ICC について

2021年9月にセキュリティ・キャンプ協議会が協賛する ACSC(Asian Cyber Security Challenge) が開催されました。ACSC はアジアトップの CTF プレイヤーを選出するための CTF で、ここで優秀な成績を残したプレイヤーは、アジア代表チームとして ICC 運営委員会と ENISA(European Union Agency for Cybersecurity) が主催する ICC(International Cybersecurity Challenge) に参加します。
ICC には世界から9チームが出場し、Web アプリケーションセキュリティや暗号技術、ハードウェア、リバースエンジニアリングなどの問題や Attack&Defence1 に取り組みます。
今回、日本からは Dronex さん、st98 さんrex さんの3人がアジア代表チームとして出場します。ACSC での問題や ICC への意気込みについて、インタビューを行いました。

ACSC について

ACSC はどのような CTF でしたか?

Dronex: 形式としては正統派の Jeopardy2 でした。
rex: 全体的に簡単でした。個人戦でかつ問題数がかなり多かったですね。
Dronex: たぶん30以上ありましたね。時間があればまだ解けるな、ぐらい。
rex: 時間は24時間でした。久しぶりに寝ずにやりましたね。
Dronex: 自分は途中3時間半ぐらいは寝ました。

ジャンルとしてはどのような問題があったのでしょう?

rex: Web, Rev, Crypto, Misc などだったかなぁ。あと、誰も解けていませんでしたが Hardware 問題もありましたね。

印象に残った問題はありますか?

st98: 私は Web 問題の JavaScript の Prototype Pollution3 の問題が印象に残っていて、Node.js の built-in module を汚染する問題でした。

Prototype Pollution は以前から方々の脆弱性ですね。CTF でもよく出る問題なんですか?

st98: 以前から、クライアントサイド・サーバーサイド問わずに出ている問題ですね。
rex: そういう点でも、最先端のネタとかはあまりなくて、基礎的というか、そんなに攻めた問題はなかったですね。

ICC について

ICC の CTF はどのような形式ですか?

rex: Jeopardy と Attack&Defence の両方だったと思います。

全部で9大陸から出場ですよね

rex: どこがどれぐらい強いかもわかっていないですね。

今回、アジアチームは15人から構成されていて、そのうち日本人は3人のようですね。他のメンバーは台湾やインドなど8ヵ国から構成されますが、どうですか?

rex: 英語が障壁になるかもしれません。特に Exploit について、構造などを説明するのが大変かもしれません。あと、誰が何が得意かも分かりませんね。A&D は他のチームでも得意な人は少ないと思いますが、一部の強い人がいるかもしれないので、そうなると勝つのは難しいかも…。

英語は、rex さんはこの間のデモのときに Discord にスクリプト貼って、すごい活躍されてたイメージありますけど...

rex: コードが完成していていればいいんですけどね。完成していなくて、これどうすんの、というのが大変ですね。

昔は Hex Editor で会話している人もいたので、そのような会話の仕方もあるかもしれませんね。最後に ICC に向けて一言お願いします。

Dronex: A&D は初めてなので雰囲気を感じとって、頑張れるだけ頑張りたいです。
st98: やれることはやりたいと思います。
rex: ちゃんと取れる問題を確実に取りたいです。

終わりに

今回、ICC に出場する日本メンバーにお話を伺いました。ICC は 614-17 にかけて、ギリシャのアテネで開催されます。優勝を目指して全力を尽くしてほしいと思います。

  1. 攻防戦形式の CTF。各チームにサーバーやネットワークが割り当てられ、それを守りつつ、他チームを攻撃する。 [return]
  2. 用意された問題を解き、対応するポイントを取得する形式の CTF。 [return]
  3. https://jovi0608.hatenablog.com/entry/2018/10/19/083725 [return]