セキュリティコンテスト「SECCON 2013」開催概要

94,503 views

Published on

日本国内最大のセキュリティコンテスト「SECCON 2013」を実施
~8月を皮切りに全国10箇所で地方大会を、3月に東京で全国大会を実施~
http://www.jnsa.org/seccon/

http://www.security-next.com/040715
http://www.itmedia.co.jp/enterprise/articles/1306/07/news105.html

Published in: Technology, Travel

セキュリティコンテスト「SECCON 2013」開催概要

  1. 1. セキュリティコンテスト「SECCON 2013」開催概要SECCON 実行委員会 実行委員長竹迫 良範
  2. 2. 2012年度 SECCON CTF 全国大会東京電機大学(北千住)2013年2月23日(土)~24日(日)
  3. 3. 全国大会 10チーム 学生46人
  4. 4. 各チームに4つの座を用意
  5. 5. 各チームに4つの座を用意
  6. 6. マイ冷蔵庫を持参したチームも
  7. 7. 競技の概要各プレイヤーは運営が作った問題サーバを攻略して,最終的にWebページを改ざんするようこそ!問題を攻略all base arebelong to usこの状態をキープし続けることが得点に繋がる
  8. 8. 攻略フェーズ○※ステージをクリアすると攻略スコア(100点)が加算されるスタート地点
  9. 9. 防衛フェーズ○
  10. 10. 問題サーバ ① Mercury
  11. 11. http://10.0.2.3/ にアクセスすると
  12. 12. stage2 ではパスワード入力が必要
  13. 13. stage1.cgi ? lang=jpn
  14. 14. stage1.cgi ? lang=eng
  15. 15. lang=eng.txt%00 でファイルが読める
  16. 16. .htpasswd が読めてしまう脆弱性このパスワード情報を解読して次のステージ「stage2」に進む
  17. 17. 問題サーバ ① Mercury の攻略1. ディレクトリトラバーサル2. SQLインジェクション3. PHPファイルアップロード4. SSHのauthorized_keysファイルへの追記5. sshでログイン6. sudoでviを立ち上げる7. FLAGを書き換える
  18. 18. フラッグ獲得状況
  19. 19. 得点ランキング
  20. 20. ランキング画面(開始直後)
  21. 21. ランキング画面(1日目終了)
  22. 22. 攻防戦の様子
  23. 23. 攻防戦の様子
  24. 24. 監視コンソール画面(運営)
  25. 25. ランキング画面(2日目終了)
  26. 26. 昨年のCTF大会 (Capture The Flag) SECCON CTF(日本ネットワークセキュリティ協会) 参加チーム:38(160人)※学生あるいは22歳以下 九州大会:2012年 2月 7 チーム 関東大会:2012年 5月 13チーム 関西大会:2012年11月 5 チーム 横浜大会:2012年12月 13チーム 全国大会:2013年2月 地方大会の上位10チームを招待 CTFチャレンジジャパン2012(経済産業省委託事業) 参加チーム:46 (166人)※社会人および23歳以上の学生 福岡予選会:2012年11月 11チーム 大阪予選会:2012年11月 6 チーム 東京予選会:2012年12月 22チーム 仙台予選会:2012年12月 9 チーム 決勝大会 :2013年2月 予選会の上位9チームを招待
  27. 27. SECCON 2013 実施図セキュリティコンテスト「SECCON 2013」参加対象者日本ネットワークセキュリティ協会SECCON実行委員会全国大会地方大会 地方大会 地方大会 地方大会出場出場民間企業、団体 官庁・自治体 学生後援政府機関等協賛企業スポンサー協賛金10箇所で開催各地域で情報セキュリティ勉強会やCTFトレーニング・研修などを実施(情報セキュリティ政策会議)主催民間スポンサーメディア協力(募集中)(募集中)各地の勉強会コミュニティ大学・企業(会場提供)
  28. 28. 【協賛企業・協力企業】
  29. 29. SECCON 2013 開催スケジュール回数 日程 開催地域 会場1 8月22日~23日 関東(横浜) パシフィコ横浜 (CEDEC 2013)2 10月5日~6日 甲信越(長野) 信州大学工学部3 10月5日~6日 九州(福岡) 九州工業大学情報工学部4 10月20日 四国(香川) 香川大学総合情報センター5 11月9日~10日 東北(福島) 福島県内6 11月30日~12月1日 北海道(札幌) 札幌市内7 11月30日~12月1日 北陸(富山) インテックビル「タワー111」8 12月14日~15日 東海(名古屋) ウインクあいち9 12月14日~15日 関西(大阪) マイドームおおさか10 1月25日~26日 オンライン予選会 情報セキュリティ大学院大学11 3月1日~2日 全国大会(東京) 東京電機大学
  30. 30. SECCON x CEDEC CHALLENGE会 場:パシフィコ横浜 会議センター表彰式:2013年8月23日(金) 午後審査員:すがやみつる(ゲームセンターあらし作者)西角友宏 (スペースインベーダー開発者)日本最大のゲーム開発者向けカンファレンスCEDEC2013と共催
  31. 31. CTF以外の様々なコンテストも併催レポート審査形式のコンテストアセンブラ短歌(5・7・5・7・7機械語)回路のハッキング問題(福島大会)
  32. 32. 日本最大のセキュリティコンテスト「SECCON 2013」開催規模開催地:日本全国 10箇所 以上参加者:400人 以上(昨年度実績 社会人+学生 326人)参加資格チーム:1チーム4人まで年 齢:制限なし(上限・下限なし)所 属:制限なし(学生・社会人不問)情報セキュリティに関する問題を解く
  33. 33. SECCON 2013 全国大会全国大会(各大会の成績優秀者を招待)日程:2014年3月1日~2日会場:東京電機大学(北千住)カンファレンス併催地方大会(各大会 優勝チーム 9チーム)日程:2014年8月~12月会場:全国9箇所オンライン予選会(上位 3チーム~)日程:2014年1月25日~26日会場:情報セキュリティ大学院大学(横浜)
  34. 34. 参考:日本のセキュリティコンテスト大会名 主催者 参加対象 競技形式セキュリティキャンプセキュリティキャンプ実施協議会(IPA)22歳以下の学生 問題回答型研修の1パートとして実施SECCON CTFSECCON 実行委員会(JNSA)学生もしくは22歳以下問題回答型日本で初めての本格的なCTF大会危機管理コンテスト情報危機管理コンテスト運営委員会博士後期課程を除く学生トラブル対応型白浜シンポジウムの一部として実施IT Keys IT Keys運営委員会 特定大学の学生 トラブル対応型京大、阪大、北陸先端、奈良先端の4大学を中心とした育成プログラムの一部MWS CupMWS実行委員会情報処理学会加入メンバー問題回答型(マルウェア解析)情報処理学会主催のイベントの一部Hardening ZeroHardening Zero実行委員会制約なし攻防型(防御のみ)CTFチャレンジジャパン 2012経済産業省(2012年度委託事業)社会人(23歳以上の学生可)フラッグ取得型問題回答型
  35. 35. コンテスト出場者のその後SECCON出場者 ⇒ 協賛企業に新卒採用2012年2月 CTF 福岡大会(九州工業大学) 2013年4月 C社 新卒採用マレーシアのCTF世界大会で優勝した日本人技術者を協賛企業A社が自社のセキュリティ向上の目的のため採用した過去の事例もあり (社会人 2012年)
  36. 36. スポーツの世界をみると・・・世界に通じる優秀な人材を輩出している甲子園予選やアマチュアスポーツ大会など多くの地方大会が盛んに行われている全国の学校に野球グラウンド、サッカーコート、各地にトレーニングセンターがある工業/電子系で見ると、日本国内には…技能五輪、高専ロボコン、プロコンなどITセキュリティの分野はまだこれからクラブ活動の結成、地方大会開催が必要
  37. 37. 日本のセキュリティのこれから攻撃を受けた後に初めて対応を考えるでは、もう遅い?攻撃を監視する「情報」は1度漏れてしまうと取り返せないCTF は攻防戦「攻撃」と「防御」の両方のスキルが必要オフェンスとディフェンスどのようなシチュエーションで攻撃されるのか具体的な攻撃の被害の影響について体感する攻撃者よりも「先回り」して防御の対策をしたい(攻撃を知らなければ防御できない)
  38. 38. 【参考】世界の CTF 大会 DEFCON CTF(アメリカ) pCTF(アメリカ) ghost in the shellcode(アメリカ) CSAW CTF(アメリカ) CODEGATE(韓国) Hacker’s Dream(韓国) secuinside CTF(韓国) HITCON(台湾) RuCTF(ロシア) PHDays CTF (ロシア) ENOWAR(ドイツ) rwthCTF(ドイツ) Nuit De Hack(フランス) PoliCTF(イタリア) HITB CTF(オランダ、マレーシア) OWASP CTF(世界各国) 他多数
  39. 39. 2013年8月より全国10か所にて順次開催!ご支援よろしくお願いいたします(協賛企業様 募集中)

×