キャプチャー・ザ・フラッグ (Capture The Flag、略称 りゃくしょう : CTF )は、互 たが いに相手 あいて 陣地 じんち の旗 はた を奪 うば い合 あ う騎馬 きば 戦 せん や棒 ぼう 倒 だお し に似 に た野外 やがい ゲーム のことである。また、そこから派生 はせい して、ファーストパーソン・シューティングゲーム (FPS)などのeスポーツ や、コンピュータセキュリティ などの分野 ぶんや でも用 もち いられている。特 とく に、コンピュータセキュリティにおけるCTFは、しばしば「ハッカーコンテスト」などと意訳 いやく されて報 ほう じられる(後述 こうじゅつ )。
ファーストパーソン・シューティングゲーム におけるCTFでは、参加 さんか 者 しゃ は二 ふた つのチームに分 わ かれ、マップ上 じょう にそれぞれの陣営 じんえい が配置 はいち される。陣営 じんえい には旗 はた (あるいはその他 た の目標 もくひょう アイテム)があり、それぞれのチームは、相手 あいて の陣営 じんえい にある旗 はた を奪 うば って自分 じぶん の陣営 じんえい に持 も ち帰 かえ るとスコアを獲得 かくとく できる。一定 いってい 時間 じかん 内 ない にスコアを多 おお く獲得 かくとく する、またはゲーム開始 かいし 前 まえ に決 き めたポイント数 すう を獲得 かくとく したチームが勝者 しょうしゃ となる。
なお、旗 はた を奪 うば われた場合 ばあい 、旗 はた を持 も っている相手 あいて キャラクターを倒 たお して旗 はた を奪 うば い返 かえ す必要 ひつよう がある。
攻撃 こうげき と防御 ぼうぎょ を交互 こうご に繰 く り返 かえ したり、一 ひと つの旗 はた を奪 うば い合 あ うといったバリアントルールや、旗 はた を持 も った場合 ばあい に特殊 とくしゅ な効果 こうか がつくといった特色 とくしょく のあるゲームも存在 そんざい している。
チームワークや作戦 さくせん が重要 じゅうよう で、マップやゲームシステムに対 たい する知識 ちしき も要求 ようきゅう されるため、ファーストパーソン・シューティングゲームに限 かぎ らず、eスポーツの主要 しゅよう ルールの一 ひと つとなっている。
コンピュータセキュリティ の分野 ぶんや におけるキャプチャー・ザ・フラッグ(CTF)は、コンピュータセキュリティ技術 ぎじゅつ の競技 きょうぎ である。参加 さんか 者 しゃ は「フラッグ」と呼 よ ばれる文字 もじ 列 れつ を獲得 かくとく したり、サーバの権限 けんげん を奪取 だっしゅ したりすることでスコアを得 え る。CTFは通常 つうじょう 、参加 さんか 者 しゃ に対 たい しコンピュータ を守 まも る経験 けいけん に加 くわ え、現実 げんじつ の世界 せかい で発見 はっけん されたサイバー攻撃 こうげき への対処 たいしょ を学 まな ぶ教育 きょういく 手法 しゅほう として企画 きかく されている。「ハッカーコンテスト」[1] 「ハッキング大会 たいかい 」[2] 「ハッキング技術 ぎじゅつ コンテスト」[3] などとも訳 やく される。
毎年 まいとし ラスベガス で開催 かいさい される世界 せかい 最大 さいだい 規模 きぼ のコンピュータセキュリティの会議 かいぎ DEF CON (英語 えいご 版 ばん ) において、当初 とうしょ 余興 よきょう としてCTFが始 はじ まった。現在 げんざい では恒例 こうれい の人気 にんき コンテンツと化 か している。このDEF CONでのCTFでは、パケット分析 ぶんせき 、プロトコル 解析 かいせき 、システム管理 かんり 、プログラミング 、暗号 あんごう 解読 かいどく などの知識 ちしき や技能 ぎのう が試 ため される。DEF CON外部 がいぶ でも有志 ゆうし がCTFを開 ひら くようになり、現状 げんじょう では毎週 まいしゅう 何 なん らかのCTFが世界 せかい 各地 かくち で開催 かいさい されている状況 じょうきょう である。競技 きょうぎ の性格 せいかく 上 じょう 、オンラインでの開催 かいさい が多数 たすう を占 し めている。著名 ちょめい なCTFでは、予選 よせん をオンラインで開催 かいさい し上位 じょうい チームのみを現地 げんち の本戦 ほんせん に招待 しょうたい するケースが多 おお い。CTFTime から世界 せかい 各地 かくち のCTFの開催 かいさい 予定 よてい や結果 けっか を確認 かくにん できる。
日本 にっぽん では、2012年 ねん にホワイトハッカー育成 いくせい を目的 もくてき として、「CTFチャレンジジャパン 2012」が開催 かいさい され[4] 、以降 いこう もSECCONや有志 ゆうし がCTFを開催 かいさい している。
公平 こうへい を期 き すために、競技 きょうぎ 中 ちゅう の解法 かいほう の公開 こうかい は通常 つうじょう 禁止 きんし されているが、終了 しゅうりょう 後 ご は積極 せっきょく 的 てき にプレイヤー同士 どうし で解法 かいほう (writeup)を交換 こうかん する慣習 かんしゅう がある。writeupの公開 こうかい を促 うなが すため、あるいは運用 うんよう コスト削減 さくげん のために、主催 しゅさい 者 しゃ が公式 こうしき の解答 かいとう を発表 はっぴょう しないケースもよく見 み られる。
主 おも に出題 しゅつだい される分野 ぶんや を以下 いか に挙 あ げる。CTFやそれを主催 しゅさい する団体 だんたい は年々 ねんねん 多様 たよう になっているため、すべてのジャンルを明記 めいき することは難 むずか しい。
分野 ぶんや を横断 おうだん する出題 しゅつだい がなされることも多 おお い。以下 いか に挙 あ げる他 ほか には、競技 きょうぎ プログラミング に似 に たコーディング能力 のうりょく を問 と うPPC(Professional Programming and Coding)問題 もんだい 、電力 でんりょく 解析 かいせき による暗号 あんごう 鍵 かぎ の復元 ふくげん などハードウェアセキュリティに関連 かんれん する問題 もんだい 、OSINT 等 ひとし を扱 あつか うCTFもあり、主催 しゅさい 者 しゃ ・参加 さんか 者 しゃ の興味 きょうみ に合 あ わせた多様 たよう な出題 しゅつだい がなされている。
提供 ていきょう されるファイル(PE やELF 等 ひとし 実行 じっこう 可能 かのう 形式 けいしき やソースコード、実行 じっこう ログ)を解析 かいせき してフラッグ(文字 もじ 列 れつ )を取 と り出 だ したり再現 さいげん したりする。シリアルキーのクラッキング などと類似 るいじ した流 なが れとなる。
プログラムの脆弱 ぜいじゃく 性 せい を突 つ き、不正 ふせい 侵入 しんにゅう ・権限 けんげん 昇格 しょうかく により、サーバ内 ない のファイルやメモリに置 お かれたフラッグを発見 はっけん する。脆弱 ぜいじゃく 性 せい を用 もち いてサーバに攻撃 こうげき を仕掛 しか けるためには、脆弱 ぜいじゃく 性 せい を発見 はっけん する必要 ひつよう がある。したがって対象 たいしょう を解析 かいせき するReversingの能力 のうりょく も要求 ようきゅう される。
ウェブアプリケーション の脆弱 ぜいじゃく 性 せい について知識 ちしき を問 と う。XSS ・SQLインジェクション ・OSコマンドインジェクション ・Content Security Policy などを扱 あつか う。
暗号 あんごう (Crypto)[ 編集 へんしゅう ]
RSA やAES など現代 げんだい 暗号 あんごう の利用 りよう についての知識 ちしき を問 と う問題 もんだい や、独自 どくじ の暗号 あんごう アルゴリズムを解読 かいどく させる問題 もんだい が出題 しゅつだい される。また暗号 あんごう に関連 かんれん する群論 ぐんろん 等 ひとし の数学 すうがく や、それを扱 あつか うコーディング能力 のうりょく も問 と われる。
外部 がいぶ からの攻撃 こうげき ・犯罪 はんざい 調査 ちょうさ の証拠 しょうこ 保全 ほぜん と関連 かんれん して、HDD やUSBメモリ 、物理 ぶつり メモリ のイメージファイルを解析 かいせき する問題 もんだい が出題 しゅつだい される。ネットワーク のパケット ログを用 もち いた問題 もんだい もある。
その他 た (Miscellaneous) [ 編集 へんしゅう ]
上記 じょうき ジャンルに分類 ぶんるい できないものや、またはセキュリティ 関係 かんけい の雑学 ざつがく やパズル などの問題 もんだい が出題 しゅつだい される。
出題 しゅつだい 形式 けいしき [ 編集 へんしゅう ]
主 おも な出題 しゅつだい 形式 けいしき は以下 いか に示 しめ す2 ふた つである。その他 た 独自 どくじ の形式 けいしき で出題 しゅつだい するCTFも存在 そんざい する(CODE BLUE CTF[5] など)が、その数 かず は非常 ひじょう に限 かぎ られている。
クイズ形式 けいしき (Jeopardy) [ 編集 へんしゅう ]
各 かく チームは、それぞれの問題 もんだい を解 と き、対応 たいおう する点数 てんすう を獲得 かくとく する。点数 てんすう は固定 こてい か、正解 せいかい したチーム数 すう に応 おう じて変動 へんどう する。プレイヤーが直接 ちょくせつ 相手 あいて を妨害 ぼうがい したり、フラッグを盗 ぬす み出 だ したりする仕組 しく みはない(通常 つうじょう 、大会 たいかい 期間 きかん 中 ちゅう のチーム間 あいだ の接触 せっしょく は禁止 きんし される)。
開催 かいさい ・維持 いじ が比較的 ひかくてき 容易 ようい であるため、多 おお くのCTFではこの形式 けいしき が選択 せんたく される。大会 たいかい 終了 しゅうりょう 後 ご も復習 ふくしゅう のため一定 いってい 期間 きかん 環境 かんきょう が維持 いじ される場合 ばあい が多 おお い。特定 とくてい の大会 たいかい を開 ひら かずに問題 もんだい を随時 ずいじ 追加 ついか ・公開 こうかい するものは常設 じょうせつ CTFと呼 よ ばれ、学習 がくしゅう に活用 かつよう されている。[6] なお、Jeopardyという名前 なまえ はアメリカの長寿 ちょうじゅ クイズ番組 ばんぐみ Jeopardy! に由来 ゆらい する。
攻防 こうぼう 戦 せん 形式 けいしき (Attack/Defense, A/D)[ 編集 へんしゅう ]
各 かく チームに防御 ぼうぎょ 対象 たいしょう のコンピュータ(または小規模 しょうきぼ なネットワーク)が割 わ り当 あ てられ、自 じ チームのコンピュータに対 たい する相手 あいて からの攻撃 こうげき の防御 ぼうぎょ 成功 せいこう 、及 およ び相手 あいて のコンピュータに対 たい する攻撃 こうげき の成功 せいこう に対 たい し得点 とくてん が与 あた えられる。個々 ここ のCTFのルールによって、相手 あいて のコンピュータに侵入 しんにゅう して情報 じょうほう を奪 うば う(相手 あいて の旗 はた を奪 うば う)又 また は情報 じょうほう を書 か き込 こ む(自分 じぶん の旗 はた を立 た てる)ことを企図 きと する。著名 ちょめい な攻防 こうぼう 戦 せん 形式 けいしき のCTFのひとつは、毎年 まいとし 開催 かいさい されるDEF CONで行 おこな われているものである。
多数 たすう のチームが参加 さんか するCTFにおいては、防御 ぼうぎょ 側 がわ コンピュータを主催 しゅさい 者 しゃ が用意 ようい し、参加 さんか 者 しゃ は攻撃 こうげき 側 がわ として、主催 しゅさい 者 しゃ が隠 かく した複数 ふくすう の課題 かだい や脆弱 ぜいじゃく 性 せい を突 つ き、いくつ情報 じょうほう を奪 うば うか(または情報 じょうほう を書 か き込 こ むか)で競 きそ う場合 ばあい もある。Jeopardyとは違 ちが い、解 と くべき問題 もんだい が明示 めいじ されていないため、実際 じっさい の環境 かんきょう により近 ちか い雰囲気 ふんいき を持 も たせることができる。
CIAやFBIなど軍 ぐん や情報 じょうほう 機関 きかん の担当 たんとう 者 しゃ が、優秀 ゆうしゅう なハッカーをスカウトするためにCTFに来場 らいじょう することが知 し られている。2012年 ねん 7月 がつ には米国 べいこく 国家 こっか 安全 あんぜん 保障 ほしょう 局 きょく 長官 ちょうかん とサイバー司令 しれい 部 ぶ の司令 しれい 官 かん を兼任 けんにん するキース・アレクサンダー大将 たいしょう が基調 きちょう 講演 こうえん として登壇 とうだん し、ハッカーへの支援 しえん 要請 ようせい を行 おこな った[7] 。また、日本 にっぽん においても東京電機大学 とうきょうでんきだいがく で開催 かいさい されたSECCON CTF全国 ぜんこく 大会 たいかい (2012年度 ねんど )で、警察 けいさつ からのスカウトが報道 ほうどう されている[8] 。サイバー犯罪 はんざい やサイバーテロが年々 ねんねん 増 ふ えており、ホワイトハッカーが不足 ふそく しているため、各国 かっこく ともCTFの開催 かいさい に注目 ちゅうもく している。