこの問題は、オフラインでの開催ということもあり「現地でしか解けない問題をやってみたいよね」、「参加者同士で教え合いOKの雰囲気を後押しするためにも、コミュニケーションを強制的に発生させられると良さそう!」という思いから、nomizouさんが作成した問題になります。

実はCTF for GIRLS運営メンバーもサポート用に1人1枚ずつステッカーを持っていましたが、参加者の皆さんは無事自力で答えに辿り着けていたようで、活躍の機会が無事なかった私のスタッフバッジ裏に仕込んでいたステッカーの様子です。

最終的なTop 10 Usersのスコアボードは下記の通りでした。

上位入賞者の皆さん、おめでとうございます!
Top 10以外でも、当日はどなたも最後まで粘り強く問題に取り組んでいる様子が見られ、特にCTF初参加でも「ヒントを手がかりに何問か解けた!」という方も多かったようで、頑張った皆さんお一人おひとりに大きな拍手です!👏

アンケートでも午前の講義の内容を実践を通して理解を深めることができたとのコメントもいただいており、皆さまのスキルアップに繋がっていましたら幸いです。

交流会・閉会式等

17:00から閉会式が行われ、総合得点が1-3位までの入賞者と、First Blood賞(各問題を一番早く解いた人)と、参加条件を満たした人の中から各テーブル1名ずつジャンケンでの選定による参加賞が表彰され、記念のプレゼントが贈られました。

閉会式後半では、CTF for GIRLS 発起人 & 代表の中島明日香さんより、発足から10年目を迎えたCTF for GIRLSのこれまでの活動の振り返りが行われました。 この活動の立ち上げの動機として、学生時代からコンピュータ技術に関わる女性が周りに少なかったことに対し社会的・心理的ハードルを感じていた中、韓国のPower of XXの取り組みなどを知り「女性限定の場があればいいのに」と感じていたこと。そんな折にSECCONからの声かけがあったこと。最初は不安も大きかったり批判もあったりしたが、社会を少しでも良い方向に変えたいという想いが根底にあったこと。

そしていざワークショップを開催してみると、毎回70名ほどの参加者が来てくれたこと。
活動は徐々に軌道に乗り、攻殻機動隊 REALIZE PROJECTとの協業による女性限定CTF「攻殻CTF」の開催が行われたことなども紹介されました。

CTF for GIRLSの設立から現在までの歴史を通して、中島さんの女性でも学びやすい場を作りたい!という思いがひしひしと伝わってくる内容でした。中島さんのそんな思いに助けられた私もその一人なので、今後もCTF for GIRLSの活動を盛り上げていくことに貢献できたらと思います :)

これまでのワークショップや攻殻CTFなど各イベントの様子は、本記事同様開催レポートにまとめられておりますので、併せてぜひご覧ください。
http://girls.seccon.jp/index.html

最後に、CTF for GIRLS新体制の発表がありました。

メンバーが入れ替わっても運営を継続できるような体制づくりの一環として、2024年度から中島明日香さんが代表を引退し、

  • 代表: 中島 春香さん
  • 副代表: 水野 沙理衣さん
の体制となります。

新体制で気持ちも新たに、CTF for GIRLSでは今後も様々なイベントを開催していく予定です。
最新情報は本Webサイトおよび X (@ctf4g) Facebook でお知らせしていく予定ですので、ぜひよろしくお願いいたします!