┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━┳━┳━┓ ┃■ SECCON メールマガジン【Vol.18】 発行:2015.07.27(月) ┃_┃ロ┃×┃ ┣━━━━━━━━━━━━━━━━━━━━━━━━━━━━┻━┻━┻━┫ ┃…………………………………………………………………………………………┃ ┃… 各種CTF勉強会の情報や、予選告知、結果速報、Write Up などを発信 …┃ ┃…………………………………………………………………………………………┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ …………………………… [ C O N T E N T S ] ………………………………… 0x01 前号 SECCON メールマガジン【Vol.17】の誤記のお詫び 0x02 CTF for ビギナーズ 2015 東京・長野 開催報告 0x03 協賛企業「株式会社ディアイティ」様より - フォレンジックについて知る機会! 0x04 SECCON 2015 横浜大会 情報をちょっとだけお知らせします 0x05 CTF for GIRLS運営メンバーからの一言 ──────────────────────────────────── 0x01 前号 SECCON メールマガジン【Vol.17】の誤記のお詫び ────────────────────────────────────  前回配信した SECCON メールマガジン【Vol.17】の記事中に、会場をご提供 いただいた組織名称に誤記がありました。大変申し訳ありません。 お詫びして訂正いたします。 誤:今回会場をご提供いただき、開催に向けて多大なるご支援をいただいた東京 電気大学様、株式会社電通様、本当にありがとうございました。   ↓ 正:今回会場をご提供いただき、開催に向けて多大なるご支援をいただいた東京 電機大学様、株式会社電算様、本当にありがとうございました。 なお、Web上のバックナンバーについては正しい名称に訂正しております。  http://2014.seccon.jp/mailmagazine/backnumber17.txt ご指摘いただきましたメルマガ読者の皆様ありがとうございました。 以後、同じようなミスが発生しないように気を付けたいと思います。          (SECCON実行委員会 事務局員より) ──────────────────────────────────── 0x02 CTF for ビギナーズ 2015 東京・長野 開催報告 ──────────────────────────────────── 2015年7月4日(土)5日(日)と2日間を掛け CTF for ビギナーズ 2015 東京および 長野を開催致しました。東京は東京電機大学様、長野は株式会社電算様にそれぞれ ご協力を頂きました。2日連続開催ということもあり、運営スタッフの移動や開催 準備に若干の不安がありましたが特に混乱する事もなく開催することができました。 普段の開催ではバイナリ、ネットワーク、Web から2講義のみを開催していますが、 東京と長野での開催では3講義をすべて行う、とても濃密な半日開催となりました。 まず初めに「CTFとは」と題して三村氏からの解説です。CTF の種類や内容と言っ たことから、法律や倫理面についても解説があり、ルールを守って楽しむものと 強調していました。その後のバイナリ講義は「バイナリアンが何を言っているかわ からない件」と題し引き続き三村氏から解説がありました。 CTF 初心者を対象としているため、まずは「そもそも、バイナリファイルとは?」 から始まり、ファイルの判定に使用する file コマンドや文字列を抽出する string コマンドの解説から行われました。その後にプログラムの動く仕組みや実行ファイ ルの解析へと解説が続き、IDA Pro を操作し実際にプログラムの解析を行いました。 長野開催ではちらほらと IDA Pro の操作が遅れる参加者が出始め、スタッフによる フォローを受けつつ進められました。 次に「ネットワーク講習」と題し保要氏によるネットワークの解説が行われました。 ネットワークの基礎の説明を行った後、Wireshark の使い方の説明が始まり、参加 者はフィルタ機能を用いて通信を取り出すということを行っていました。続いて過去 のCTF for ビギナーズ CTF で使用された問題を用いて演習を行い、その後、実際の 問題を解く際のポイントや見るべき箇所について講習がありました。 最後に「Webにエスパーを求めるのは間違っているだろうか」と題し前田氏による Webの解説が行われました。 ここでも注意事項として一般サイトに対して攻撃を行わない事や、攻撃を試してみた い場合は CTF やバグバウンティ制度などを利用することが強調されました。そして CTF の Web 問に触れたら最初に行う調査の方法から解説が行われました。その中 では、ツールや Google 検索をうまく活用してヒントを探る方法について説明が行わ れました。その後、実際に SQL インジェクションやディレクトリトラバーサルなど の、 Web における典型的な脆弱性の説明とそれらが CTF ではどのように出題される かについて、演習を交えながら解説が行われました。 休憩をはさみ16時30分からは CTF が開始されました。問題は練習問題も合わせて 15問が出題され、参加者はまず練習問題で FLAG の入力方法を確認してから問題に 取り掛かりました。 CTFの時間中は参加者の手を妨害するために、今回から新しい取り組みとして過去の CTF問題や例題をスタッフが前で解くということや、東京開催ではスタッフが季節は ずれのサンタクロースに扮し会場を歩き回るということが行われました。 東京開催では hfukuda さんがすべての問題を解いて 4600点 で一位、長野開催では goldspring さんが 2900点で一位という結果となりました。 CTF 後の答え合わせでは IDA を使った問題の解法や、ネットワークの通信から認証 情報を取り出し、さらにそこから実際にその情報を用いて接続をすると答えが得られる 問題などの解説を受け、参加者は驚きや悔しがる表情を見せていました。 イベントは 19:00 に終了し、その後のアンケートからは「とても有意義だった」 「CTFに出ようと思った」という感想が見られました。                  (CTF for ビギナーズ運営スタッフより) ──────────────────────────────────── 0x03 協賛企業「株式会社ディアイティ」様より - フォレンジックについて知る機会! ──────────────────────────────────── フォレンジックについて知る機会! デジタルフォレンジック研究会で無料の講習会が開催されます。 ディアイティも1枠参加します。 9月17日(木)午後 Gコース 「X-Ways ForensicsによるWindowsフォレンジック入門」 パソコンにどんな痕跡が残るのか、有償のツールと無償のツールの違いは何か、 などがわかります。ご興味がある方はぜひご参加ください! https://digitalforensic.jp/home/act/lecture/lecture-5-2015/                        (株式会社ディアイティ様より) ──────────────────────────────────── 0x04 SECCON 2015 横浜大会 情報をちょっとだけお知らせします ──────────────────────────────────── 8月に CEDEC CHALLENGE(パシフィコ横浜にて開催)内で行う今年のSECCON 2015 横浜大会では、「SECCON 2015×CEDEC CHALLENGE ゲームクラッキング&チートチ ャレンジ」と題して、とあるゲームのセキュリティ診断を実施し問題点をプレゼ ンテーション資料にまとめ、送っていただくという競技を行う予定で準備を進め ています。詳細は近日中に公開予定ですので乞うご期待!                    (SECCON実行委員会 運営事務局より) ──────────────────────────────────── 0x05 CTF for GIRLS運営メンバーからの一言 ──────────────────────────────────── 今号からCTF for GIRLS運営メンバーが毎回皆様に、ちょっとした(採れたて?) セキュリティネタをお届けさせていただきます。「普段はセキュリティインシデ ント対応に疲れているんだ・・」というそんな貴方に、優しいネタをお送りさせ て頂きます! さて初回のテーマは「世界の女性向けCTFイベント」についてです。CTF for GIR LSに限らず、ここ数年世界では女性向けCTFイベントが増えています。有名な所 だと韓国の女性限定CTF「Power of XX」がありますが、それ以外にも台湾では 「HITCON GILRS」という組織が立ち上がり、女性限定ワークショップが開催さ れています。他にもCSAW CTFを開催しているニューヨーク大学によって昨年度 合計で一ヶ月近くに渡る女子高生向けのセキュリティプログラムが開催されてい ます。さらに、今年2月にインドで開催されたNULLCONでは女性限定CTF 「Winja」が開催されたようです。 世界にいる仲間に負けじと、CTF for GIRLSも盛り上がって行きたいと思います!                                          (CTF for GIRLS運営メンバー:中島) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ SECCON実行委員会は、多くの皆様からの無償のご支援と、スポンサー企業様   からの協賛金・寄付金によって運営されています。 ……………………………………………………………………………………………… ▼ メルマガの配信停止はこちらよりお手続き下さい。 http://2014.seccon.jp/optout.html ……………………………………………………………………………………………… Copyright (C) 2015 SECCON 実行委員会 All rights reserved. 掲載内容の無断転載を禁じることはありませんのでご安心下さい