SECCON 2015のカンファレンスで発表したCTF for ビギナーズ 2015 開催報告資料です。 #SECCON #ctf4b

1. - 2015年開催報告 -
2016/1/30 1

2. 内容
1.CTF for ビギナーズとは
2.2015年のCTF for ビギナーズ
3.アンケートの結果
4.今後の展望・課題
2016/1/30 2

3. 1. CTF for ビギナーズとは
2016/1/30 3

4. CTF for ビギナーズとは
• CTFの初⼼者を対象とした勉強会
• 2014年から開催
• 運営メンバーは学⽣が中⼼
• SECCON実⾏委員会のバックアップを受けて活動
2016/1/30 4

5. CTF for ビギナーズの基本構成
1.CTFの概要
2.分野ごとの講義 (2015年はこの中から2分野ずつ）
• バイナリ講義
• ネットワーク講義
• Web講義
3.簡易CTF
2016/1/30 5

6. CTFの概要
• CTF とはどのようなものか
出題形式にはどのような物があるかを説明
• 許可されたサーバ と ⾃⾝で管理するサーバ以外に攻撃しないように
釘を刺す
• 不正アクセス禁⽌法や法律の考え⽅などの説明
62016/1/30

7. 分野ごとの講義
• バイナリ講義
• file, stringsコマンドやIDA Proを使ったバイナリ解析、実習
• ネットワーク講義
• Wiresharkを使ったネットワーク解析の説明、実習
• Web講義
• XSSやSQLi等の攻撃⼿法の説明とその対策
72016/1/30

8. 分野ごとの講義
• ソフトウェア開発時や障害発⽣時の原因調査などでも
幅広く活かすことができる内容
• 実⾏ファイルの解析 → デバッグ
• 通信の解析 → ネットワーク構築, 障害対応
• Web アプリの脆弱性とその原因 → 開発時に気づけるようにする
• 特にCTF のみに絞った内容にはなっていない
82016/1/30

9. CTF演習
• 講義で習ったことをCTF形式で試す
• CTFの雰囲気を味わってもらう
• 問題は運営側が⾃作
• 最後はみんなで答え合わせ
92016/1/30

10. 2. 2015年のCTF for ビギナーズ
2016/1/30 10

11. 2015年のCTF for ビギナーズ
• 地⽅への展開
• ⾸都圏以外の都市で開催し、より多くの⼈に興味を持ってもらう
• ⽇本各地でのCTF勉強会やチーム⽴ち上げを⽀援を⽬的
• CTF⼊⾨書の出版
• セキュリティコンテストチャレンジブック
• CTF4bに参加出来なくても、勉強出来るコンテンツの整備
• その他
• 名称を“CTF for Beginners” から「CTF for ビギナーズ」へ変更
• Twitterアカウント(@ctf4b) を開設
2016/1/30 11

12. 地⽅への展開
2016/1/30
東京
第1回 6/28
第2回 7/6
博多
第3回 11/3
12
2014年 : 3回

13. 地⽅への展開
2016/1/30
博多
(Attack & Defense)
6/7（⽇）
札幌
6/14（⼟）
横浜
2/15（⽇）
広島
2/21（⼟）
東京
7/4（⼟）
⻑野
7/5（⽇）
熊本
9/12（⼟）
滋賀
10/3（⼟）⼤阪
11/7（⼟）
奈良
(Attack & Defense)
10/17（⼟）
2014年 : 3回
↓
2015年：10回
13

14. 参加者数
開催地 参加者数 定員 申込者数 倍率
(申込者/定員)
内容
横浜 73 60 73 1.22 Binary or Network・Web、CTF
広島 47 50 47 0.94 Binary, Network, Web, CTF
博多 51 54 54 1.00 Attack & Defense (Student Only)
札幌 29 30 35 1.17 Binary, Web, CTF
東京 78 80 253 3.16 Binary, Network, Web, CTF
⻑野 52 60 71 1.18 Binary, Network, Web, CTF
熊本 48 100 61 0.61 Web, Network, CTF
滋賀 67 80 128 1.60 Binary, Network, CTF
奈良 53 55 53 0.96 Attack & Defense (Student Only)
⼤阪 10 12 78 6.50 CTF
2016/1/30 14
※ 申込者数はキャンセル者数も含む
※ 横浜、広島は定員が近づいた段階で申込みを締め切ったため少なめ

15. 申込者の所属統計
2016/1/30 15
※1 参加前アンケートより集計
※2 札幌、東京、⻑野、熊本、滋賀、⼤阪の合計申込者
社会⼈ 社会⼈
⼤学⽣
⼤学⽣
⼤学院⽣
⼤学院⽣
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2014 2015
社会⼈
⼤学⽣
⼤学院⽣
⾼専⽣
専⾨学校⽣
⾼校⽣
中学⽣
その他
2014年と
同様の傾向

16. 3. アンケートの結果
2016/1/30 16

17. 開催後アンケート
• セッション毎の満⾜度
• CTF演習で良かった問題
• 内容は想定よりどうだったか
• CTFを⾏うモチベーションはどうなったか
• 今後も続けたいか
• その他の意⾒・感想
2016/1/30 17

18. セッション毎の満⾜度
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
CTFとは バイナリ講義 ネットワーク講義 Web講義 CTF演習 答え合わせ
とても良かった 良かった どちらとも⾔えない 良くなかった
2016/1/30 18
他よりも
満⾜度が低い

19. 答え合わせについての意⾒
• 問題解説の時間を⻑くして欲しい
• 丁寧な問題解説が欲しい
• 問題解説の資料が欲しい
• 全問答え合わせして欲しい
2016/1/30 19

20. 内容は想定と⽐べてどうだったか
2016/1/30 20
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
2014 2015
とても難しかった
難しかった
想定通りだった
簡単だった
内容の最適化が
出来たが、まだ
調整が必要

21. その他の意⾒・感想
• 関東ばかりなので地⽅で開催してもらって良かった
• 無料とは思えない程充実した講義だった
• 今後⼤会に参加したい
• 問題が難しかった
• 講義の対象が曖昧だった
• 演習の時にインターネット環境がなくてつらかった
2016/1/30 21

22. 4. 今後の課題・展望
2016/1/30 22

23. 課題
• 講義コンテンツの難易度
• 初⼼者が「CTFに⼊りたい」と思ってくれる難易度にする
• 演習問題の難易度
• 配布⽤VM内のツールを使って解ける問題
• インターネットを使わないで解ける問題
• 参加登録の⽅法
• 現在の⽅法だと、早く申し込んだ⼈が参加出来る
• 参加者の決め⽅を再考する必要がある
2016/1/30 23

24. 今後のCTF for ビギナーズ
• 2016年度も、「CTF for ビギナーズ」は続けます！
• 昨年⾏けなかった地域を回りたい
• 開催地は現在検討中
• 参加後にサポートできるコンテンツの⽤意
• 解説資料の配布
• 演習問題が復習出来る環境
2016/1/30 24

25. ご静聴ありがとうございました
2016/1/30 25