キャプチャー・ザ・フラッグ

キャプチャー・ザ・フラッグ（Capture The Flag、略称りゃくしょう: CTF）は、互たがいに相手あいて陣地じんちの旗はたを奪うばい合あう騎馬きば戦せんや棒ぼう倒だおしに似にた野外やがいゲームのことである。また、そこから派生はせいして、ファーストパーソン・シューティングゲーム（FPS）などのeスポーツや、コンピュータセキュリティなどの分野ぶんやでも用もちいられている。特とくに、コンピュータセキュリティにおけるCTFは、しばしば「ハッカーコンテスト」などと意訳いやくされて報ほうじられる（後述こうじゅつ）。

FPS[編集へんしゅう]

ファーストパーソン・シューティングゲームにおけるCTFでは、参加さんか者しゃは二ふたつのチームに分わかれ、マップ上じょうにそれぞれの陣営じんえいが配置はいちされる。陣営じんえいには旗はた（あるいはその他たの目標もくひょうアイテム）があり、それぞれのチームは、相手あいての陣営じんえいにある旗はたを奪うばって自分じぶんの陣営じんえいに持もち帰かえるとスコアを獲得かくとくできる。一定いってい時間じかん内ないにスコアを多おおく獲得かくとくする、またはゲーム開始かいし前まえに決きめたポイント数すうを獲得かくとくしたチームが勝者しょうしゃとなる。なお、旗はたを奪うばわれた場合ばあい、旗はたを持もっている相手あいてキャラクターを倒たおして旗はたを奪うばい返かえす必要ひつようがある。

攻撃こうげきと防御ぼうぎょを交互こうごに繰くり返かえしたり、一ひとつの旗はたを奪うばい合あうといったバリアントルールや、旗はたを持もった場合ばあいに特殊とくしゅな効果こうかがつくといった特色とくしょくのあるゲームも存在そんざいしている。

チームワークや作戦さくせんが重要じゅうようで、マップやゲームシステムに対たいする知識ちしきも要求ようきゅうされるため、ファーストパーソン・シューティングゲームに限かぎらず、eスポーツの主要しゅようルールの一ひとつとなっている。

コンピュータセキュリティ[編集へんしゅう]

コンピュータセキュリティの分野ぶんやにおけるキャプチャー・ザ・フラッグ（CTF）は、コンピュータセキュリティ技術ぎじゅつの競技きょうぎである。参加さんか者しゃは「フラッグ」と呼よばれる文字もじ列れつを獲得かくとくしたり、サーバの権限けんげんを奪取だっしゅしたりすることでスコアを得える。CTFは通常つうじょう、参加さんか者しゃに対たいしコンピュータを守まもる経験けいけんに加くわえ、現実げんじつの世界せかいで発見はっけんされたサイバー攻撃こうげきへの対処たいしょを学まなぶ教育きょういく手法しゅほうとして企画きかくされている。「ハッカーコンテスト」^[1]「ハッキング大会たいかい」^[2]「ハッキング技術ぎじゅつコンテスト」^[3]などとも訳やくされる。

毎年まいとしラスベガスで開催かいさいされる世界せかい最大さいだい規模きぼのコンピュータセキュリティの会議かいぎDEF CON（英語えいご版ばん）において、当初とうしょ余興よきょうとしてCTFが始はじまった。現在げんざいでは恒例こうれいの人気にんきコンテンツと化かしている。このDEF CONでのCTFでは、パケット分析ぶんせき、プロトコル解析かいせき、システム管理かんり、プログラミング、暗号あんごう解読かいどくなどの知識ちしきや技能ぎのうが試ためされる。DEF CON外部がいぶでも有志ゆうしがCTFを開ひらくようになり、現状げんじょうでは毎週まいしゅう何なんらかのCTFが世界せかい各地かくちで開催かいさいされている状況じょうきょうである。競技きょうぎの性格せいかく上じょう、オンラインでの開催かいさいが多数たすうを占しめている。著名ちょめいなCTFでは、予選よせんをオンラインで開催かいさいし上位じょういチームのみを現地げんちの本戦ほんせんに招待しょうたいするケースが多おおい。CTFTimeから世界せかい各地かくちのCTFの開催かいさい予定よていや結果けっかを確認かくにんできる。

日本にっぽんでは、2012年ねんにホワイトハッカー育成いくせいを目的もくてきとして、「CTFチャレンジジャパン 2012」が開催かいさいされ^[4]、以降いこうもSECCONや有志ゆうしがCTFを開催かいさいしている。

公平こうへいを期きすために、競技きょうぎ中ちゅうの解法かいほうの公開こうかいは通常つうじょう禁止きんしされているが、終了しゅうりょう後ごは積極せっきょく的てきにプレイヤー同士どうしで解法かいほう（writeup）を交換こうかんする慣習かんしゅうがある。writeupの公開こうかいを促うながすため、あるいは運用うんようコスト削減さくげんのために、主催しゅさい者しゃが公式こうしきの解答かいとうを発表はっぴょうしないケースもよく見みられる。

問題もんだいの分野ぶんや[編集へんしゅう]

主おもに出題しゅつだいされる分野ぶんやを以下いかに挙あげる。CTFやそれを主催しゅさいする団体だんたいは年々ねんねん多様たようになっているため、すべてのジャンルを明記めいきすることは難むずかしい。分野ぶんやを横断おうだんする出題しゅつだいがなされることも多おおい。以下いかに挙あげる他ほかには、競技きょうぎプログラミングに似にたコーディング能力のうりょくを問とうPPC（Professional Programming and Coding）問題もんだい、電力でんりょく解析かいせきによる暗号あんごう鍵かぎの復元ふくげんなどハードウェアセキュリティに関連かんれんする問題もんだい、OSINT等ひとしを扱あつかうCTFもあり、主催しゅさい者しゃ・参加さんか者しゃの興味きょうみに合あわせた多様たような出題しゅつだいがなされている。

リバースエンジニアリング（Reversing, Binary）[編集へんしゅう]

提供ていきょうされるファイル（PEやELF等ひとし実行じっこう可能かのう形式けいしきやソースコード、実行じっこうログ）を解析かいせきしてフラッグ（文字もじ列れつ）を取とり出だしたり再現さいげんしたりする。シリアルキーのクラッキングなどと類似るいじした流ながれとなる。

エクスプロイト（Pwnable, pwn, Exploit）[編集へんしゅう]

プログラムの脆弱ぜいじゃく性せいを突つき、不正ふせい侵入しんにゅう・権限けんげん昇格しょうかくにより、サーバ内ないのファイルやメモリに置おかれたフラッグを発見はっけんする。脆弱ぜいじゃく性せいを用もちいてサーバに攻撃こうげきを仕掛しかけるためには、脆弱ぜいじゃく性せいを発見はっけんする必要ひつようがある。したがって対象たいしょうを解析かいせきするReversingの能力のうりょくも要求ようきゅうされる。

Web[編集へんしゅう]

ウェブアプリケーションの脆弱ぜいじゃく性せいについて知識ちしきを問とう。XSS・SQLインジェクション・OSコマンドインジェクション・Content Security Policyなどを扱あつかう。

暗号あんごう（Crypto）[編集へんしゅう]

RSAやAESなど現代げんだい暗号あんごうの利用りようについての知識ちしきを問とう問題もんだいや、独自どくじの暗号あんごうアルゴリズムを解読かいどくさせる問題もんだいが出題しゅつだいされる。また暗号あんごうに関連かんれんする群論ぐんろん等ひとしの数学すうがくや、それを扱あつかうコーディング能力のうりょくも問とわれる。

フォレンジックス（Forensics）[編集へんしゅう]

外部がいぶからの攻撃こうげき・犯罪はんざい調査ちょうさの証拠しょうこ保全ほぜんと関連かんれんして、HDDやUSBメモリ、物理ぶつりメモリのイメージファイルを解析かいせきする問題もんだいが出題しゅつだいされる。ネットワークのパケットログを用もちいた問題もんだいもある。

その他た（Miscellaneous）[編集へんしゅう]

上記じょうきジャンルに分類ぶんるいできないものや、またはセキュリティ関係かんけいの雑学ざつがくやパズルなどの問題もんだいが出題しゅつだいされる。

出題しゅつだい形式けいしき[編集へんしゅう]

主おもな出題しゅつだい形式けいしきは以下いかに示しめす２ふたつである。その他た独自どくじの形式けいしきで出題しゅつだいするCTFも存在そんざいする（CODE BLUE CTF^[5]など）が、その数かずは非常ひじょうに限かぎられている。

クイズ形式けいしき（Jeopardy）[編集へんしゅう]

各かくチームは、それぞれの問題もんだいを解とき、対応たいおうする点数てんすうを獲得かくとくする。点数てんすうは固定こていか、正解せいかいしたチーム数すうに応おうじて変動へんどうする。プレイヤーが直接ちょくせつ相手あいてを妨害ぼうがいしたり、フラッグを盗ぬすみ出だしたりする仕組しくみはない（通常つうじょう、大会たいかい期間きかん中ちゅうのチーム間あいだの接触せっしょくは禁止きんしされる）。開催かいさい・維持いじが比較的ひかくてき容易よういであるため、多おおくのCTFではこの形式けいしきが選択せんたくされる。大会たいかい終了しゅうりょう後ごも復習ふくしゅうのため一定いってい期間きかん環境かんきょうが維持いじされる場合ばあいが多おおい。特定とくていの大会たいかいを開ひらかずに問題もんだいを随時ずいじ追加ついか・公開こうかいするものは常設じょうせつCTFと呼よばれ、学習がくしゅうに活用かつようされている。^[6]なお、Jeopardyという名前なまえはアメリカの長寿ちょうじゅクイズ番組ばんぐみJeopardy!に由来ゆらいする。

攻防こうぼう戦せん形式けいしき（Attack/Defense, A/D）[編集へんしゅう]

各かくチームに防御ぼうぎょ対象たいしょうのコンピュータ（または小規模しょうきぼなネットワーク）が割わり当あてられ、自じチームのコンピュータに対たいする相手あいてからの攻撃こうげきの防御ぼうぎょ成功せいこう、及および相手あいてのコンピュータに対たいする攻撃こうげきの成功せいこうに対たいし得点とくてんが与あたえられる。個々ここのCTFのルールによって、相手あいてのコンピュータに侵入しんにゅうして情報じょうほうを奪うばう（相手あいての旗はたを奪うばう）又または情報じょうほうを書かき込こむ（自分じぶんの旗はたを立たてる）ことを企図きとする。著名ちょめいな攻防こうぼう戦せん形式けいしきのCTFのひとつは、毎年まいとし開催かいさいされるDEF CONで行おこなわれているものである。

多数たすうのチームが参加さんかするCTFにおいては、防御ぼうぎょ側がわコンピュータを主催しゅさい者しゃが用意よういし、参加さんか者しゃは攻撃こうげき側がわとして、主催しゅさい者しゃが隠かくした複数ふくすうの課題かだいや脆弱ぜいじゃく性せいを突つき、いくつ情報じょうほうを奪うばうか（または情報じょうほうを書かき込こむか）で競きそう場合ばあいもある。Jeopardyとは違ちがい、解とくべき問題もんだいが明示めいじされていないため、実際じっさいの環境かんきょうにより近ちかい雰囲気ふんいきを持もたせることができる。

スカウト[編集へんしゅう]

CIAやFBIなど軍ぐんや情報じょうほう機関きかんの担当たんとう者しゃが、優秀ゆうしゅうなハッカーをスカウトするためにCTFに来場らいじょうすることが知しられている。2012年ねん7月がつには米国べいこく国家こっか安全あんぜん保障ほしょう局きょく長官ちょうかんとサイバー司令しれい部ぶの司令しれい官かんを兼任けんにんするキース・アレクサンダー大将たいしょうが基調きちょう講演こうえんとして登壇とうだんし、ハッカーへの支援しえん要請ようせいを行おこなった^[7]。また、日本にっぽんにおいても東京電機大学とうきょうでんきだいがくで開催かいさいされたSECCON CTF全国ぜんこく大会たいかい（2012年度ねんど）で、警察けいさつからのスカウトが報道ほうどうされている^[8]。サイバー犯罪はんざいやサイバーテロが年々ねんねん増ふえており、ホワイトハッカーが不足ふそくしているため、各国かっこくともCTFの開催かいさいに注目ちゅうもくしている。