2014年6月29日(日)、六本木ヒルズのグリー株式会社様会議室にて、日本で初めての女性向けCTFワークショップを開催いたしました。企画当初は「参加者が20人くらいしか集まらないのでは…」という懸念がありましたが、結果的には募集開始翌日には当初定員の50名の参加申込みがあり、急遽定員を増やしました。それでも3日間で80名を超える参加申込みがあり、募集を終了したという、予想を上回る嬉しい結果となりました。
いよいよ29日当日、開会は10時でしたが受付開始の9:30前からちらほらと女性たちが集まり始めました。今回は、遠くは石川県からいらした方や高校生の参加もあり、参加者は総勢70名となりました。午前中はネットワーク、Webセキュリティ、フォレンジックの講義をそれぞれ女性講師が25分ずつ解説してお昼休憩となりました。お昼は六本木ヒルズ内のレストラン2店に分かれてランチをとっていただきましたが、この場で女性たちの緊張もほぐれ、参加者同士の交流を深めることができたようで、ランチ後にはグループ毎に会話が弾んでいる様子も見受けられました。
午後はバイナリの講義のあと、いよいよCTF演習です。各自持参したノートPCを用いて約1時間強の演習となりました。参加者は8名ずつ10のグループに分かれていますが、みなさん黙々とPC画面と戦っている様子でした。
演習のあとは、会場内に設置したセキュリティ分野毎のブースを回っていただき、それぞれのブースの講師やスタッフから詳しい解き方のヒントをもらったり解説を受けたりしていました。
そして、自席に戻り、解答解説の時間です。ネットワーク、バイナリ、WEBセキュリティ、フォレンジックを担当する4人の講師から約10分ずつの解説を受けてCTFワークショップはほぼ終了です。最後に、各グループを代表して1名ずつ感想を言ってもらいました。
などなど、参加された方は達成感や自信に繋がったコメントも見受けられ、また、今後もぜひ勉強会に参加していきたいという声が数多く聞かれました。
なお、今回は参加者が女性限定という理由により、取材や見学などを制限させていただきました。この点について多くの方々に御理解いただきましたこと、心より感謝申し上げます。業界で数少ない女性たちが勉強会などで不必要に目立ってしまうことや興味本位の目にさらされることを恐れて、参加をためらってしまい場合も多いようです。通常の勉強会では男性が多くて参加しづらいけれど、今回はスタッフも含めて女性のみということで、安心して参加していただくことが出来たと思います。
本活動が、今後のセキュリティ業界の女性達のコミュニティ形成や自発的な活動に繋がっていけば大変嬉しいです。
最後に、各講師からのコメントをご紹介します。
今回は、ネットワークのツールとして最も利用されているパケットキャプチャソフト「Wireshark」の機能を利用し、パケットとはどんなものであるのかを見て解析してもらうことを目指しました。初級は大量のパケットから機能を使ってFlagを探し出す問題、中級はWebサーバからFlag画像をダウンロードした通信を読み解いて画像を復元する問題としました。
近年はスマホ利用が普及してWebアプリを利用する機会が増えたということもあるのか、中級の方が簡単だったという声もちらほらありました。今後はWebからネットワークへ興味が広がる方たちもいるかもしれないと思うと、とても楽しみです。
バイナリ解析を行うには、CPU・OS・アセンブリ・コンパイラ等の幅広い知識を持ち合わす必要があり初心者にとっては一番ハードルが高く、かつ奥深い分野だと言えます。そのため1回の勉強会だけでは到底全容を教えきれるものではありません。そこで今回のワークショップではバイナリ解析の概要を理解して貰う事を目指し、午後の演習に必要な最低限の知識(16進数、WindowsAPI、アセンブリ、デバッガの使い方)を講義させて頂きました。
今回「バイナリ解析は初めて」という参加者が殆どだったと思いますが、実際の演習では何人もの方が中級レベルの問題まで解けており、中には「バイナリ解析凄い楽しいです!」や「凄い勉強になった」と言ってくださった方がいました。ワークショップをきっかけに奥深いバイナリ道?を突き進んで頂ければ幸いです!
Webセキュリティのパートは、問題1問作成と講義資料作成、問題1問作成と講義担当という形で分担して進めました。
Webサイトがあれば攻撃可能なWebへの攻撃を扱うため、安易に攻撃を行わないことを最初に参加者と約束してから講義に入りました。Webアプリケーションとは何か、脆弱性とは何か、という言葉の認識合わせからスタートし、能動的にWebアプリケーションを攻撃する「SQLインジェクション」と「ディレクトリトラバーサル」について掘り下げました。苦手意識を抱いてほしくない、気軽に相談し合ってほしい、という思いから、Webセキュリティの概要を平易な表現を心掛けて解説しました。
演習やブースでは「試行錯誤の結果、解けた!!」という感覚を味わってもらえたと思います。この感覚を、世界中のCTFの良問(でも難しい)に、解けなくても挑戦する勇気にしてもらえたら幸いです。
今回出題側の立場を経験したことで、「初めての方がステップバイステップでだんだん勘所がわかってくるレベル」は、Webアプリケーションがどれくらい脆弱かという観点だけでなく、どんな推測をするか/どう試していくか、といった定石に近い部分が大切であることを学ぶことができました。
今回フォレンジック分野は、フォレンジックとは何ぞやというところから、フォレンジックツールやレジストリ解析ツールを使用した調査方法について講義を行いました。
講義はじめに「フォレンジックとは何かご存知な方」とお伺いした際、殆ど手が挙がらず少し心配しておりましたが、25分という短い講義の中で、IT系女子の感覚(!?)を活かし、演習の時間では皆様ツールを探り探り使いながら問題にあたってくださいました。
私は、フォレンジック分野はCTFの中でもより身近な分野だと感じております。なぜなら他の分野のように環境に依存することなく、自分のPCと今回お伝えしたツールさえあれば、「マウント」して調査が可能だからです(Flagはありませんが…(笑))。
今回のワークショップを機に、「趣味はフォレンジックです!」という女子が増えてくださると講師としては嬉しい限りです。